{"id":523591,"date":"2022-12-22T13:49:33","date_gmt":"2022-12-22T15:49:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/fin7-cybercrime-syndicate-apparait-comme-un-acteur-majeur-dans-le-paysage-des-ransomwares\/"},"modified":"2022-12-22T13:49:34","modified_gmt":"2022-12-22T15:49:34","slug":"fin7-cybercrime-syndicate-apparait-comme-un-acteur-majeur-dans-le-paysage-des-ransomwares","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/fin7-cybercrime-syndicate-apparait-comme-un-acteur-majeur-dans-le-paysage-des-ransomwares\/","title":{"rendered":"FIN7 Cybercrime Syndicate appara\u00eet comme un acteur majeur dans le paysage des ransomwares"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une analyse exhaustive de <strong>FIN7<\/strong> a d\u00e9masqu\u00e9 la hi\u00e9rarchie organisationnelle du syndicat de la cybercriminalit\u00e9, ainsi que son r\u00f4le d&#8217;affili\u00e9 pour le montage d&#8217;attaques de ransomwares.<\/p>\n<p>Il a \u00e9galement r\u00e9v\u00e9l\u00e9 des associations plus profondes entre le groupe et l&#8217;\u00e9cosyst\u00e8me de menaces plus large comprenant les familles de ran\u00e7ongiciels DarkSide, REvil et LockBit, aujourd&#8217;hui disparues.<\/p>\n<p>Le groupe de menaces tr\u00e8s actif, \u00e9galement connu sous le nom de Carbanak, est connu pour utiliser un vaste arsenal d&#8217;outils et de tactiques pour \u00e9largir ses &#8220;horizons de la cybercriminalit\u00e9&#8221;, notamment en ajoutant des ransomwares \u00e0 son livre de jeu et en cr\u00e9ant de fausses soci\u00e9t\u00e9s de s\u00e9curit\u00e9 pour inciter les chercheurs \u00e0 mener des attaques de ransomware sous sous couvert de tests d&#8217;intrusion.<\/p>\n<p>Plus de 8 147 victimes ont \u00e9t\u00e9 compromises par l&#8217;adversaire \u00e0 motivation financi\u00e8re \u00e0 travers le monde, la majorit\u00e9 des entit\u00e9s \u00e9tant situ\u00e9es aux \u00c9tats-Unis. D&#8217;autres pays importants sont la Chine, l&#8217;Allemagne, le Canada, l&#8217;Italie et le Royaume-Uni.<\/p>\n<p>Les techniques d&#8217;intrusion de FIN7, au fil des ans, se sont diversifi\u00e9es au-del\u00e0 de l&#8217;ing\u00e9nierie sociale traditionnelle pour inclure les cl\u00e9s USB infect\u00e9es, la compromission de la cha\u00eene d&#8217;approvisionnement logicielle et l&#8217;utilisation d&#8217;informations d&#8217;identification vol\u00e9es achet\u00e9es sur des march\u00e9s clandestins.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670949871_285_De-graves-attaques-auraient-pu-etre-mises-en-scene-via.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Aujourd&#8217;hui, son approche initiale consiste \u00e0 s\u00e9lectionner avec soin les entreprises de grande valeur dans le pool de syst\u00e8mes d&#8217;entreprise d\u00e9j\u00e0 compromis et \u00e0 les forcer \u00e0 payer des ran\u00e7ons importantes pour restaurer leurs donn\u00e9es ou \u00e0 rechercher des moyens uniques de mon\u00e9tiser les donn\u00e9es et l&#8217;acc\u00e8s \u00e0 distance&#8221;, PRODAFT <a rel=\"nofollow noopener\" href=\"https:\/\/www.prodaft.com\/resource\/detail\/fin7-unveiled-deep-dive-notorious-cybercrime-gang\" target=\"_blank\">m&#8217;a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>Selon la soci\u00e9t\u00e9 suisse de cybers\u00e9curit\u00e9, il a \u00e9galement \u00e9t\u00e9 observ\u00e9 que les acteurs de la menace militarisent les failles de Microsoft Exchange telles que les failles CVE-2020-0688, CVE-2021-42321, ProxyLogon et ProxyShell dans Microsoft Exchange Server pour prendre pied dans les environnements cibles. .