Mandiant annuncia di aver assegnato a un attore delle minacce motivato finanziariamente lo status di “FIN12”.
FIN12 ha preso di mira in maniera aggressiva e deliberata strutture sanitarie tramite l’utilizzo di ransomware durante tutto il periodo di pandemia e ha rappresentato quasi il 20% di tutte le attività ransomware a cui Mandiant ha risposto durante l’ultimo anno.
A differenza di altre operazioni ransomware osservate di recente, FIN12 non si concentra sul furto di dati da utilizzare per l’estorsione, ma dà priorità alla velocità delle sue operazioni. Di conseguenza, il loro tempo medio per il riscatto è di circa 2,5 giorni, che è circa due volte e mezzo più veloce di altri gruppi hacker. Questo evidenzia la crescente preoccupazione delle organizzazioni, in quanto gli attori delle minacce stanno migliorando in termini di dimensione, con team più grandi e strutturati, e nell’efficienza delle loro attività
Mandiant spiega come agisce FIN12
Kimberly Goody, Director of Financial Crime Analysis di Mandiant ha spiegato che FIN12 è uno degli attori di minacce ransomware più aggressivi rilevati e tracciati da Mandiant. A differenza di altri attori che stanno realizzando altre forme di estorsione, questo gruppo resta focalizzato esclusivamente sul ransomware, muovendosi più velocemente di altri gruppi e avendo come obiettivi grandi organizzazioni. Loro sono gli autori di diversi attacchi al sistema sanitario e si concentrano su vittime ad alto fatturato. «Questi attori non hanno limiti, si focalizzeranno senza pensieri su ospedali e strutture sanitarie e infrastrutture critiche. Questo dimostra che scelgono di non rispettare le regole», ha concluso Goody
Durante la prima metà del 2021, l’80% delle vittime di FIN12 sono localizzate in Nord America. Sempre nei primi sei mesi del 2021, Mandiant ha rilevato più del doppio delle vittime, con sede fuori da questa regione rispetto all’intero 2019 e 2020 combinati; con molte di queste nuove vittime che sono di base in Europa e nella regione dell’Asia Pacific. Visto che molte Nazioni presenti in quelle aree geografiche hanno un sistema sanitario nazionale, possiedono un maggior rischio di essere attaccate da parte di FIN12, in quanto questi network offrono servizi sanitari per un numero maggiore di cittadini rispetto a qualsiasi azienda sanitaria privata del Nord America.