{"id":445678,"date":"2022-11-03T18:15:27","date_gmt":"2022-11-03T20:15:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-chercheurs-trouvent-des-liens-entre-black-basta-ransomware-et-fin7-hackers\/"},"modified":"2022-11-03T18:15:28","modified_gmt":"2022-11-03T20:15:28","slug":"les-chercheurs-trouvent-des-liens-entre-black-basta-ransomware-et-fin7-hackers","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-chercheurs-trouvent-des-liens-entre-black-basta-ransomware-et-fin7-hackers\/","title":{"rendered":"Les chercheurs trouvent des liens entre Black Basta Ransomware et FIN7 Hackers"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une nouvelle analyse des outils utilis\u00e9s par l&#8217;op\u00e9ration de ran\u00e7ongiciel Black Basta a identifi\u00e9 des liens entre l&#8217;acteur de la menace et le groupe FIN7 (alias Carbanak).<\/p>\n<p>Ce lien &#8220;pourrait sugg\u00e9rer soit que Black Basta et FIN7 entretiennent une relation privil\u00e9gi\u00e9e, soit qu&#8217;un ou plusieurs individus appartiennent aux deux groupes&#8221;, indique la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 SentinelOne. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor\/\" target=\"_blank\">a dit<\/a> dans un article technique partag\u00e9 avec The Hacker News.<\/p>\n<p>Black Basta, qui a \u00e9merg\u00e9 plus t\u00f4t cette ann\u00e9e, a \u00e9t\u00e9 attribu\u00e9 \u00e0 une vague de ran\u00e7ongiciels qui a fait plus de 90 victimes en septembre 2022, ce qui sugg\u00e8re que l&#8217;adversaire est \u00e0 la fois bien organis\u00e9 et dot\u00e9 de ressources suffisantes.<\/p>\n<p>Un aspect notable qui distingue le groupe, selon SentinelOne, est le fait qu&#8217;il n&#8217;y a eu aucun signe que ses op\u00e9rateurs tentent de recruter des affili\u00e9s ou de faire la publicit\u00e9 du malware en tant que RaaS sur les forums darknet ou les march\u00e9s des logiciels criminels.<\/p>\n<p>Cela a soulev\u00e9 la possibilit\u00e9 que les d\u00e9veloppeurs de Black Basta suppriment les affili\u00e9s de la cha\u00eene et d\u00e9ploient le ransomware via leur propre ensemble d&#8217;outils personnalis\u00e9s ou travaillent alternativement avec un ensemble proche d&#8217;affili\u00e9s sans avoir besoin de commercialiser leur warez.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque impliquant Black Basta sont connues pour tirer parti de QBot (alias Qakbot), qui, \u00e0 son tour, est livr\u00e9 au moyen d&#8217;e-mails de phishing contenant des documents Microsoft Office bas\u00e9s sur des macros, avec de nouvelles infections tirant parti des images ISO et des droppers LNK pour contourner Microsoft. d\u00e9cision de bloquer par d\u00e9faut les macros dans les fichiers t\u00e9l\u00e9charg\u00e9s sur le Web.<\/p>\n<p>Une fois que Qakbot a pris pied de mani\u00e8re persistante dans l&#8217;environnement cible, l&#8217;op\u00e9rateur de Black Basta entre en sc\u00e8ne pour effectuer une reconnaissance en se connectant \u00e0 la victime par la porte d\u00e9rob\u00e9e, puis en exploitant les vuln\u00e9rabilit\u00e9s connues (par exemple, ZeroLogon, PrintNightmare et NoPac) pour augmenter les privil\u00e8ges.<\/p>\n<p>Sont \u00e9galement utilis\u00e9es \u00e0 ce stade des portes d\u00e9rob\u00e9es telles que SystemBC (alias Coroxy) pour l&#8217;exfiltration de donn\u00e9es et le t\u00e9l\u00e9chargement de modules malveillants suppl\u00e9mentaires, avant de proc\u00e9der \u00e0 un mouvement lat\u00e9ral et de prendre des mesures pour nuire aux d\u00e9fenses en d\u00e9sactivant les solutions de s\u00e9curit\u00e9 install\u00e9es.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"526\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1667506527_482_Les-chercheurs-trouvent-des-liens-entre-Black-Basta-Ransomware-et.jpg\" \/><\/div>\n<p>Cela inclut \u00e9galement un outil d&#8217;\u00e9vasion EDR personnalis\u00e9 qui a \u00e9t\u00e9 exclusivement utilis\u00e9 dans les incidents de Black Basta et est int\u00e9gr\u00e9 \u00e0 une porte d\u00e9rob\u00e9e appel\u00e9e BIRDDOG, \u00e9galement appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.socksbot\" target=\"_blank\">ChaussettesBot<\/a> et qui a \u00e9t\u00e9 utilis\u00e9 dans plusieurs attaques pr\u00e9c\u00e9demment attribu\u00e9es au groupe FIN7.