{"id":19010,"date":"2021-10-08T20:56:40","date_gmt":"2021-10-08T23:56:40","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19010"},"modified":"2021-10-08T20:56:43","modified_gmt":"2021-10-08T23:56:43","slug":"ransomware-group-fin12-perseguindo-agressivamente-as-metas-de-saude","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2021\/10\/exploits\/ransomware-group-fin12-perseguindo-agressivamente-as-metas-de-saude\/","title":{"rendered":"Ransomware Group FIN12 Perseguindo Agressivamente as Metas de Sa\u00fade"},"content":{"rendered":"\n\n\n

Um ator de amea\u00e7a “agressivo” com motiva\u00e7\u00e3o financeira foi identificado como vinculado a uma s\u00e9rie de ataques de ransomware RYUK desde outubro de 2018, mantendo parcerias estreitas com atores de amea\u00e7as afiliados ao TrickBot e usando um arsenal de ferramentas publicamente dispon\u00edvel, como cargas \u00fateis Cobalt Strike Beacon para interagir com redes de v\u00edtimas. <\/span><\/p>\n

\u00a0<\/p>\n

A empresa de seguran\u00e7a cibern\u00e9tica Mandiant atribuiu as invas\u00f5es a um grupo de hackers de l\u00edngua russa de codinome FIN12, e anteriormente rastreado como <\/span>UNC1878 <\/span>, com um foco desproporcional em organiza\u00e7\u00f5es de sa\u00fade com mais de US$ 300 milh\u00f5es em receita, entre outros, incluindo os setores de educa\u00e7\u00e3o, financeiro, manufatura e tecnologia , localizada na Am\u00e9rica do Norte, Europa e \u00c1sia-Pac\u00edfico. <\/span><\/p>\n

\u00a0<\/p>\n

“FIN12 depende de parceiros para obter acesso inicial aos ambientes das v\u00edtimas”, conforme os pesquisadores da Mandiant<\/span>. “Notavelmente, em vez de realizar extors\u00e3o multifacetada, uma t\u00e1tica amplamente adotada por outros atores de amea\u00e7as de ransomware, o FIN12 parece priorizar a velocidade e aumentar a receita das v\u00edtimas.” <\/span><\/p>\n

\u00a0<\/p>\n

\"\"<\/a><\/div>\n
\u00a0<\/div>\n
\n

O uso de corretores de acesso inicial para facilitar as implanta\u00e7\u00f5es de ransomware n\u00e3o \u00e9 novo. Em junho de 2021, descobertas da empresa de seguran\u00e7a corporativa Proofpoint <\/span>revelaram <\/span>que os agentes de ransomware est\u00e3o cada vez mais mudando do uso de mensagens de e-mail como uma rota de intrus\u00e3o para a compra de acesso de empresas cibercriminosas que j\u00e1 se infiltraram em grandes entidades, com infec\u00e7\u00f5es por Ryuk alavancando acessos obtidos por fam\u00edlias de malware como o TrickBot e BazaLoader. <\/span><\/p>\n

\u00a0<\/p>\n

O direcionamento do FIN12 para o setor de sa\u00fade sugere que seus corretores de acesso inicial “lan\u00e7am uma rede mais ampla e permitem que os atores do FIN12 escolham em uma lista de v\u00edtimas depois que os acessos j\u00e1 foram obtidos”. <\/span><\/p>\n<\/div>\n

\u00a0<\/p>\n

\"\"<\/a><\/div>\n

\u00a0<\/p>\n

A Mandiant tamb\u00e9m observou que em maio de 2021, atores de amea\u00e7as obtendo uma posi\u00e7\u00e3o segura na rede por meio de campanhas de e-mail de phishing distribu\u00eddas internamente de contas de usu\u00e1rios comprometidas, antes de levar \u00e0 implanta\u00e7\u00e3o de cargas \u00fateis Cobalt Strike Beacon e WEIRDLOOP.\u00a0 Ataques montados entre meados de fevereiro e meados de abril de 2021 tamb\u00e9m teriam tirado proveito de logins remotos, obtendo credenciais para ambientes Citrix das v\u00edtimas. <\/span><\/p>\n

\u00a0<\/p>\n

Embora as t\u00e1ticas de FIN12 no final de 2019 envolvessem o uso de TrickBot como um meio de manter uma posi\u00e7\u00e3o segura na rede e realizar tarefas de \u00faltimo est\u00e1gio, incluindo reconhecimento, entrega de droppers de malware e implanta\u00e7\u00e3o de ransomware, o grupo desde ent\u00e3o tem contado consistentemente em cargas \u00fateis de Cobalt Strike Beacon para a realiza\u00e7\u00e3o de atividades p\u00f3s-explora\u00e7\u00e3o. <\/span><\/p>\n

\u00a0<\/p>\n

FIN12 tamb\u00e9m se distingue de outros agentes de amea\u00e7a de intrus\u00e3o por n\u00e3o se envolver em extors\u00e3o de roubo de dados, uma t\u00e1tica usada para vazar dados exfiltrados quando as v\u00edtimas se recusam a pagar, o que Mandiant diz que decorre do desejo do ator da amea\u00e7a de agir rapidamente e atacar metas que est\u00e3o dispostas a se acertar com o m\u00ednimo de negocia\u00e7\u00e3o. <\/span><\/p>\n

\u00a0<\/p>\n

“O tempo m\u00e9dio de resgate (TTR) em nossos contratos FIN12 envolvendo roubo de dados foi de 12,4 dias (12 dias, 9 horas, 44 minutos) em compara\u00e7\u00e3o com 2,48 dias (2 dias, 11 horas, 37 minutos) em que o roubo de dados n\u00e3o foi observado, ” conforme os pesquisadores. “O aparente sucesso do FIN12 sem a necessidade de incorporar m\u00e9todos adicionais de extors\u00e3o provavelmente refor\u00e7a essa no\u00e7\u00e3o.” <\/span><\/p>\n

\u00a0<\/p>\n

\u201cFIN12 \u00e9 o primeiro ator FIN que estamos promovendo especializado em uma fase espec\u00edfica do ciclo de vida do ataque, implanta\u00e7\u00e3o de ransomware, enquanto confia em outros atores de amea\u00e7as para obter acesso inicial \u00e0s v\u00edtimas\u201d, observou Mandiant. “Esta especializa\u00e7\u00e3o reflete o ecossistema de ransomware atual, que \u00e9 composto de v\u00e1rios atores vagamente afiliados em parceria, mas n\u00e3o exclusivamente uns com os outros.” <\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2021\/10\/ransomware-group-fin12-aggressively.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Um ator de amea\u00e7a “agressivo” com motiva\u00e7\u00e3o financeira foi identificado como vinculado a uma s\u00e9rie de ataques de ransomware RYUK desde outubro de 2018, mantendo parcerias estreitas com atores de amea\u00e7as afiliados ao TrickBot e usando um arsenal de ferramentas publicamente dispon\u00edvel, como cargas \u00fateis Cobalt Strike Beacon para interagir com redes de v\u00edtimas. \u00a0 […]<\/p>\n","protected":false},"author":2,"featured_media":19011,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105,99],"tags":[],"class_list":["post-19010","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19010","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19010"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19010\/revisions"}],"predecessor-version":[{"id":19015,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19010\/revisions\/19015"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19011"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19010"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19010"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19010"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}