Home Ciberguerra El grupo de intrusión de ransomware, FIN12, se expande en Europa

El grupo de intrusión de ransomware, FIN12, se expande en Europa

Un grupo de amenazas de larga duración con un historial de rápido despliegue de ransomware y víctimas del sector sanitario está aumentando sus operaciones en Europa y APAC, según ha advertido Mandiant.

En un nuevo informe que detalla el trabajo de FIN12, la firma de inteligencia de amenazas afirmó que el prolífico grupo de amenazas se había centrado principalmente en objetivos norteamericanos desde que se registraron sus actividades por primera vez en 2018.

Alrededor del 85% eran de esta región, y el 20% hasta ahora han sido organizaciones del sector sanitario, del que muchos grupos de ransomware prometieron mantenerse alejados durante la pandemia.

La mala noticia para las organizaciones de otras partes del mundo es que FIN12 parece estar cambiando su enfoque geográfico.

“Observamos el doble de organizaciones víctimas con sede fuera de América del Norte en la primera mitad de 2021 que las que observamos en 2019 y 2020 juntos. En conjunto, estas organizaciones han tenido su sede en Australia, Colombia, Francia, Indonesia, Irlanda, Filipinas, Corea del Sur, España, Emiratos Árabes Unidos y Reino Unido”, explica Mandiant en una entrada de su blog.

“Este cambio podría deberse a varios factores, como que FIN12 trabaja con socios más diversos para obtener el acceso inicial y la atención cada vez más elevada y no deseada del gobierno estadounidense”.

Al parecer, el grupo utiliza el ransomware Ryuk para dirigirse a organizaciones con más de 300 millones de dólares de ingresos, asociándose con otros actores del ciberespacio para obtener el acceso inicial, especialmente los afiliados al malware Trickbot y BazarLoader.

Con información de Info Security Magazine.