FIN7 gère une nouvelle fausse société appelée « Bastion Secure » pour les attaques de ransomware
Français
Des chercheurs de l’unité Gemini Advisory de Recorded Future ont publié un avis révélant les opérations malveillantes du groupe de piratage FIN7 sous le couvert d’une société de services de cybersécurité Bastion Secure. A travers cette société bidon, le groupe recrute des informaticiens, pour effectuer des tests d’intrusion et mener des attaques de ransomware.
Les chercheurs du groupe consultatif Gemini se sont fait passer pour des professionnels de l’informatique et ont postulé pour le rôle de dirigeants informatiques. Il leur a été demandé d’analyser des outils et des fichiers réseau. L’entreprise semble légitime car elle a reproduit fidèlement d’autres sociétés de services dans son processus de recrutement. Ils effectuent une série de tests pratiques, qui sont typiques pour un poste informatique.
Le motif est d’embaucher des pen testeurs, en tant qu’administrateurs système, qui auraient les compétences nécessaires pour cartographier les systèmes d’entreprise compromis, effectuer des vérifications du réseau et localiser les fichiers et composants du serveur de sauvegarde nécessaires pour lancer toute attaque de malware.
FIN7 peut utiliser le forum Web sombre pour accéder aux réseaux compromis, mais à un prix élevé. Alors que recruter son personnel lui ferait exécuter l’attaque à un coût bien moindre sans avoir à partager la prime.
Qu’est-ce que le test de stylo ?
Un test d’intrusion, familièrement appelé test d’intrusion ou piratage éthique, est une cyberattaque simulée autorisée sur un système informatique, réalisée pour évaluer la sécurité du système ; cela ne doit pas être confondu avec une évaluation de la vulnérabilité. Le test est effectué pour identifier les faiblesses (également appelées vulnérabilités), y compris la possibilité pour des parties non autorisées d’accéder aux fonctionnalités et aux données du système, ainsi que les points forts, ce qui permet de réaliser une évaluation complète des risques.
FIN7 et Ransomware
Les groupes de menaces russes à motivation financière Carbanak et FIN7 ont parfois été utilisés pour désigner le même groupe. Selon une version de Trend Micro, des organisations telles que MITRE les identifient comme deux entités distinctes qui manipulent l’utilisation de la porte dérobée Carbanak dans leurs attaques.
“Cependant, les groupes utilisent non seulement la porte dérobée Carbanak, mais également d’autres types de logiciels malveillants tels que Pillowmint, un logiciel malveillant de point de vente, et Tirion, qui serait conçu pour remplacer Carbanak”, a déclaré Trend Micro.
Les deux groupes se concentrent sur leurs domaines d’expertise et leurs cibles ; Carbanak se concentre sur les institutions bancaires, FIN7 cible les établissements de restauration, d’accueil et de vente au détail.
Depuis 2015, FIN7 a volé avec succès les données de plus de 16 millions de cartes de paiement, qui ont été vendues sur des forums Web sombres et des places de marché en ligne pour des données volées.
Auparavant, le groupe avait mis en place « Combi Security » pour recruter des pirates afin de se lancer dans une campagne de malware avec une intention criminelle.
Conclusion
Les incidents de ransomware font la une des journaux chaque semaine. Sinclair Broadcast Group, Cox Media Group, JVCKenwood sont quelques incidents récents signalés en octobre seulement.
Il y a des efforts visibles à la fois au niveau de la communauté et des décideurs, mais pas encore de solution. Les experts ont réitéré que les attaques continueront de croître ; nous devons disposer d’une meilleure capacité de détection des menaces et d’un plan d’intervention en cas d’incident. Avec le lancement de plans d’action mondiaux pour lutter contre les ransomwares, il faudra un certain temps avant que nous puissions réellement en goûter les fruits.