<\/p>\n<p>Le syndicat de la cybercriminalit\u00e9 FIN7, actif depuis 2012, a fait ses preuves dans le montage de campagnes de logiciels malveillants \u00e0 grande \u00e9chelle ciblant les syst\u00e8mes de points de vente (PoS) destin\u00e9s aux secteurs de la restauration, des jeux de hasard et de l&#8217;h\u00f4tellerie pour fraude financi\u00e8re.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Vulnerabilite-RCE-critique-signalee-dans-la-solution-de-sauvegarde-de.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Au cours des deux derni\u00e8res ann\u00e9es, cependant, le groupe est pass\u00e9 aux ransomwares pour g\u00e9n\u00e9rer des revenus illicites, d&#8217;abord en tant que Darkside, puis en tant que BlackMatter et BlackCat, sans parler de la cr\u00e9ation de fausses soci\u00e9t\u00e9s \u00e9crans pour recruter des testeurs d&#8217;intrusion involontaires pour organiser des attaques de ransomwares.<\/p>\n<p>&#8220;\u00c0 ce stade, il est probable que FIN7 ou une filiale ait commenc\u00e9 \u00e0 \u00e9crire des outils \u00e0 partir de z\u00e9ro afin de dissocier leurs nouvelles op\u00e9rations des anciennes&#8221;, ont d\u00e9clar\u00e9 les chercheurs Antonio Cocomazzi et Antonio Pirozzi.  &#8220;Il est probable que le ou les d\u00e9veloppeurs derri\u00e8re leurs outils pour nuire aux d\u00e9fenses des victimes soient, ou aient \u00e9t\u00e9, un d\u00e9veloppeur pour FIN7.&#8221;<\/p>\n<p>Les r\u00e9sultats surviennent des semaines apr\u00e8s que l&#8217;acteur de Black Basta a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser le cheval de Troie Qakbot pour d\u00e9ployer les frameworks Cobalt Strike et Brute Ratel C4 en tant que charge utile de deuxi\u00e8me \u00e9tape lors d&#8217;attaques r\u00e9centes.<\/p>\n<p>&#8220;L&#8217;\u00e9cosyst\u00e8me des logiciels criminels ne cesse de s&#8217;\u00e9tendre, de changer et d&#8217;\u00e9voluer&#8221;, ont conclu les chercheurs.  &#8220;FIN7 (ou Carbanak) est souvent cr\u00e9dit\u00e9 d&#8217;innover dans l&#8217;espace criminel, portant les attaques contre les banques et les syst\u00e8mes PoS \u00e0 de nouveaux sommets au-del\u00e0 des stratag\u00e8mes de leurs pairs.&#8221;<\/p>\n<p>La divulgation arrive \u00e9galement en tant que r\u00e9seau am\u00e9ricain de lutte contre la criminalit\u00e9 financi\u00e8re (FinCEN) <a rel=\"nofollow noopener\" href=\"https:\/\/www.fincen.gov\/news\/news-releases\/fincen-analysis-reveals-ransomware-reporting-bsa-filings-increased-significantly\" target=\"_blank\">signal\u00e9<\/a> une augmentation des attaques de ransomwares ciblant des entit\u00e9s nationales de 487 en 2020 \u00e0 1 489 en 2021, entra\u00eenant un co\u00fbt total de 1,2 milliard de dollars, un bond de 188 % par rapport aux 416 millions de dollars de l&#8217;ann\u00e9e pr\u00e9c\u00e9dente.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/researchers-find-links-bw-black-basta.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une nouvelle analyse des outils utilis\u00e9s par l&#8217;op\u00e9ration de ran\u00e7ongiciel Black Basta a identifi\u00e9 des liens entre l&#8217;acteur de la menace et le groupe FIN7 (alias Carbanak). Ce lien &#8220;pourrait sugg\u00e9rer soit que Black Basta et FIN7 entretiennent une relation privil\u00e9gi\u00e9e, soit qu&#8217;un ou plusieurs individus appartiennent aux deux groupes&#8221;, indique la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":445679,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[78875,416,12848,4168,4158,4165,4161,133,422,43570,6578,4157,4159,4171,4170,65,7280,4167,4160,4163,4162,4392,4172,4169,12850,4166,4164],"class_list":["post-445678","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-basta","tag-black","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-entre","tag-fin7","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-liens","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-trouvent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/445678","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=445678"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/445678\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/445679"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=445678"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=445678"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=445678"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}