ΑρχικήsecurityRansomware: Η ομάδα FIN12 γίνεται πολύ πιο γρήγορη στην κρυπτογράφηση δικτύων

Ransomware: Η ομάδα FIN12 γίνεται πολύ πιο γρήγορη στην κρυπτογράφηση δικτύων

Ερευνητές στο Mandiant εξέτασαν επιθέσεις ransomware από μια ομάδα κυβερνο-εγκληματικών που αναφέρονται ως FIN12 – υπεύθυνη για μία στις πέντε επιθέσεις που ερευνήθηκαν από την εταιρεία κυβερνοασφάλειας – και διαπίστωσαν ότι υπήρξε σημαντική μείωση του χρόνου μεταξύ της αρχικής εισβολής σε δίκτυα και της κρυπτογράφηση με ransomware, συνηθέστερα Ryuk ransomware.

Σύμφωνα με στοιχεία που δημοσιεύθηκαν στην έκθεση M-Trends 2022 της Mandiant, ο μέσος χρόνος παραμονής των καμπανιών FIN12 – ο χρόνος μεταξύ των χάκερ που αποκτούν αρχική πρόσβαση στο δίκτυο και πυροδοτούν την επίθεση ransomware – έχει μειωθεί από πέντε ημέρες σε λιγότερο από δύο ημέρες.

Ένας από τους λόγους για τους οποίους ο κύκλος ζωής αυτών των επιθέσεων έχει μειωθεί τόσο πολύ είναι επειδή οι καμπάνιες FIN12 δεν εστιάζουν στην εύρεση ευαίσθητων δεδομένων και στην κλοπή τους πριν από την ενεργοποίηση μιας επίθεσης ransomware.

Η αναζήτηση και η κλοπή δεδομένων έχει γίνει κοινή τακτική για πολλές ομάδες ransomware, οι οποίες εκτός από την κρυπτογράφηση των δεδομένων, απειλούν να τα δημοσιεύσουν εάν δεν πληρωθούν λύτρα. Είναι μια επιτυχημένη τεχνική που πολλές από τις πιο υψηλού προφίλ συμμορίες ransomware αναπτύσσουν για να εξαναγκάσουν το θύμα να πληρώσει τα λύτρα.

Ωστόσο, παρά το γεγονός ότι δεν υιοθετεί αυτήν την τεχνική, η ομάδα FIN12 εξακολουθεί να είναι μια εξαιρετικά επιτυχημένη λειτουργία ransomware, η οποία εκτός από την ταχύτητα ανάπτυξης φαίνεται να επιλέγει αυτούς που θεωρούν ότι είναι εύκολοι στόχοι για να λάβουν λύτρα.

Για παράδειγμα, η ομάδα κυβερνο-εγκληματικών είναι γνωστό ότι συχνά στοχεύει νοσοκομεία και υγειονομική περίθαλψη – οργανώσεις που χρειάζονται απεγνωσμένα δίκτυα σε λειτουργία για να παρέχουν φροντίδα στους ασθενείς. Αυτό σημαίνει ότι τα θύματα στον τομέα της υγειονομικής περίθαλψης μπορεί να είναι πιο πρόθυμα να υποβάλουν αιτήματα για λύτρα από τα θύματα σε άλλους κλάδους.

Η ομάδα στοχεύει επίσης οργανισμούς που βγάζουν υψηλά έσοδα, μια τακτική που εφαρμόζεται επίσης επειδή οι επιτιθέμενοι πιστεύουν ότι έχουν τις καλύτερες πιθανότητες να κερδίσουν μεγάλα χρηματικά ποσά από λύτρα.

FIN12 Ransomware

Υπάρχουν πολλές μέθοδοι που χρησιμοποιεί η ομάδα FIN12 για να διεισδύσει σε δίκτυα, συμπεριλαμβανομένης της απόκτησης πρόσβασης μέσω παλαιότερων μολύνσεων από backdoor malware, όπως το TrickBot και το BazarLoader. Το κακόβουλο λογισμικό παραδίδεται σε μηχανές – μερικές φορές μέσω phishing – και είναι σύνηθες για ομάδες ransomware να εκμισθώνουν ή να εκμεταλλεύονται με άλλο τρόπο αυτήν την πρόσβαση για να κρυπτογραφήσουν τελικά το δίκτυο.

Οι ερευνητές σημειώνουν ότι αρκετές καμπάνιες FIN12 έχουν αξιοποιήσει νόμιμα username και κωδικούς πρόσβασης για σύνδεση σε εικονικά περιβάλλοντα, συμπεριλαμβανομένου του Microsoft Office 365. Είναι πιθανό αυτά τα credentials να έχουν αγοραστεί σε dark forums.

Η ομάδα FIN12 τείνει να εστιάζει επιθέσεις εναντίον θυμάτων της Βόρειας Αμερικής – αλλά η Mandiant προειδοποιεί ότι η ομάδα ransomware θα μπορούσε ενδεχομένως να στοχεύσει ένα ευρύτερο φάσμα θυμάτων σε όλο τον κόσμο.

Μερικά από τα βήματα που μπορούν να λάβουν οι οργανισμοί για να μην πέσουν θύματα επιθέσεων ransomware περιλαμβάνουν την έγκαιρη εφαρμογή των security patches, έτσι ώστε οι εγκληματίες του κυβερνοχώρου να μην μπορούν να εκμεταλλευτούν γνωστές ευπάθειες για να παραδώσουν κακόβουλο λογισμικό και να διασφαλίσουν ότι θα αλλάξει οποιοσδήποτε κωδικός πρόσβασης που είναι γνωστό ότι έχει παραβιαστεί.

Οι οργανισμοί θα πρέπει επίσης να παρέχουν στους χρήστες έλεγχο ταυτότητας πολλαπλών παραγόντων ως πρόσθετο εμπόδιο έναντι κυβερνοεπιθέσεων που επιχειρούν να κάνουν κατάχρηση των credentials που έχουν διαρρεύσει.

Πηγή πληροφοριών: zdnet.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS