Azonosították azt a meglehetősen agresszívan terjeszkedő hackercsoportot, akik kapcsolatba hozhatók a 2018 októberétől tapasztalt RYUK váltságdíjat követelő támadások mögött. A banda szoros együttműködést alakított ki különböző, TrickBot-használó, rosszindulatú szereplőkkel, és a nyilvánosan is elérhető eszközök egész garmadáját bevetette, hogy kommunikáljon a kiszemelt áldozatok rendszerével, többek közt példásul a Cobalt Strike Beacon-t a fizetésekhez.
A Mandiant kibervédelmi cég a támadások mögött az oroszul beszélő, FIN12 elnevezésű csoportot azonosította be, akik korábban az UNC1878 név alatt futottak. E hackerbanda célcsoportjába különösen is az észak-amerikai, európai és ázsiai egészségügyi rendszerek tartoztak, de emellett oktatási, pénzügyi, technológiai intézményeket ellen is intéztek támadásokat.
A Proofpoint 2021 júniusában hívta fel a figyelmet arra, hogy a váltságdíjat követelő hackercsoportok egyre inkább maguk mögött hagyják az emailüzeneteket, és az olyan vírushordozók felé fordulnak, mint a TrickBot és a BazaLoader.
Egy mélyebb elemzés, melyet a KELA kibervédelmi cég végzett 2021 augusztusában, arra az eredményre jutott, hogy 2020 júliusa és 2021 júniusa között egy átlagos rendszerbe való bejutás költsége 5400 USD körül volt. Különösen, hogy némely hacker olyan etikai alapra helyezkedett, hogy egészségügyi rendszerek ellen irányuló támadásokhoz nem ad el eszközöket.
A FIN12 kifejezetten egészségügyi intézményeket támadó gyakorlata azt sugallja, hogy a rendszerek feltöréséhez használt eszközök engedélyezték a FIN12-nek, hogy válogassanak az áldozatok azon listájáról, akikhez már sikerült korábban beférkőzniük.
A Mandiant arra is rámutatott, hogy 2021 májusában feltört emailcímekről adathalász emailek özönét küldték ki, mielőtt alkalmazni kezdték volna a Cobalt Strike Beacon-t és a WEIRDLOOP-t a fizetésekhez. A 2021 februárja és áprilisa közti támadások nagy része távoli eléréssel történt.
A FIN12 más hackerbandákkal ellentétben csak nagyon ritkán érdekelt adatlopásban, vagyis a nem fizető vagy késlekedő áldozatok adatainak fokozatos kiszivárogtatásában, hogy meggyorsítsák a kívánt összeg átutalását. A Mandiant szerint a FIN12 a gyorsaságot értékelte, és leginkább azokat támadta, akik minél hamarabb szerették volna visszanyerni a hozzáférésüket és a lehető legkevesebb tárgyalásba kívántak belebocsátkozni. Valószínűleg ez a magyarázata annak, hogy miért az egészségügyi rendszerek jelentették a fő célcsoportjukat.
Az egészségügyi intézmények mindig is kedvelt célpontjai voltak a különböző hackertámadásoknak. A koronavírus újabb és újabb hullámai viszont kifejezetten az érdeklődés középpontjába helyezték őket, és jelentősen megnövekedtek az ellenük irányuló váltságdíjat követelő akciók.
A Kerubiel szakemberei már a koronavírus-járvány kezdete óta felajánlották segítségüket az egészségügyi intézmények számára, hogy kedvezményesen auditálják és felkészítik azok számítógépes rendszereit, hogy elkerülhessék a fentihez hasonló támadásokat és az abból fakadó leállást és károkat. Bővebb tájékoztatásért keresse szakembereinket, akár személyesen is az Infotér Konferencián a jövő héten.