警惕！医疗行业成为将FIN12勒索软件组织新目标

勒索病毒大流行，医疗行业惨被勒索软件组织FIN12盯上，或笼罩勒索阴云。

在大多数勒索软件攻击活动中，网络犯罪分子都会花大量的时间在目标用户的网络系统上寻找需要窃取的高价值数据。但现在又出现了一个网络犯罪组织，他们能够使用高效的恶意软件，快速精准地寻找到目标系统中的敏感数据以及高价值目标。

这个网络犯罪组织名叫FIN12，他们甚至可以在不到两天的时间里在目标网络上部署并执行文件加密Payload，而其中FIN12所部署的大部分恶意软件都是Ryuk勒索软件。

稳准狠的FIN12勒索软件组织

FIN12勒索软件组织从2018年10月份进入大众视野，一直以多产高效“著称”，业内分析称是TrickBot网络犯罪组织的亲密合作伙伴。不同于常规勒索软件组织，FIN12勒索软件组织一般不会对加密的数据进行过滤处理，而是简单粗暴地直接进行数据窃取和加密。这就意味着，与其他勒索软件攻击操作相比，FIN12勒索软件组织可以进行更加快速的攻击，甚至可以在不到两天的时间里完成从初始入侵到最终数据加密的全部操作。

根据研究人员收集到的调查数据，大多数盗取数据的勒索团伙在攻击活动中的驻留时间（在目标系统中）为五天左右，而勒索软件攻击的平均驻留时间为12.4天。但自从FIN12出现之后，这个平均驻留时间每年都在下降，直到2021年上半年，勒索软件攻击的平均驻留时间甚至已经下降到了三天左右。

下图显示的是勒索软件攻击驻留时间的变化图：

在获取到目标组织的初始访问权之后，FIN12勒索软件组织并不会浪费任何时间去攻击目标用户，在大多数情况下，他们当天就会立刻采取行动。

根据研究人员观察到的信息，FIN12勒索软件组织特别喜欢使用Ryuk勒索软件，但根据Mandiant研究人员透露的信息，FIN12勒索软件组织也曾经使用过Ryuk勒索软件的升级版本，即Conti勒索软件。

在执行攻击的过程中，FIN12勒索软件组织还曾向多家云存储提供商泄漏了约90GB的数据，并勒索受害者两次，以使其数据远离公共空间。

医疗行业成勒索“香饽饽”

近日，网络安全公司Mandiant发布的FIN12勒索软件组织简报中，指出其将主要攻击目标盯上了医疗保健领域。

下图显示的是FIN12的攻击目标分布图：

由上图可以看出，在2019年和2020年，FIN12勒索软件组织的大部分目标用户都位于北美地区，即其中71%在美国，12%在加拿大。从今年开始，该组织似乎已将重点转向上述两个地区以外的组织，即将目标转移到了澳大利亚、哥伦比亚、法国、印度尼西亚、爱尔兰、菲律宾、韩国、西班牙、阿拉伯联合酋长国和英国地区的组织机构。

长期以来，医疗保健行业一直都是FIN12的重点目标，即使在新冠疫情期间也是如此，因为Mandiant观察到的近20%的FIN12攻击针对的都是医疗保健行业的实体。

研究人员通过分析还发现，FIN12勒索软件组织本身并没有通过入侵的手段来渗透进目标网络系统，而是通过TrickBot和BazarLoader从他们的合作伙伴那里获得了目标系统的初始访问权，不过这里还会涉及到一些其他的初始访问向量。

Mandiant研究人员表示，尽管FIN12使用了“重叠的工具集和服务，包括后门、Dropper和代码签名证书”，但他们仍将该组织视为一个独特的网络犯罪团伙，因为他们的所有攻击行为表明他们可以独立于这两个恶意软件家族来展开攻击活动。

总结

从Mandiant研究人员的分析来看，2020年至今，FIN12勒索软件组织尝试了Convenant/Grunt、GRIMAGENT和Anchor后门等多种工具，并在2020年11月重新启用了Cobalt Strike Beacon。很多研究人员都认为，FIN12网络犯罪组织成员应该是位于独立国家联合体（独联体）地区，一群以俄语为母语的人员。

不过毫无疑问，FIN12网络犯罪组织可能会进一步发展和扩大其业务，并将数据盗窃作为更常见的攻击阶段。