FIN12 aumenta su actividad en el sector sanitario según un informe y afecta a los servicios mediante ataques ransomware con Ryuk

Las ciberamenazas dentro de las redes cuentan cada vez con más actores. El crecimiento de los ciberataques en los años de pandemia está siendo no solo evidente, sino también muy peligroso. La educación, el sector financiero o las infraestructuras críticas son más vulnerables con el tiempo. Pero si existe un sector que está siendo muy castigado, y que es especialmente importante, es el sanitario. Ciberataques a hospitales, centros de salud, campañas de phishing haciéndose pasar por la Seguridad Social crecen. Los ataques de tipo ransomware que más se repiten son los que tienen como actor principal a FIN12. En activo desde 2018, este actor de amenazas ha ido evolucionando con el tiempo y fijando objetivos de valor cada vez más elevado. Así lo detalla un informe de Mandiant Intelligence, quien aporta otros datos de valor. FIN12 aumenta su actividad en el sector sanitario según un informe.

Al igual que otros actores de amenazas, FIN12 tiene como principal motivación las finanzas. Según revela Mandiant Intelligence en su informe, FIN12 implementa, sobre todo, Ryuk para ataques ransomware. Con él ejecuta robos de datos, siendo la atención médica su sector favorito. Esta situación fue especialmente evidente durante la pandemia de COVID-19. El informe afirma que el 20% de sus víctimas se encuentra en la asistencia sanitaria, repartiéndose el resto entre finanzas, educación, manufactura y TI. Por supuesto, los objetivos son lo que en el argot se conoce como «peces gordos»; hablamos de grandes organizaciones con ingresos anuales superiores a los 300 millones de dólares, con un promedio de casi 6.000 millones de dólares. El informe añade que, desde septiembre de 2020, el 20% de los ataques estaban relacionados con intrusiones de FIN12. El porcentaje es elevado, y una muestra clara de su crecimiento.

Varios países entre los objetivos de FIN12

Ryuk no es el único método que usa FIN12 para llevar a cabo ciberataques. Según el informe, Conti es otro de los que suele usar para el robo de datos. En dos ocasiones, logró extorsionar a sus víctimas tras un robo previo de 90GB de datos. En relación a los lugares donde más está afectando FIN12, Estados Unidos lidera los datos con un 71% de los casos; Canadá se queda con un 12%. No obstante, FIN12 está ampliando horizontes y en 2021 hemos visto que se ha movido por otras zonas. El informe de Mandiant Intelligence cita a: Australia, Indonesia, Colombia, Francia, Irlanda, Filipinas, España, Corea del Sur, los Emiratos Árabes Unidos y el Reino Unido. Por último, comentar que acceder a las empresas se hizo uso de Trickbot y BazarLoader, aunque también se apostó por otros vectores. Puertas traseras, droppers y certificados de firma de códigos fueron algunos.