Accueil / IT Business / Communiqués / Nouvelle étude de Mandiant : FIN7 est désormais plus rapide, dispose de ressources importantes et est tout aussi furtif.

Nouvelle étude de Mandiant : FIN7 est désormais plus rapide, dispose de ressources importantes et est tout aussi furtif.

Une nouvelle étude de Mandiant montre que FIN7, le célèbre groupe de criminalité financière qui était auparavant à l’origine de prolifiques opérations de vol de cartes de paiement, a fait évoluer ses opérations et s’est probablement tourné vers les ransomwares, impliquant probablement les familles de ransomware MAZE, RYUK, DARKSIDE et ALPHV.

Malgré les inculpations et quelques arrestations effectuées l’année dernière par le ministère américain de la Justice, les chercheurs de Mandiant ont minutieusement établi un lien entre des clusters d’activités malveillantes antérieures et FIN7, ce qui montre que FIN7 a évolué pour « augmenter la vitesse de son rythme opérationnel, l’étendue de ses cibles et même éventuellement ses relations avec d’autres opérateurs de ransomware».

Parmi les principales conclusions, citons :

  • Huit groupes catégorisés UNC précédemment suspectés être liés à FIN7, actifs depuis 2020, ont récemment été fusionnés dans FIN7, confirmant la résilience des hackers associés au groupe de menaces.

o   Les chercheurs Mandiant ont identifié un regain d’activité de FIN7 au cours de l’année 2021 à travers cinq intrusions, à partir d’avril 2021.

  • Pour la première fois, Mandiant a observé que FIN7 exploite la compromission de la chaîne d’approvisionnement.

o   Le groupe a compromis un site Web qui vend des produits numériques et a « modifié plusieurs liens de téléchargement pour pointer vers un bucket Amazon S3 hébergeant des versions « trojanisées », contenant un programme d’installation de l’agent Atera », qui a été utilisé pour déployer une nouvelle porte dérobée dénommée POWERPLANT.

  • Les chercheurs Mandiant qualifient POWERPLANT de « vaste » car son cadre « permet une grande étendue des fonctionnalités en fonction des modules fournis par le serveur de commande et de contrôle (C2). »

o   FIN7 a utilisé POWERPLANT dans toutes les intrusions observées en 2021 et leurs recherches ont conduit Mandiant à évaluer que « FIN7 est probablement le seul opérateur utilisant POWERPLANT.

  • PowerShell est la méthode de prédilection de FIN7.

o   FIN7 a implémenté des logiciels malveillants dans ses opérations en utilisant de nombreux langages de programmation, mais FIN7 préfère les loaders basés sur PowerShell et les instructions PowerShell spécifiques à tous les autres.

Pour lire l’intégralité de l’étude : https://www.mandiant.com/resources/evolution-of-fin7.

 

A voir

Rubrik lance Rubrik Security Cloud pour une meilleure protection des données

Rubrik, le spécialiste de la sécurité des données Zéro Trust, annonce le lancement de Rubrik Security Cloud pour mieux protéger les données des clients où qu'elles soient, dans l'entreprise sur le cloud ou en mode SaaS.