勒索軟件入侵組織 FIN12 在歐洲崛起

Mandiant 警告說，一個長期運行的威脅組織在快速部署勒索軟件和醫療保健部門受害者方面有著良好的記錄，正在加強其在歐洲和亞太地區的業務 。

在一份詳細介紹 FIN12 工作的新報告中，這家威脅情報公司聲稱，自 2018 年首次記錄其活動以來，這個多產的威脅組織主要關注北美目標。

大約 85% 來自該地區，到目前為止 20% 是醫療保健部門組織，許多勒索軟件組織承諾在大流行期間避開這些組織。

對于世界其他地方的組織來說，壞消息是 FIN12 似乎正在改變其地理重點。

“我們在 2021 年上半年觀察到的北美以外的受害者組織數量是我們在 2019 年和 2020 年觀察到的總和的兩倍。總的來說，這些組織的總部設在澳大利亞、哥倫比亞、法國、印度尼西亞、愛爾蘭、菲律賓、韓國、西班牙、阿拉伯聯合酋長國和英國，”  Mandiant 在一篇博文中解釋道。

“這種轉變可能是由于各種因素造成的，例如 FIN12 與更多不同的合作伙伴合作以獲得初始訪問權限以及美國政府越來越高和不必要的關注。”

該組織顯然使用 Ryuk 勒索軟件瞄準收入超過 3 億美元的組織，與網絡地下的其他參與者合作進行初始訪問，尤其是那些與 Trickbot 和 BazarLoader 惡意軟件有關聯的組織。

通過這些合作伙伴關系并避免雙重勒索策略，FIN12 大大縮短了將勒索軟件部署到受害者網絡所需的時間。

“在 2021 年上半年，與 2020 年相比，FIN12 顯著提高了他們的 TTR，將其縮短了一半，僅 2.5 天，”Mandiant 說。 

“這些效率提升是通過他們在攻擊生命周期的單個階段的專業化實現的，這使威脅參與者能夠更快地開發專業知識。”