Um grupo cibercriminoso de ransomware vem atacando empresas americanas nos últimos meses. A gangue, que usa o idioma russo, tem focado organizações americanas com receita acima de U$ 300 milhões, especialmente no setor de saúde.
De acordo com um relatório da empresa Mandiant, o grupo FIN12 ataca agressivamente e emprega ferramentas de hacking conhecidas. No ano passado, 20% dos ataques de ransomware investigados pela empresa partiram dessa gangue – bem acima dos 5% do grupo seguinte.
“Ao contrário de outros grupos, este perseguiu vítimas em setores críticos como saúde, mesmo durante a pandemia, quando várias gangues afirmaram que não teriam como alvo essas organizações.”, disse Kimberly Goody, diretora de análise de crimes cibernéticos da empresa.
O ano tem sido marcado por grandes ataques de ransomware, como aqueles contra a Colonial Pipeline, JBS e Kaseya elevando o assunto à atenção da Casa Branca. O governo Biden anunciou recentemente planos de reunir 30 nações para acelerar a cooperação em crimes cibernéticos e concentrar mais atenção no uso ilícito de criptomoedas.
Os pesquisadores dizem que FIN12 se destacou em um cenário em que gangues sobem, caem e se reorganizam constantemente. A lista de outras gangues emergentes que as empresas de ameaças cibernéticas têm destacado incluem Atom Silo, BlackMatter, Haron, Prometheus e outros. (“FIN” é o rótulo que a Mandiant designa para grupos hackers com motivação financeira. É o primeiro a receber essa designação desde outubro de 2020, e o segundo desde meados de 2017.)
Resgate alto, pouca negociação
Ao contrário de outras gangues, a FIN12 não adota a “extorsão dupla“, uma técnica em que os hackers bloqueiam os dados da vítima e, em seguida, ameaçam publicar caso não haja pagamento. Ao evitar extorsão dupla, Goody diz que o grupo FIN12 não precisa se demorar nos sistemas dos alvos para extrair informações. De acordo com a Madiant, na média os invasores permanecem cinco dias dentro das redes de uma empresa – para o FIN, o prazo é de dois dias.
De acordo com o relatório, o FIN12 ataca alvos de alto faturamento e de setores críticos (como o de saúde) porque espera bons resgates com o mínimo de negociação – redes de hospitais, por exemplo, não podem ficar fora do ar.
Embora algumas gangues de ransomware tenham dito que evitariam ataques a hospitais, o FIN12 continuou, talvez porque tenham desfrutado de um nível de anonimato desfrutado por poucos outros grupos, disse John Hultquist, vice-presidente da Mandiant Threat Intelligence. “Esses caras foram capazes de se esconder nas sombras, e nunca foram realmente implicados por todas as coisas terríveis em que estiveram envolvidos”, disse.
O FIN12 costuma usar o malware Ryuk. O relatório afirma que o grupo tem uma parceria com os operadores da botnet (rede de dispositivos infectados) TrickBot. “Em vez de perder tempo conduzindo todas essas operações iniciais de acesso para realmente comprometer as vítimas e instalar uma backdoor, eles estão contando com outros cibercriminosos para fazer essa parte do trabalho”, disse Goody.
Dmitry Bestuzhev, diretor da Equipe de Pesquisa e Análise da Kaspersky na América Latina, afirma que os cibercriminosos atuam de maneira diferente hoje em dia. “O WannaCry, grande ataque de 2017, foi disseminado de forma massiva e atingiu muitas empresas que não estavam com seus softwares atualizados, mas as vítimas eram definidas pelo acaso. Hoje, a primeira coisa que um grupo faz é escolher o alvo. Por isso, chamamos os ataques recentes de direcionados”, explica.