FIN12 گروه باج افزاری سریع و پیشرفته

در حالی که اکثر گروه‌های باج افزاری زمان خود را برای جستجو و سرقت داده‌های مهم در شبکه قربانی صرف می‌کنند، گروهی از بدافزارها با استقرار سریع در شبکه اهداف حساس و با ارزش، بدون اتلاف وقت اطلاعات مورد نظر خود را دریافت می‌کنند.

FIN12 که یک گروه بدافزاری است، در کمتر از دو روز و با استفاده از باج‌افزار Ryuk اطلاعات اهداف موجود در شبکه‌ای خاص را با رمزکردن فایل‌ها به سرقت می‌برد. این گروه حداقل از تاریخ اکتبر ۲۰۱۸، تمرکز خود را بر درآمدزایی از طریق اجرای باج‌افزار‌ و حمله به شبکه‌های مختلف معطوف کرده است. گروه FIN12 رابطه بسیار نزدیکی با گروه TrickBot دارد و تاکنون به اهدافی با درآمد بالا حمله کرده که توانسته در نقاط مختلفی از جهان بالغ بر ۳۰۰ میلیون دلار باج دریافت کند.

FIN12 چگونه عمل می‌کند؟

FIN12 با حذف مرحله تخلیه انبوه داده‌ها که توسط بیشتر گروه‌های باج‌افزاری انجام می‌شود، شانس درآمدزایی خود را افزایش می‌دهد. این ویژگی به آنها اجازه می‌دهد تا سریع‌تر از دیگر رقبای خود حمله کرده و در کمتر از دو روز به مرحله رمزگذاری اطلاعات قربانی برسند. بر اساس داده‌های به دست آمده از محققان، بیشتر گروه‌های باج‌افزاری با میانگین 5 روز و حداکثر 12.4 روز باج‌گیری خود را انجام می‌دهند. اما با حضور FIN12، متوسط ​​زمان صرف شده در شبکه قربانی هر سال کاهش یافته است تا جایی که در نیمه اول سال 2021 به کمتر از 3 روز رسیده است. 

طبق تحقیقات، پس از دسترسی اولیه آنها هیچ زمانی را از دست نداده و در همان روز نفوذ به شبکه، اقدام به حمله می‌کنند. گروه FIN12 ترجیح می‌دهد باج‌افزار Ryuk را در سیستم‌ها توزیع کند و در برخی موارد نیز از باج‌افزار Conti، جانشین Ryuk، استفاده می‌کنند. آنها تنها در یک حمله، بیش از ۹۰ گیگابایت اطلاعات را به چند سرور ابری منتقل کرده و دو مرتبه از قربانی خود اخاذی کرده‌اند. آمارها نشان می‌دهند که ۲۰% از حملاتی که از تاریخ سپتامبر ۲۰۲۰ صورت گرفته‌اند، مرتبط با این گروه بوده است.

هدف FIN12 چیست؟

بر اساس گزارش منتشر شده از شرکت Mandiant، اکثریت قربانیان این گروه را بخش سلامت و درمان تشکیل می‌دهد و حتی در زمان همه‌گیری کووید-19، تقریباً 20 درصد از حملات FIN12 علیه اشخاص فعال در این زمینه بوده است. از ابتدای سال جاری، این گروه به دنبال اهدافی از استرالیا، کلمبیا، فرانسه، اندونزی، ایرلند، فیلیپین، کره جنوبی، اسپانیا، امارات متحده عربی و انگلستان بوده است.

آنگونه که محققان بیان کرده‌اند، آنها در مرحله اول، خود به شبکه نفوذ نمی‌کنند بلکه این عمل را با استفاده از شرکای خود یعنی، TrickBot و BazarLoader انجام می‌دهند. علیرغم اینکه ارتباطات متعددی بین این گروه و دیگر گروه‌ها برای انجام کار اشتراکی در نفوذ به سیستم دیده شده، اما به نظر می‌رسد که در نهایت عملکرد این گروه بدافزاری کاملاً مستقل از دو گروه دیگر بوده است. محققان بر این باورند که یکی از راه‌های انتخاب قربانیان از سوی این گروه، استفاده از پنل ادمین گروه TrickBot است که امکان تعامل با شبکه‌های در معرض آسیب را برای آنها فراهم می‌کند. 

FIN12 که به نظر می‌رسد منشأ روسی داشته باشد، به احتمال زیاد بیشتر توسعه خواهد یافت و با شروع همکاری با طیف گسترده‌تری از مجرمان سایبری (به عنوان مثال گروه‌های باج افزاری با هدف نشت داده‌ها) خود را برای سرقت اطلاعات به عنوان مرحله شایع‌تر حمله آماده می‌کند.