Nelle ultime settimane è stata pubblicata un analisi su un gruppo criminale i cui attacchi risalgono all’ottobre 2018. Il gruppo, al quale è stato attribuito il nome FIN12, si distingue dalle altre Ransomware Gang per i suoi target. Sono stati osservati numerosi attacchi ad aziende nel settore sanitario e ospedaliero, con richieste di riscatto particolarmente elevate.
Caratteristiche di FIN12
Il gruppo è caratterizzato dalla sua rapidità di esecuzione e negoziazione, in particolare, raramente sono stati osservati tentativi di doppia estorsione (un ulteriore riscatto viene richiesto ricattando la vittima della pubblicazione dei dati sottratti). La velocità nel richiedere un riscatto è data anche dal fatto che le operazioni del gruppo si limitano al deploy di malware (principalmente ransomware) a seguito dell’acquisto di un accesso ottenuto da terzi (Access Broker). Per le attività nelle macchine delle vittime sono stati osservati i deploy di TRICKBOT (un malware largamente diffuso in Italia) e successivamente di BAZARLOADER.
Dando priorità alla rapidità nel deploy del ransomware e richiesta di riscatto i criminali tralasciano (non sempre) la possibilità di sottrarre dati alla vittima.
Le attività del gruppo sono state osservate principalmente in Nord America, ma sono stati osservati attacchi anche nel resto del mondo, inclusa l’Europa. La possibilità di subire un attacco da parte di FIN12 non è da escludersi, è quindi necessario mantenere alta l’attenzione in quei settori (ospedaliero e sanitario) in cui il rischio potrebbe essere sottovalutato.