Un groupe de cybercriminels à motivation financière connu sous le nom de FIN7 a refait surface le mois dernier, les analystes des menaces de Microsoft l’associant à des attaques dont l’objectif final était le déploiement de charges utiles de ransomware Clop sur les réseaux des victimes.

« Le groupe cybercriminel à motivation financière Sangria Tempest (ELBRUS, FIN7) est sorti d’une longue période d’inactivité », a déclaré la société dans une série de tweets du compte Twitter de Microsoft Security Intelligence.

« Le groupe a été observé en train de déployer le ransomware Clop dans des attaques opportunistes en avril 2023, sa première campagne de ransomware depuis fin 2021. »

Lors de ces récentes attaques, les attaquants FIN7 ont utilisé le compte-gouttes de logiciels malveillants en mémoire POWERTRASH basé sur PowerShell pour déployer l’outil de post-exploitation Lizar sur des appareils compromis.

Cela a permis aux acteurs de la menace de prendre pied dans le réseau ciblé et de se déplacer latéralement pour déployer le rançongiciel Clop à l’aide d’OpenSSH et d’Impacket. Cette boîte à outils Python légitime peut également être utilisée pour l’exécution de services à distance et les attaques de relais.

Selon Microsoft, le rançongiciel Clop n’est que la nouvelle souche que le gang de la cybercriminalité a utilisée pour cibler les victimes.

Le groupe a déjà été lié aux rançongiciels REvil et Maze avant leur implication dans les opérations de rançongiciels en tant que service (Raas) BlackMatter et DarkSide, aujourd’hui disparues.

Arrestations FIN7, ours en peluche et rançongiciels
Depuis qu’il a commencé à fonctionner il y a dix ans, en 2013, le groupe de piratage à motivation financière FIN7 a été lié à des attaques ciblant principalement les banques et les terminaux de point de vente (PoS) d’entreprises de divers secteurs industriels (principalement restaurants, jeux d’argent et jeux). hôtellerie) en Europe et aux États-Unis.

Le FBI a averti les entreprises américaines des attaques par clé USB coordonnées par FIN7, ciblant l’industrie de la défense américaine avec des packages contenant des périphériques USB malveillants conçus pour déployer des ransomwares.

Les opérateurs FIN7 se sont également fait passer pour Best Buy dans des attaques similaires avec des clés USB malveillantes via USPS pour les hôtels, les restaurants et les commerces de détail, des packages qui regroupaient également des ours en peluche pour inciter les cibles à baisser leur garde.

Bien que certains membres de FIN7 aient été arrêtés au fil des ans, le groupe de piratage est toujours actif et se renforce, comme en témoigne cette nouvelle série d’attaques signalées par Microsoft.

En avril 2022, le « pentesteur » FIN7 Denys Iarmak a été condamné à 5 ans de prison pour des violations de réseau et des attaques de vol de carte de crédit s’étalant sur au moins deux ans.

Iarmak était le troisième membre de la FIN7 condamné aux États-Unis après qu’Andrii Kolpakov (un autre « testeur de plumes ») ait été envoyé en prison pour sept ans en juin 2021, et Fedir Hladyr (un manager de haut niveau) a été condamné à dix ans de prison en avril 2021.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *