FIN12 ランサムウェアは医療機関を狙う:時間をかけない素早い侵害が特徴

FIN12 hits healthcare with quick and focused ransomware attacks

2021/10/07 BleepingComputer — ランサムウェアの多くは、被害者のネットワーク上で時間をかけて、重要なデータを盗み出そうとする。しかし、あるグループは、機密性の高い、価値の高いターゲットに対して、マルウェアを素早く展開することを好む。FIN12 グループは、ファイルを暗号化するペイロードを、ターゲット・ネットワーク上で実行するのに2日もかけず、その大半で Ryuk ランサムウェアを用いている。

動きの速い FIN12

FIN12 は、2018年10月ころからランサムウェア攻撃を実行し、金銭に強い関心を持つとされる、活発に動きまわる脅威アクターである。このグループは、TrickBot ギャングと密接な関係にあり、あらゆる分野と地域における、高収益のビジネス ($300 million 以上) をターゲットにしている。

FIN12 の特徴は、ほとんどのランサムウェア・ギャングが身代金支払いを促すために採用している、データ流出のステップをスキップすることだ。この特徴により、他のランサムウェアに比べて、きわめて速いスピードで攻撃を実行することが可能となり、最初の侵害からファイルの暗号化まのでステップを、2日以内に完了してしまう。

調査で収集したデータによると、データも盗むランサムウェア・ギャングの多くは、滞留時間の中央値が5日間で、平均値が 12.4日となっている。FIN12 の場合、被害者のネットワークに滞在する平均時間は短縮され、2021年前半には3日以下になっている。最初のアクセスを得た後に、このグループは時間を無駄にすることなく、ほとんどのケースに置いて、同じ日に活動を開始している。

FIN12 は、ランサムウェア Ryuk を、好んで導入することで知られているが、Mandiant が調査した1つの攻撃では、Ryuk の後継となる Conti も使用していた。
この攻撃では、FIN12 は約 90GB のデータを、複数のクラウド・ストレージ・プロバイダに流出させ、そのデータを公開すると、被害者を2度にわたって脅迫した。

Conti ランサムウェアは、2019年末に別にインシデントで登場したが、Ryuk とコードを共有している。Conti の活動は、Ryuk ランサムウェアの攻撃頻度が低下し始めた、2020年7月ころから活発化している。

研究者によると、FIN12 が関与したランサムウェア・インシデントには、Ryuk を用いてデータを摂取するというケースも含まれる。それらの事件では、情報は攻撃者のマシンに流出したが、恐喝には活用されなかった。Mandiant によると、2020年9月以降のインシデント対応のうち、約20%が FIN12 の侵入に関するものだという。

最も狙われているのはヘルスケア分野

今日、Mandiant が発表した同グループのプロフィールでは、FIN12 の被害者の多くがヘルスケア分野にいることが指摘されている。2019年と 2020年には、FIN12 の被害者の大半が北米に位置しており、71% が米国で、12%がカナダとなっていた。今年から FIN12 は、北米以外の組織に焦点を移しているようで、オーストラリア/コロンビア/フランス/インドネシア/アイルランド/フィリピン/韓国/スペイン/UAE/英国の企業を標的にしている。

Mandiant が観測した FIN12 攻撃の 20% ほどが、医療業界に対するものであった。つまり、Covid-19 パンデミックの際にも、ヘルスケア分野の組織は、常に FIN12 の標的になっていた。

TrickBot による初期アクセス

研究者たちによると、FIN12 は自らネットワークに侵入したのではなく、パートナー企業である TrickBot や BazarLoader から、初期アクセスを得ていた。Mandiant は FIN12 について、バックドア/ドロッパー/証明書コード化などの、重複するツールセットやサービスを使用していたが、これらの2つのマルウェア。ファミリーから独立して活動していたことで、このグループを別個の脅威アクターとして追跡したと述べている。

研究者が観測した最初のアクセスベクターには、フィッシングメールや Citrix 環境へのリモートログインの危険性が含まれている。研究者たちは、FIN12 が被害者を選択する際に、TrickBot の管理パネルを利用して、感染したマシンとの通信を可能にしていたと考えている。搾取後のツールの選択においても、FIN12 はトレンドに合わせて TTP を常に進化させている。

2020年2月以降、同グループの侵入行為で一貫しているのは、Cobalt Strike Beacon の使用である。その以前、2019年半ばまでは、PowerShell ベースの Empire post-exploitation framework を使用していた。Mandiant によると、2020年に活動を中断した後に、このグループは他のツール (Convenant/Grunt/GRIMAGENT/Anchor のバックドアなど) を試したが、2020年11月には Beacon に戻ったとのことだ。

FIN12 は、独立国家共同体(CIS)地域に所在する可能性のある、ロシア語を話す個人のグループだと考えられている。FIN12 は、より多様なサイバー犯罪者との連携により、一般的な攻撃のステップとしてデータ窃取を含む方向へと、その活動を進化/拡大させていくと考えられている (例:リークサイトを利用したランサムウェアの運用) 。

この記事を読むと、TrickBot や BazarLoader が最初の侵入を行い、標的としての準備が整っている対象を、FIN12 が購入して高速で侵害するというシナリオのようですね。しっかりとした、分業体制とエコシステムが確立されているのが分かります。このブログには、初めて登場する FIN12 ですが、かなり手強い相手のようです。

%d bloggers like this: