勒索软件组织 FIN12 针对医疗健康机构进行持续APT攻击

自 2018 年 10 月以来，一个“激进的”出于经济动机的威胁参与者已被确定与一系列 RYUK 勒索软件攻击有关，同时与 TrickBot 附属威胁参与者保持密切合作关系，并使用 Cobalt Strike Beacon 负载等公开可用的工具库进行交互与受害者网络。

网络安全公司 Mandiant 将入侵归因于一个更名为 FIN12 的俄语黑客组织，之前以UNC1878的名义进行跟踪，其重点是收入超过 3 亿美元的医疗保健组织，其中包括教育、金融、制造、和技术部门，位于北美、欧洲和亚太地区。

使用初始访问代理来促进勒索软件部署并不新鲜。2021 年 6 月，企业安全公司 Proofpoint 的调查结果显示，勒索软件攻击者正越来越多地从使用电子邮件作为入侵途径转向从已经渗透到主要实体的网络犯罪企业购买访问权限，Ryuk 感染主要利用通过 TrickBot 等恶意软件系列获得的访问权限和 BazaLoader。

此外，网络安全公司 KELA 于 2021 年 8 月对初始访问经纪人进行的深入分析发现，2020 年 7 月至 2021 年 6 月期间，网络访问的平均成本为 5,400 美元，部分参与者采取道德立场，反对与医疗保健公司进行交易访问. FIN12 针对医疗保健行业的目标表明，其最初的访问经纪人“撒下了更广泛的网络，并允许 FIN12 参与者在已经获得访问权限后从受害者列表中进行选择。”

根据网络安全行业门户极牛网GEEKNB.COM的梳理，在 2021 年 5 月观察到，在导致部署 Cobalt Strike Beacon 和 WEIRDLOOP 有效载荷之前，威胁行为者通过从受感染的用户帐户内部分发的网络钓鱼电子邮件活动在网络中站稳了脚跟。据称，在 2021 年 2 月中旬至 4 月中旬之间发起的攻击还利用远程登录获取受害者 Citrix 环境的凭据。

尽管 FIN12 在 2019 年底的策略涉及使用 TrickBot 作为在网络中立足并执行后期任务的手段，包括侦察、提供恶意软件投放器和部署勒索软件，但该组织此后一直依赖 Cobalt Strike Beacon 有效载荷用于执行开发后活动。

FIN12 与其他入侵威胁行为者的区别还在于，它很少参与数据盗窃勒索——这是一种在受害者拒绝付款时泄露泄露数据的策略——Mandiant 表示，这源于威胁行为者希望迅速采取行动并打击目标愿意以最少的谈判达成和解以恢复关键系统，这也许可以解释他们对攻击医疗保健网络越来越感兴趣的原因。

安全研究人员称，在涉及数据盗窃的 FIN12 活动中，勒索赎金 (TTR) 的平均时间为 12.4 天（12 天 9 小时 44 分钟），而未发现数据被盗的情况为 2.48 天（2 天 11 小时 37 分钟）， FIN12 在不需要采用额外的勒索方法的情况下取得了明显的成功，这可能会强化这一观点。

FIN12 是我们正在推广的第一个 FIN 参与者，他们专门从事攻击生命周期的特定阶段（勒索软件部署），同时依靠其他威胁参与者来获得对受害者的初步访问，这种专业化反映了当前的勒索软件生态系统，该生态系统由各种松散关联的参与者组成，但不完全是彼此合作。