Connect with us

Technologie

La campagne Ryuk en évolution rapide cible les organisations de soins de santé

Published

on


Un groupe de cybercriminels nouvellement désigné renonce à la tactique généralisée de double extorsion en faveur d’une approche plus rétro des ransomwares, car elle cible impitoyablement les organisations de soins de santé utilisant Ryuk.

Surnommé FIN12 par les chercheurs sur les menaces mandiant qui le suivent depuis plus d’un an maintenant, le gang est responsable d’environ 20% de toutes les intrusions de ransomware aux personnes aux plus proches aux victimes de Mandiant au cours des 12 derniers mois.

La majorité de ses attaques ont abouti au déploiement de Ryuk contre ses cibles – bien qu’il y ait également des preuves qu’il s’agit d’une filiale mineure de Conti. FIN12 – le FIN fait référence à « motivé financièrement » dans le lexique de Mandiant – est remarquable en particulier parce que son délai moyen de rançon est d’environ deux jours et demi, environ deux fois plus rapide que les autres acteurs.

Mandiant a déclaré que cela mettait en évidence une préoccupation croissante selon laquelle les équipes plus grandes et l’efficacité accrue signifient que ces gangs améliorent leur volume global de victimes.

« FIN12 est l’un des acteurs de menaces de ransomware les plus agressifs suivis par Mandiant », a déclaré Kimberly Goody, directrice de l’analyse de la criminalité financière chez Mandiant. « Contrairement à d’autres acteurs qui se lancent dans d’autres formes d’extorsion, ce groupe reste concentré uniquement sur les ransomwares, se déplaçant plus rapidement que ses pairs et atteignant de grandes cibles.

« Ils sont à l’origine de plusieurs attaques contre le système de santé et ils se concentrent fortement sur les victimes à revenu élevé », a-t-elle déclaré.

« Rien n’est sacré avec ces acteurs – ils s’en prennent aux hôpitaux et aux établissements de santé, aux services publics et aux infrastructures critiques. Cela montre qu’ils choisissent de ne pas respecter les normes. »

Jamie Collier, consultant en renseignement sur les cybermenaces chez Mandiant, a déclaré que si le gang basé en Russie avait largement limité son ciblage aux organisations nord-américaines, il représentait maintenant une menace croissante de ce côté-ci de l’océan Atlantique.

« Mandiant a observé une hausse significative des opérations FIN12 ciblant les organisations européennes depuis le début de 2021, y compris celles basées en France, en Irlande, en Espagne et au Royaume-Uni », a-t-il déclaré.

« FIN12 est connu pour cibler les grandes organisations avec des revenus importants. L’Europe offre de nombreuses possibilités aux cybercriminels, compte tenu du grand nombre de grandes économies ainsi que de diverses grandes multinationales dont le siège est situé sur le continent.

« Le ciblage accru de FIN12 en dehors de l’Amérique du Nord est emblématique d’une tendance plus large, la menace de la cybercriminalité devenant de plus en plus grave en Europe », a déclaré Collier. « Malgré le grand nombre d’économies développées, la maturité en matière de cybersécurité des organisations européennes est relativement mitigée. Cela présente des opportunités évidentes pour les cybercriminels d’exploiter des entités qui sont encore en train de développer leur posture de cybersécurité. »

Mandiant a déclaré que le ciblage des organisations de soins de santé européennes était particulièrement préoccupant car, étant donné que de nombreux autres pays européens gèrent des systèmes de santé nationaux, tels que le NHS, une cyberattaque aurait un impact beaucoup plus large sur la vie des gens qu’une attaque contre une entreprise de soins de santé américaine privatisée.

Son équipe de recherche a ajouté que l’accent accru mis sur la lutte contre les attaques de ransomware aux plus hauts niveaux du gouvernement américain, avec des menaces de répercussions dans le monde réel, y compris la répression du blanchiment d’argent par le biais d’échanges cryptographiques, rendait probablement moins souhaitable pour des gangs tels que FIN12 d’opérer aux États-Unis.

Blitzkrieg ransomware

La nature blitzkrieg d’une attaque FIN12 est devenue possible grâce au travail acharné d’autres personnes dans le réseau cybercriminel clandestin, et tire pleinement parti d’un réseau de collaborateurs pour atteindre ses objectifs – et ce n’est pas non plus l’acteur derrière Ryuk ou Conti, simplement un affilié actif. Essentiellement, il agit comme l’étape finale d’une chaîne d’événements menant à l’exécution de ransomware sur un réseau cible.

Il travaille en étroite collaboration avec des acteurs associés au développement de Trickbot et d’autres logiciels malveillants, tels que Bazarloader, en tant que vecteur d’intrusion initial, et ces relations étroites semblent avoir ouvert la porte à un modèle de partage des ressources plus diversifié au cours des 18 derniers mois environ. FIN12 semble maintenant rechercher les outils et services d’autres acteurs de la menace pour augmenter l’efficacité de ses attaques.

Après avoir obtenu l’accès, FIN12 utilise presque toujours Cobalt Strike pour interagir avec les réseaux de victimes au fur et à mesure qu’il traverse les phases finales de l’attaque – le gang semble avoir choisi Cobalt Strike comme outil préféré vers février 2020. Il utilise un certain nombre d’autres tactiques pour maintenir la présence, se déplacer latéralement et élever ses privilèges, avant d’exécuter Ryuk.

Mandiant a dit que bien que FIN12 s’appuie fortement sur d’autres pour obtenir l’accès à des organisations, elle a probablement une certaine contribution dans la sélection de ses victimes, comme en témoigne son ciblage des organismes de santé dont les revenus s’étendent sur plus de 300 millions de dollars. L’équipe de recherche estime que les partenaires et les amis de FIN12 ratissent large et laissent FIN12 choisir parmi une liste de victimes une fois l’accès établi.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance