g0114-fin12 - RunkIntel

# FIN12 > [!danger] FIN12 - Grupo de Ransomware de Alta Velocidade com Foco em Healthcare > **FIN12** e um grupo de ameaça financeiramente motivado, russofono, responsavel por quase **20% de todos os engajamentos de resposta a incidentes de ransomware** tratados pela Mandiant no período estudado. Conhecido por um tempo medio de apenas **2,5 dias da intrusão ao deploy do ransomware** - o mais rapido documentado - e pelo foco sistematico em organizacoes de saúde e infraestrutura critica usando o ransomware **Ryuk** como payload principal. ## Visão Geral **FIN12** (rastreado pelo MITRE como G0114, também chamado Wizard Spider, GOLD BLACKBURN e DEV-0193) e um grupo de ransomware de lingua russa ativo desde outubro de 2018. O grupo e operacionalmente distinto de outros atores de ransomware por depender de **Initial Access Brokers (IABs)** - especialmente o TrickBot/BazarLoader como servico de acesso de terceiros - em vez de realizar o proprio comprometimento inicial. Esta abordagem modular e especializada permite ao FIN12 focar exclusivamente no que faz melhor: **escalada de privilegios, movimentação lateral e deploy rapido do ransomware Ryuk**. O resultado e um tempo medio de operação de apenas 2,5 dias - em contraste com a media de semanas ou meses de outros grupos APT. **Caracteristicas operacionais distintivas:** - **Acesso terceirizado**: Dependência de TrickBot e BazarLoader como plataformas de acesso inicial - **Alta velocidade**: Media de 2,5 dias (60 horas) entre accesso inicial e deploy do ransomware - **Foco em healthcare**: Aproximadamente 20% das vitimas sao organizacoes de saúde - setor considerado de pagamento mais provavel dada a urgencia critica dos sistemas - **Cobalt Strike**: Framework padrao de pos-comprometimento para todas as operações - **Ryuk**: Payload historico principal; possível migracao para Conti e outros ransomwares em evolucoes recentes **Relevância para o Brasil:** O FIN12 nao tem alvos confirmados no Brasil, mas o setor de saúde brasileiro - especialmente hospitais privados de grande porte e redes como Rede D'Or, Hospital Sirio-Libanes e operadoras de planos de saúde - corresponde exatamente ao perfil preferêncial de vitimas do grupo. A dependência de IABs baseados no TrickBot para acesso inicial significa que organizacoes brasileiras comprometidas por esse malware estao potencialmente no pipeline de targets do FIN12. ## Attack Flow ```mermaid graph TB A["IAB - Initial Access Broker TrickBot ou BazarLoader Acesso comprado pelo FIN12"] --> B["Reconhecimento Pos-Acesso Cobalt Strike beacon PowerShell para enumeracao de AD"] B --> C["Escalada de Privilegios Credenciais de dominio Kerberoasting / pass-the-hash"] C --> D["Movimentação Lateral PsExec / WMI / RDP SystemBC para tunelamento C2"] D --> E["Desativacao de Defesas Matar processos AV Bypassar Windows Defender"] E --> F["Deploy do Ryuk Propagação via GPO ou PsExec Criptografia em 2,5 dias"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#f39c12,color:#fff style E fill:#8e44ad,color:#fff style F fill:#16a085,color:#fff ``` ## Linha do Tempo ```mermaid timeline title FIN12 - Cronologia 2018-10 : Primeiras operacoes com Ryuk Acesso via TrickBot como vetor principal 2019 : Expansao de operacoes Hospitais nos EUA como alvo prioritario 2020 : Pandemia COVID-19 - hospitais visados durante crise FBI emite alerta de emergencia sobre ataques a saude 2021-10 : Mandiant publica relatorio FIN12 20% de IR engagements Mandiant sao FIN12 Tempo medio 2,5 dias documentado 2022 : Possível conexão com dissolução do Conti Evolução de TTPs e alvos globais 2023-2024 : Continuacao de operacoes sob novas denominacoes 2026 : Ainda rastreado como ameaça ativa ``` ## Arsenal | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[s0446-ryuk\|Ryuk]] | Ransomware | Payload final; criptografia AES + RSA | | [[s0266-trickbot\|TrickBot]] | Malware IAB | Plataforma de acesso inicial (modular) | | [[bazarloader\|BazarLoader]] | Loader IAB | Alternativa ao TrickBot para acesso inicial | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Pos-comprometimento padrao do grupo | | [[s0533-systembc\|SystemBC]] | Proxy malware | Tunelamento C2 e persistência furtiva | ## TTPs Principais | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais obtidas via TrickBot/BazarLoader | | Persistence | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP para persistência e movimentação lateral | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para enumeracao de AD e scripts | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Payloads ofuscados para evadir AV | | Lateral Movement | [[t1105-ingress-tool-transfer\|T1105]] | Transferencia de ferramentas entre hosts comprometidos | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Deploy do Ryuk para criptografia massiva | ## Detecção e Defesa > [!tip] Indicadores de Detecção > - TrickBot ou BazarLoader ativos em endpoints - indicadores de que FIN12 pode ter acesso ao ambiente > - Cobalt Strike beacons comúnicando com IPs externos em HTTP/HTTPS > - Execução de PowerShell para enumeracao de Active Directory (Get-ADComputer, Get-ADUser) > - SystemBC sendo executado como servico em servidores Windows > - Atividade incomum de PsExec para execução remota em múltiplos hosts simultaneamente > [!info] Mitigacoes Recomendadas > - Implementar detecção e resposta para TrickBot e BazarLoader como early warning indicator > - Monitorar e restringir PsExec e WMI para execução remota em producao > - Segmentar redes de sistemas medicos criticos de redes corporativas gerais > - Manter backups offline testados e planos de continuidade de negocio para healthcare > - Implementar autenticação multifator em todas as contas administrativas e RDP externo ## Referências - [1](https://www.mandiant.com/resources/blog/fin12-ransomware-intrusion-actor-pursuing-healthcare-targets) Mandiant - FIN12: The Prolific Ransomware Intrusion Threat Actor That Has Aggressively Pursued Healthcare Targets (2021) - [2](https://attack.mitre.org/groups/G0114/) MITRE ATT&CK - G0114 FIN12 (2024) - [3](https://www.cisa.gov/stopransomware) CISA - StopRansomware: Ryuk and Related Threats (2023) - [4](https://www.crowdstrike.com/blog/wizard-spider-adversary-profile/) CrowdStrike - GOLD BLACKBURN / Wizard Spider Adversary Profile (2023) **Malware:** [[s0446-ryuk|Ryuk]] · [[s0266-trickbot|TrickBot]] · [[bazarloader|BazarLoader]] · [[s0154-cobalt-strike|Cobalt Strike]] · [[s0533-systembc|SystemBC]] **Técnicas:** [[t1078-valid-accounts|T1078]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1059-001-powershell|T1059.001]] · [[t1021-001-remote-desktop-protocol|T1021.001]] **Setores alvo:** [[healthcare|Saúde]] · [[critical-infrastructure|Infraestrutura Critica]] · [[financial|Financeiro]] **Relacionados:** [[royal-blacksuit-group|Royal/BlackSuit]] · [[akira-group|Akira]] · [[lockbit|LockBit]]