<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671724172_118_FIN7-Cybercrime-Syndicate-apparait-comme-un-acteur-majeur-dans-le.png\" alt=\"Syndicat de la cybercriminalit\u00e9 FIN7\" border=\"0\" data-original-height=\"466\" data-original-width=\"728\" title=\"Syndicat de la cybercriminalit\u00e9 FIN7\"\/><\/div>\n<p>Malgr\u00e9 l&#8217;utilisation de tactiques de double extorsion, les attaques mont\u00e9es par le groupe ont d\u00e9ploy\u00e9 des portes d\u00e9rob\u00e9es sur les syst\u00e8mes compromis, m\u00eame dans les sc\u00e9narios o\u00f9 la victime a d\u00e9j\u00e0 pay\u00e9 une ran\u00e7on.<\/p>\n<p>L&#8217;id\u00e9e est de revendre l&#8217;acc\u00e8s \u00e0 d&#8217;autres tenues de ran\u00e7ongiciels et de recibler les victimes dans le cadre de son syst\u00e8me de gain d&#8217;argent illicite, soulignant ses tentatives de minimiser les efforts et de maximiser les profits, sans parler de prioriser les entreprises en fonction de leurs revenus annuels, des dates de fondation, et le nombre d&#8217;employ\u00e9s.<\/p>\n<p>Cela &#8220;d\u00e9montre un type particulier d&#8217;\u00e9tude de faisabilit\u00e9 consid\u00e9r\u00e9e comme un comportement unique parmi les groupes de cybercriminalit\u00e9&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671724172_942_FIN7-Cybercrime-Syndicate-apparait-comme-un-acteur-majeur-dans-le.png\" alt=\"Syndicat de la cybercriminalit\u00e9 FIN7\" border=\"0\" data-original-height=\"405\" data-original-width=\"728\" title=\"Syndicat de la cybercriminalit\u00e9 FIN7\"\/><\/div>\n<p>Autrement dit, le modus operandi de FIN7 se r\u00e9sume \u00e0 ceci : il utilise des services comme Dun &#038; Bradstreet (<a rel=\"nofollow noopener\" href=\"https:\/\/www.dnb.com\/business-directory.html\" target=\"_blank\">DNB<\/a>), Crunchbase, Owler et Zoominfo pour pr\u00e9s\u00e9lectionner les entreprises et les organisations avec les revenus les plus \u00e9lev\u00e9s.  Il utilise \u00e9galement d&#8217;autres plates-formes d&#8217;analyse de sites Web telles que MuStat et Similarweb pour surveiller le trafic vers les sites des victimes.<\/p>\n<p>L&#8217;acc\u00e8s initial est ensuite obtenu via l&#8217;un des nombreux vecteurs d&#8217;intrusion, suivi de l&#8217;exfiltration des donn\u00e9es, du cryptage des fichiers et \u00e9ventuellement de la d\u00e9termination du montant de la ran\u00e7on en fonction des revenus de l&#8217;entreprise.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671724173_220_FIN7-Cybercrime-Syndicate-apparait-comme-un-acteur-majeur-dans-le.png\" alt=\"Syndicat de la cybercriminalit\u00e9 FIN7\" border=\"0\" data-original-height=\"427\" data-original-width=\"728\" title=\"Syndicat de la cybercriminalit\u00e9 FIN7\"\/><\/div>\n<p>Ces s\u00e9quences d&#8217;infection sont \u00e9galement con\u00e7ues pour charger les chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance tels que Carbanak, Lizar (alias Tirion) et <a rel=\"nofollow noopener\" href=\"https:\/\/www.recordedfuture.com\/fin7-flash-drives-spread-remote-access-trojan\" target=\"_blank\">IceBot<\/a>dont le dernier a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par Gemini Advisory, propri\u00e9t\u00e9 de Recorded Future, en janvier 2022.<\/p>\n<p>D&#8217;autres outils d\u00e9velopp\u00e9s par FIN7 comprennent des modules pour automatiser les analyses des serveurs Microsoft Exchange vuln\u00e9rables et d&#8217;autres applications Web accessibles au public, ainsi que Cobalt Strike pour la post-exploitation.<\/p>\n<p>Dans une autre indication que les groupes criminels fonctionnent comme des entreprises traditionnelles, FIN7 suit une structure d&#8217;\u00e9quipe compos\u00e9e d&#8217;\u00e9quipes de direction de haut niveau, de d\u00e9veloppeurs, de pentesters, d&#8217;affili\u00e9s et de marketing, chacun \u00e9tant charg\u00e9 de responsabilit\u00e9s individuelles.