
Le célèbre groupe de piratage FIN7 a été repéré en train de vendre son outil personnalisé « AvNeutralizer », utilisé pour échapper à la détection en tuant les logiciels de protection des terminaux d’entreprise sur les réseaux d’entreprise.
FIN7 serait un groupe de piratage russe actif depuis 2013, initialement axé sur la fraude financière par le piratage d’organisations et le vol de cartes de débit et de crédit.
Ils se sont ensuite déplacés dans l’espace des ransomwares et ont été liés aux plates-formes Darkside et BlackMatter ransomware-as-a-operation. Les mêmes acteurs de la menace sont également probablement liés à l’opération de ransomware BlackCat, qui a récemment mené une escroquerie de sortie après avoir volé un paiement de rançon UnitedHealth.
FIN7 est connu pour ses attaques sophistiquées de phishing et d’ingénierie visant à obtenir un accès initial aux réseaux d’entreprise, notamment en se faisant passer pour BestBuy pour envoyer des clés USB malveillantes et en développant des logiciels malveillants et des outils personnalisés.
Pour ajouter aux exploits, ils ont créé une fausse société de sécurité nommée Bastion Secure pour embaucher des pentesters et des développeurs pour des attaques de ransomware sans que les candidats sachent comment leur travail était utilisé.
Les pirates informatiques de FIN7 sont également suivis sous d’autres noms, notamment Sangria Tempest, Carbon Spider et le groupe Carbanak.
FIN7 vendre des outils à d’autres pirates
Dans un nouveau rapport de SentinelOne, les chercheurs affirment que l’un des outils personnalisés créés par FIN7 est « AvNeutralizer » (alias AuKill), un outil utilisé pour tuer les logiciels de sécurité qui a été repéré pour la première fois lors d’attaques par l’opération de ransomware BlackBasta en 2022.
Comme BlackBasta était la seule opération de ransomware utilisant l’outil à l’époque, les chercheurs pensaient qu’il y avait un lien entre les deux groupes.
Cependant, la télémétrie historique de SentinelOne a montré que l’outil a été utilisé dans des attaques par cinq autres opérations de ransomware, montrant une large diffusion de l’outil.
« Depuis début 2023, nos données de télémétrie révèlent de nombreuses intrusions impliquant différentes versions d’AvNeutralizer », explique un rapport du chercheur de SentinelOne Antonio Cocomazzi.
« Environ 10 d’entre eux sont attribués à des intrusions de ransomwares opérées par l’homme qui ont déployé des charges utiles RaaS bien connues, notamment AvosLocker, MedusaLocker, BlackCat, Trigona et LockBit. »
D’autres recherches ont révélé que des acteurs de la menace opérant sous les pseudonymes « goodsoft », « lefroggy », « killerAV » et « Stupor » vendaient un « Tueur AV » sur des forums de piratage russophones depuis 2022 pour des prix allant de 4 000 $à 15 000$.

Un rapport de 2023 de Sophos détaillait comment AvNeutralizer / AuKill abusait du pilote légitime SysInternals Process Explorer pour mettre fin aux processus antivirus exécutés sur un périphérique.
Les auteurs de la menace ont affirmé que cet outil pouvait être utilisé pour tuer n’importe quel logiciel antivirus/EDR, y compris Windows Defender et les produits de Sophos, SentinelOne, Panda, Elastic et Symantec.
SentinelOne a maintenant découvert que FIN7 avait mis à jour AVNeutralizer pour utiliser Windows ProcLaunchMon.pilote sys pour bloquer les processus, ce qui les empêche de fonctionner correctement.
« AvNeutralizer utilise une combinaison de pilotes et d’opérations pour créer une défaillance dans certaines implémentations spécifiques de processus protégés, conduisant finalement à une condition de déni de service », explique SentinelOne.
« Il emploie le pilote de moniteur TTD ProcLaunchMon.sys, disponible sur les installations système par défaut dans le répertoire des pilotes système, conjointement avec les versions mises à jour du pilote process Explorer avec la version 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844), qui a été renforcée pour les abus d’opérations entre processus et n’est actuellement pas bloquée par la liste WDAC de Microsoft. »

SentinelOne a trouvé des outils personnalisés supplémentaires et des logiciels malveillants utilisés par FIN 7, qui ne sont pas connus pour être vendus à d’autres acteurs de la menace:
Power trash (une porte dérobée PowerShell), Dice loader (une porte dérobée légère contrôlée par C2), Core Impact (une boîte à outils de test d’intrusion) et une porte dérobée basée sur SSH.
Les chercheurs avertissent que l’évolution et l’innovation continues de 7 en matière d’outillage et de techniques, ainsi que la vente de ses logiciels, en font une menace importante pour les entreprises du monde entier.
« L’innovation continue de FIND 7, en particulier dans ses techniques sophistiquées pour contourner les mesures de sécurité, met en valeur son expertise technique », conclut Antonio Cocomazzi, chercheur chez SentinelOne.
« L’utilisation de multiples pseudonymes par le groupe et sa collaboration avec d’autres entités cybercriminelles rendent l’attribution plus difficile et démontrent ses stratégies opérationnelles avancées. »