Le groupe FIN11 e-crime est passé au ransomware Clop et à la chasse au gros gibier

  • FrançaisFrançais


  • Le FIN11, motivé financièrement, qui intégrait de plus en plus le ransomware CL0P dans ses opérations en 2020, semblait s’appuyer sur des techniques à faible volume d’efforts telles que le spamming de logiciels malveillants pour l’entrée initiale, mais consacrait beaucoup d’efforts à chaque compromis de suivi.

    «Plusieurs de leurs récentes notes de rançon mentionnent explicitement des données volées sur des postes de travail appartenant à des cadres supérieurs (y compris des fondateurs / PDG) des entreprises respectives», a écrit l’analyste principal en cybersécurité Thomas Barabosch dans un article de blog détaillant les nouvelles recherches de Deutsche Telekom. “Ceci est probablement basé sur l’espoir que l’utilisation de données volées aux hauts dirigeants dans le processus d’extorsion augmente leurs chances que la victime paie.”

    La recherche jette un nouvel éclairage sur la façon dont les cybercriminels du groupe de menaces, décrit comme un chasseur de ransomware implacable et de gros gibier qui passe rarement plus d’un jour ou deux entre les attaques, ont utilisé le célèbre ransomware Clop dans leurs exploitations.

    Tout au long de 2020, les acteurs de FIN11 ont suivi un schéma observable à travers trois campagnes distinctes: d’abord spammer les victimes potentielles avec des e-mails de phishing pendant la semaine de travail, puis filtrer ceux qui ont cliqué sur le lien malveillant pour identifier les cibles d’entreprise les plus lucratives pour une action de suivi. FireEye a repris l’une de ces campagnes en octobre, et les recherches de la société suggèrent que «les acteurs jettent un large filet pendant leurs opérations de phishing, puis choisissent les victimes à exploiter davantage en fonction de caractéristiques telles que le secteur, la géolocalisation ou la posture de sécurité perçue.»

    Dans les attaques de clop FIN11, une cible est touchée par une variante unique du ransomware. Les chercheurs ont trouvé plus d’une douzaine d’échantillons de clop différents utilisés par le groupe. Dans certains cas, il existe plusieurs échantillons pour une seule victime. Ils rédigent également une note de rançon personnalisée qui comprend le nom de la victime, des détails sur les données exfiltrées, les chemins de partage de fichiers, les noms d’utilisateur et d’autres détails. Ils utilisent également un ransomware avec des clés publiques RSA uniques de 1024 bits pour chaque victime, Barabosch notant dans un blog que «en janvier 2021, la plus grande clé RSA publiquement connue qui a été factorisée… avait 829 bits.»

    Il y a aussi un air de professionnalisme dans les opérations criminelles de FIN11: Telekom a déclaré qu’ils offrent souvent un soutien supplémentaire pour aider les organisations à déverrouiller leurs systèmes et à fournir des rapports après action sur la violation du réseau, même après avoir reçu la rançon.

    Les recherches de Telekom contiennent des indicateurs de compromis pour les activités de spam-phishing les plus récentes de FIN11 jusqu’en décembre 2020.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *