Группировка FIN12 стала намного быстрее шифровать сети своих жертв

Опасная вымогательская группировка FIN12 стала еще быстрее осуществлять шифрование сетей, стремясь вымогать выкуп от как можно большего числа жертв. Исследователи из Mandiant изучили атаки группировки FIN12 и обнаружили значительное сокращение времени между первоначальным проникновением в сети и их шифрованием с помощью программ-вымогателей.

Согласно отчету M-Trends 2022 компании Mandiant, среднее время между получением хакерами FIN12 первоначального доступа к сети и инициированием атаки программ-вымогателей сократилось с пяти дней до менее чем двух дней.

Одна из причин данного явления заключается в том, что вредоносные кампании FIN12 не фокусируются на поиске конфиденциальных данных и их краже до запуска атаки программы-вымогателя. Группировка часто нападает на больницы и медицинские учреждения, поскольку жертвы в сфере здравоохранения могут быть более склонны выполнить требования выкупа.

Существует несколько методов, которые FIN12 использует для проникновения в сети, в том числе получение доступа через бэкдоры, такие как TrickBot и BazarLoader. Несколько кампаний FIN12 использовали легитимные имена пользователей и пароли для входа в виртуальные среды, включая Microsoft Office 365. Предположительно, учетные данные были куплены на подпольных форумах.

FIN12, как правило, атакует организации в Северной Америке, но группировка вымогателей потенциально может быть нацелена на более широкий круг жертв по всему миру.