Grupo de habla rusa ‘FIN12’ acusado de ataques de ransomware en hospitales

Los ataques de ransomware en hospitales durante el apogeo de la pandemia de coronavirus el año pasado fueron lanzados por “FIN12”, un grupo de presuntos delincuentes de habla rusa, dijo el jueves la compañía de ciberseguridad Mandiant.


Kimberly Goody, directora de análisis de delitos financieros de Mandiant, dijo a los periodistas que FIN12 llega a los hospitales y se mueve más rápido que otras bandas de ransomware que retienen sistemas informáticos y datos como rehenes hasta que las víctimas pagan.

Si bien algunos ciberdelincuentes pusieron los hospitales fuera de los límites, FIN12 los consideró objetivos lucrativos: sus víctimas tienen un ingreso anual promedio de $ 6 mil millones, según el análisis de Mandiant.

“En octubre de 2020, hubo una alerta conjunta de varias entidades gubernamentales de EE. UU. Que destacó específicamente esta mayor amenaza de ataques de ransomware al sector de la atención médica; creemos firmemente que esta alerta fue, al menos parcialmente, en respuesta a las operaciones de FIN12”, dijo la Sra. Dijo Goody.


En octubre pasado, varias agencias del gobierno federal publicaron una advertencia conjunta de seguridad cibernética advirtiendo que el gobierno federal tenía “información creíble de una amenaza creciente e inminente de delitos cibernéticos para los hospitales y proveedores de atención médica de EE. UU.”

Las agencias notaron entonces que los atacantes usaban el ransomware Ryuk, que la Sra. Goody dijo que FIN12 ha usado constantemente incluso cuando otras bandas cambian entre las variedades de ransomware que implementan.

Los ataques de ransomware aumentaron drásticamente en el último año y se llevaron víctimas de alto perfil del sector de la atención médica a una empresa de oleoductos que suministraba combustible a la costa este y a un importante productor de carne.

Deberías leer:   Reseña de la película 'The Great Escape' 4K Ultra HD

Por ejemplo, Sky Lakes Medical Center en Oregon fue uno de los hospitales que fueron atacados con ransomware en octubre de 2020, y el portavoz del centro, Tom Hottman, dijo anteriormente que no había indicios de que la información de salud personal estuviera comprometida o compartida en ese momento. Los pacientes tuvieron la oportunidad de rehacer las imágenes médicas sin costo alguno debido al cifrado de sus imágenes médicas por parte del ransomware.

El informe sobre FIN12 se produjo cuando Microsoft emitió un informe el jueves que encontró que Rusia representó la mayor parte de los ataques estatales detectados por el gigante del software durante el año pasado, con una participación del 58%, principalmente dirigida a agencias gubernamentales y grupos de expertos en los EE. UU.

La devastadora efectividad del hackeo SolarWinds no detectado durante mucho tiempo, que principalmente violó empresas de tecnología de la información, incluida Microsoft, también aumentó la tasa de éxito de los piratas informáticos respaldados por el estado ruso al 32% en el año que finalizó el 30 de junio, en comparación con el 21% en los 12 meses anteriores.

Mientras tanto, China representó menos de 1 de cada 10 de los intentos de piratería informática respaldados por el estado que Microsoft detectó, pero tuvo éxito el 44% de las veces en irrumpir en redes específicas, dijo Microsoft en su segundo Informe anual de defensa digital, que cubre desde julio de 2020 hasta junio. 2021.

Deberías leer:   Cómo fue el jurado de Elizabeth Holmes durante 18 semanas

El informe de Microsoft también citó los ataques de ransomware como una plaga grave y creciente, siendo Estados Unidos, con mucho, el país más atacado, golpeado por más del triple de los ataques de la siguiente nación más atacada.

El presidente Biden ha tratado de frustrar a los ciberdelincuentes rusos pidiéndole al presidente ruso Vladimir Putin que actúe contra los ciberdelincuentes dentro de su país. La administración Biden también ha sancionado recientemente a un intercambio de criptomonedas que opera en Rusia por supuestamente facilitar los pagos a las bandas cibernéticas.

El informe de Mandiant sobre FIN12 dijo que los miembros del grupo están “probablemente compuestos por actores de habla rusa que pueden estar ubicados en países de la Comunidad de Estados Independientes (CEI)”, que incluye a Rusia y ex miembros de la Unión Soviética como Ucrania y Kazajstán.

Identificar quién es responsable de las operaciones de ransomware es un desafío porque, dijo Goody, las personas se unen y abandonan varios equipos de delitos informáticos todo el tiempo.

“No hay una nación con la que uno esté alineado en el espacio del delito cibernético y eso tiende a… enturbiar un poco las aguas”, dijo la Sra. Goody.

La Sra. Goody dijo que Mandiant rastreó la actividad de FIN12 hace aproximadamente tres años, tiempo durante el cual se ha dirigido tradicionalmente a las víctimas norteamericanas. Pero se expandió a más regiones del mundo en 2021.

Entre las características que hacen que FIN12 sea diferente de otras bandas de ransomware es que no está tan preocupado por el robo de datos. En el 90% de las intrusiones FIN12 observadas por Mandiant, dijo Goody, Mandiant no vio ningún robo de datos, que se ha convertido en una herramienta clave que utilizan los ciberdelincuentes para aprovechar los pagos de rescate de sus víctimas objetivo.

Deberías leer:   Los estados apelan la decisión de desestimar su caso antimonopolio de Facebook

En cambio, FIN12 se mueve rápido, y su tiempo de rescate después de violar un sistema fue aproximadamente 10 días más rápido cuando decidió no robar datos que cuando lo hizo.

Si bien Mandiant dijo que la mayor atención al ransomware por parte del gobierno de EE. UU. Puede llevar a FIN12 hacia posibles víctimas en Europa occidental y Asia, la amenaza del ransomware no ha disminuido.

A principios de esta semana, el general del ejército Paul Nakasone, director de la Agencia de Seguridad Nacional y comandante del Comando Cibernético de EE. UU., Dijo que estaba aumentando los recursos para responder a los problemas de seguridad nacional que plantea el ransomware.

“Tenemos un aumento en la actualidad tanto en la agencia como en el comando, en términos de comprensión de las amenazas que proporciona el rescate, comprensión de las tácticas, comprensión de cómo perseguimos a los adversarios”, dijo el general Nakasone en una conferencia organizada por Mandiant. en DC

Cuando el director ejecutivo de Mandiant, Kevin Mandia, le preguntó si el ransomware seguiría siendo un problema diario en cinco años, el general Nakasone respondió: “todos los días”.

Esta historia se basa en parte en informes de servicio de cable.

Regístrese para recibir boletines informativos diarios