安全公司曼迪昂特情报公司(Mandiant Intelligence)已经对FIN12发出了警报，FIN12是勒索软件攻击背后的威胁因素，对医疗行业造成了不成比例的影响。

Mandiant将FIN12描述为“积极进取和有经济动机专门从事勒索软件的部署，同时依靠其他坏人来接近受害者。

研究人员在报告中写道：“FIN12的操作说明，当涉及勒索软件攻击时，没有目标是不受限制的，包括那些提供关键护理功能的攻击。”。

他们补充说:“近20%直接观察到的FIN12受害者在医疗行业，而且许多这些机构都运营医疗设施。”

为什么重要

根据Mandiant的说法，FIN12策划的勒索软件攻击可以追溯到几年前，至少到2018年10月。

它专门部署RYUK勒索软件，似乎优先考虑速度和更高的收入。值得注意的是，FIN12通常不会窃取受害者数据或利用其进行勒索。

报告作者承认:“然而，这些威胁行为者可能会在未来发展他们的行动，更频繁地包含数据盗窃，这是合理的。”

他们说，尽管该集团似乎“相对不可知行业”，但其行动在医疗行业产生了更大的影响。

报告称:“鉴于许多行动者拒绝将目标锁定在这个行业，获得医疗保健机构的服务可能也更容易或更便宜。”“然而，通过将目标锁定在医疗机构，FIN12可能会面临来自执法机构以及希望限制公众曝光的潜在合作伙伴的越来越严格的审查。

“虽然许多威胁行为体禁止以医院为目标，但其他人可能以医疗设施为目标，因为他们认为这些机构更有可能支付赎金。”

该组织已知的受害者中有近85%在北美，但有一些迹象表明，该地区的目标正在扩大。

报告的作者说:“我们怀疑FIN12很可能是由来自独联体国家的讲俄语的演员组成的。”“FIN12没有针对基于cis的组织和确定的合作伙伴，目前确认的RYUK用户都说俄语。”

Mandiant专家强调了关注FIN12等入侵行为体的重要性，特别是考虑到他们在勒索软件“品牌”之间切换的趋势

他们说：“这些忠诚的性质不断变化，这是为什么像FIN12这样的入侵运营商对于安全团队和组织了解和跟踪而不是只关注这些运营商在特定时刻选择分销的品牌和勒索软件系列非常重要的一个关键原因。”。

更大的趋势

过去几个月，美国政府和网络专家对各种勒索工具敲响了警钟，包括孔蒂,BlackMatter和LockBit.

与此同时，立法者们已经开始朝着支撑关键基础设施组织的网络安全防御，要么是胡萝卜加更多资源，要么是大棒加攻击或付款报告授权书.

记录在案

Mandiant报告称：“鉴于FIN12在勒索软件部署中的特殊作用、独立于这些家族工作的能力，以及我们对其他使用这些恶意软件生态系统获得的访问来部署勒索软件的不同威胁参与者的观察，我们将FIN12作为一个独特的威胁参与者进行跟踪。”。

Kat Jercich是医疗IT新闻的高级编辑。欧宝娱乐是黑平台
Twitter:@kjercich
电子邮件:kjercich@himss.org
欧宝娱乐是黑平台医疗IT新闻是HIMSS的媒体出版物。