Le c\u00e9l\u00e8bre groupe de cybercriminalit\u00e9 connu sous le nom de FIN7 a diversifi\u00e9 ses vecteurs d’acc\u00e8s initiaux pour int\u00e9grer la compromission de la cha\u00eene d’approvisionnement logicielle et l’utilisation d’informations d’identification vol\u00e9es, a r\u00e9v\u00e9l\u00e9 une nouvelle \u00e9tude.<\/p>\n
“L’extorsion de donn\u00e9es ou le d\u00e9ploiement de ransomware suite \u00e0 une activit\u00e9 attribu\u00e9e \u00e0 FIN7 dans plusieurs organisations, ainsi que des chevauchements techniques, sugg\u00e8rent que les acteurs de FIN7 ont \u00e9t\u00e9 associ\u00e9s \u00e0 diverses op\u00e9rations de ransomware au fil du temps”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de r\u00e9ponse aux incidents Mandiant. mentionn\u00e9<\/a> dans une analyse du lundi.<\/p>\n Le groupe cybercriminel, depuis son \u00e9mergence au milieu des ann\u00e9es 2010, a acquis une notori\u00e9t\u00e9 pour les campagnes de logiciels malveillants \u00e0 grande \u00e9chelle ciblant les syst\u00e8mes de points de vente (POS) destin\u00e9s aux secteurs de la restauration, des jeux d’argent et de l’h\u00f4tellerie avec des logiciels malveillants de vol de cartes de cr\u00e9dit.<\/p>\n Le changement de FIN7 dans la strat\u00e9gie de mon\u00e9tisation vers les ransomwares fait suite \u00e0 un rapport d’octobre 2021 de l’unit\u00e9 Gemini Advisory de Recorded Future, qui a r\u00e9v\u00e9l\u00e9 que l’adversaire avait cr\u00e9\u00e9 une fausse soci\u00e9t\u00e9 \u00e9cran nomm\u00e9e Bastion Secure pour recruter des testeurs d’intrusion involontaires avant une attaque de ransomware.<\/p>\n Plus t\u00f4t en janvier, le Federal Bureau of Investigation (FBI) des \u00c9tats-Unis Publi\u00e9<\/a> une alerte flash avertissant les organisations que le gang \u00e0 motivation financi\u00e8re envoyait des cl\u00e9s USB malveillantes (alias MauvaisUSB<\/a>) \u00e0 des cibles commerciales am\u00e9ricaines dans les secteurs du transport, de l’assurance et de la d\u00e9fense pour infecter les syst\u00e8mes avec des logiciels malveillants, y compris des ran\u00e7ongiciels.<\/p>\n Les r\u00e9centes intrusions mises en sc\u00e8ne par l’acteur depuis 2020 ont impliqu\u00e9 le d\u00e9ploiement d’un vaste framework de porte d\u00e9rob\u00e9e PowerShell appel\u00e9 POWERPLANT, poursuivant le penchant du groupe \u00e0 utiliser des logiciels malveillants bas\u00e9s sur PowerShell pour ses op\u00e9rations offensives.<\/p>\n “Il n’y a aucun doute l\u00e0-dessus, PowerShell est le langage amoureux de FIN7”, ont d\u00e9clar\u00e9 les chercheurs de Mandiant.<\/p>\n Dans l’une des attaques, FIN7 a \u00e9t\u00e9 observ\u00e9 compromettant un site Web qui vend des produits num\u00e9riques afin de modifier plusieurs liens de t\u00e9l\u00e9chargement pour les faire pointer vers un compartiment Amazon S3 h\u00e9bergeant des versions trojanis\u00e9es contenant Atera Agent, un outil de gestion \u00e0 distance l\u00e9gitime, qui a ensuite livr\u00e9 POWERPLANT au syst\u00e8me de la victime.<\/p>\n L’attaque de la cha\u00eene d’approvisionnement marque \u00e9galement l’\u00e9volution de l’artisanat du groupe pour l’acc\u00e8s initial et le d\u00e9ploiement de charges utiles de logiciels malveillants de premi\u00e8re \u00e9tape, qui se sont g\u00e9n\u00e9ralement concentr\u00e9es sur les sch\u00e9mas de phishing.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Nouveau-Wiper-Malware-ciblant-lUkraine-dans-le-cadre-de-loperation.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1649181775_240_Les-pirates-FIN7-tirent-parti-de-la-reutilisation-des-mots.jpg\")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n