idNSA.id - Pelaku ancaman bermotivasi finansial telah diidentifikasi terkait dengan serangkaian serangan ransomware RYUK sejak Oktober 2018, sambil mempertahankan kemitraan dengan pelaku ancaman yang berafiliasi dengan TrickBot dan menggunakan gudang alat yang tersedia untuk umum seperti muatan Cobalt Strike Beacon untuk berinteraksi dengan jaringan korban.
Perusahaan keamanan siber Mandiant mengaitkan kejadian ini dengan kelompok peretas Rusia yang baru berganti nama sebagai FIN12, dan sebelumnya dilacak dengan nama UNC1878 , dengan fokus penyerangan kepada organisasi perawat kesehatan dengan pendapatan lebih dari $300 juta, motif yang lain seperti , pendidikan, keuangan, manufaktur, dan sektor teknologi, yang berlokasi di Amerika Utara, Eropa, dan Asia Pasifik.
Metode yang dilakukan oleh FIN12 memiliki ketergantungan pada mitra untuk mendapatkan akses awal ke lingkungan korban," kata peneliti Mandiant . "Khususnya, alih-alih melakukan pemerasan multifaset, taktik yang dilakukan oleh pelaku ancaman ransomware lainnya memprioritaskan kecepatan dan pendapatan yang lebih tinggi melalui korban."
FIN12 memiliki target dalam sektor perawat kesehatan yang menunjukkan bahwa akses awalnya "memberikan jaring yang lebih luas dan memungkinkan aktor FIN12 untuk memilih dari daftar korban setelah akses diperoleh."
FIN12 juga membedakan dirinya dari aktor ancaman penyusupan lainnya karena jarang terlibat dalam pemerasan pencurian data — taktik yang digunakan untuk membocorkan data yang di eksfiltrasi ketika korban menolak untuk membayar — yang menurut Mandiant berasal dari keinginan aktor ancaman untuk bergerak cepat dan menyerang target yang bersedia menyelesaikan dengan negosiasi minimal untuk memulihkan sistem kritis, faktor yang mungkin menjelaskan minat mereka yang meningkat untuk menyerang jaringan layanan kesehatan.
"Rata-rata waktu yang dihabiskan untuk mengambil tebusan (TTR) di seluruh kejadian yang dilakukan FIN12 yang melibatkan pencurian data adalah 12,4 hari (12 hari, 9 jam, 44 menit) dibandingkan dengan 2,48 hari (2 hari, 11 jam, 37 menit) di mana pencurian data tidak terlalu dimonitoring, " kata para peneliti. "Keberhasilan nyata FIN12 tanpa perlu memasukkan metode pemerasan tambahan kemungkinan memperkuat gagasan ini."
“[FIN12 adalah] aktor FIN pertama yang kami promosikan yang berspesialisasi dalam fase tertentu dari siklus serangan — penyebaran ransomware — sambil mengandalkan aktor ancaman lain untuk mendapatkan akses awal ke korban,” kata Mandiant. "Spesialisasi ini mencerminkan ekosistem ransomware saat ini, yang terdiri dari berbagai aktor yang berafiliasi longgar yang bermitra bersama, tetapi tidak secara eksklusif satu sama lain."