<\/p>\n<p>Alors que deux membres nomm\u00e9s Alex et Rash sont les principaux acteurs derri\u00e8re l&#8217;op\u00e9ration, un troisi\u00e8me membre de la direction nomm\u00e9 Sergey-Oleg est charg\u00e9 de d\u00e9l\u00e9guer des t\u00e2ches aux autres associ\u00e9s du groupe et de superviser leur ex\u00e9cution.<\/p>\n<p>Cependant, il a \u00e9galement \u00e9t\u00e9 observ\u00e9 que les op\u00e9rateurs occupant des postes d&#8217;administrateur se livrent \u00e0 la coercition et au chantage pour intimider les membres de l&#8217;\u00e9quipe afin qu&#8217;ils travaillent davantage et lancent des ultimatums pour &#8220;blesser les membres de leur famille en cas de d\u00e9mission ou d&#8217;\u00e9vasion de leurs responsabilit\u00e9s&#8221;.<\/p>\n<p>Les r\u00e9sultats surviennent plus d&#8217;un mois apr\u00e8s que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 SentinelOne a identifi\u00e9 des liens potentiels entre FIN7 et l&#8217;op\u00e9ration de ran\u00e7ongiciel Black Basta.<\/p>\n<p>&#8220;FIN7 s&#8217;est impos\u00e9 comme un groupe APT extraordinairement polyvalent et bien connu qui cible les entreprises&#8221;, a conclu PRODAFT.<\/p>\n<p>&#8220;Leur initiative consiste \u00e0 effectuer des recherches approfondies sur les entreprises en fonction de leurs revenus, du nombre d&#8217;employ\u00e9s, du si\u00e8ge social et des informations sur le site Web afin d&#8217;identifier les cibles les plus rentables. Bien qu&#8217;elles aient des probl\u00e8mes internes li\u00e9s \u00e0 la r\u00e9partition in\u00e9gale des ressources mon\u00e9taires obtenues et \u00e0 des pratiques quelque peu douteuses envers leurs membres. , ils ont r\u00e9ussi \u00e0 \u00e9tablir une forte pr\u00e9sence dans le domaine de la cybercriminalit\u00e9.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/fin7-cybercrime-syndicate-emerges-as.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une analyse exhaustive de FIN7 a d\u00e9masqu\u00e9 la hi\u00e9rarchie organisationnelle du syndicat de la cybercriminalit\u00e9, ainsi que son r\u00f4le d&#8217;affili\u00e9 pour le montage d&#8217;attaques de ransomwares. Il a \u00e9galement r\u00e9v\u00e9l\u00e9 des associations plus profondes entre le groupe et l&#8217;\u00e9cosyst\u00e8me de menaces plus large comprenant les familles de ran\u00e7ongiciels DarkSide, REvil et LockBit, aujourd&#8217;hui disparues. Le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":523592,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2128,27250,1756,4168,4158,4165,4161,75286,429,133,43570,4157,4159,4171,4170,4167,17739,4160,4163,4162,33747,63091,4172,4169,76373,4166,4164],"class_list":["post-523591","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-acteur","tag-apparait","tag-comme","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cybercrime","tag-dans","tag-des","tag-fin7","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-majeur","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-paysage","tag-ransomwares","tag-securite-informatique","tag-securite-internet","tag-syndicate","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/523591","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=523591"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/523591\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/523592"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=523591"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=523591"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=523591"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}