Les activités malveillantes continuent malgré la détention de FIN7

9 Mai 2019

L’an dernier, Europol et le ministère américain de la Justice ont interpellé plusieurs cybercriminels suspectés d’être à la tête des groupes FIN7 et Carbanak. Les médias ont annoncé la chute de ces gangs informatiques, mais nos experts détectent encore des signes d’activité. De plus, le nombre de groupes interconnectés qui utilisent des outils et infrastructure similaires ne cesse d’augmenter. Voici une liste de leurs principaux instruments et astuces, ainsi que quelques conseils pour que votre entreprise ne soit pas menacée.

FIN7

FIN7 s’est spécialisé dans les attaques d’entreprises afin d’avoir accès à leurs données financières ou à leur infrastructure de TPV. Le groupe travaille à partir de campagnes d’harponnage (spear-phishing) et utilise des méthodes d’ingénierie sociale sophistiquées. Par exemple, ils vont échanger des dizaines de messages parfaitement normaux avec la victime, pour qu’elle baisse la garde, puis lui envoyer des documents malveillants

Dans la plupart des cas, les attaques se servent de documents malveillants avec des macros pour installer le malware sur l’ordinateur de la victime et planifier des tâches pour que le malware soit persistant. Il reçoit ensuite des modules et les exécute dans la mémoire vive. Nous avons surtout vu des modules qui permettent de collecter des informations, télécharger un autre malware, faire des captures d’écran, et conserver un autre exemple du même malware dans le registre, au cas où le premier serait supprimé. Les cybercriminels peuvent évidemment créer des modules supplémentaires à n’importe quel moment.

Groupe CobaltGoblin/Carbanak/EmpireMonkey

D’autres cybercriminels utilisent des outils et techniques similaires, et ont seulement des cibles différentes : les banques et les développeurs de logiciel bancaire et de traitement d’argent. La principale stratégie du groupe Carbanak (ou CobaltGoblin, ou EmpireMonkey) consiste à s’installer dans les réseaux des victimes, et à trouver des points de terminaison intéressants avec des informations que les cybercriminels puissent monétiser.

Botnet AveMaria

AveMaria est un nouveau botnet utilisé pour voler des informations. Lorsqu’une machine est infectée, le botnet commence à recueillir tous les identifiants possibles de plusieurs logiciels : navigateurs, e-mails des clients, services de messagerie, et bien d’autres. Il agit également comme enregistreur de frappe (keylogger).

Les malfaiteurs utilisent l’harponnage, l’ingénierie sociale, et des pièces jointes malveillantes pour transmettre la charge utile. Nos experts pensent qu’ils ont un lien avec FIN7 à cause de certaines ressemblances dans leurs méthodes, et dans l’infrastructure du serveur du centre de commandes (C&C). La distribution cible est un autre aspect qui montre qu’il y a une certaine connexion : 30 % des cibles étaient des petites et moyennes entreprises qui sont les fournisseurs ou fournisseurs de services de plus grandes entreprises ; 21 % étaient de plusieurs types d’entreprises manufacturières.

CopyPaste

Nos experts ont découvert un ensemble d’activités baptisé CopyPaste qui s’en prend aux entités financières et aux entreprises qui se trouvent en Afrique. Les acteurs utilisent plusieurs méthodes et outils similaires à ceux de FIN7. Il est pourtant possible que ces cybercriminels n’aient utilisé que des publications open-source et n’aient aucun lien réel avec FIN7.

Vous pouvez obtenir plus de détails techniques, et notamment les indicateurs de compromission, sur Securelist.com.

Comment se protéger

  • Utilisez des solutions de sécurité équipées d’une fonctionnalité spécifique, et conçues pour détecter et bloquer les tentatives d’hameçonnage. Les entreprises peuvent protéger les systèmes d’e-mails qu’elles ont sur place grâce aux applications ciblées de la suite Kaspersky Endpoint for Business.
  • Sensibilisez vos employés à la sécurité et enseignez-leur des compétences pratiques. Les programmes comme Kaspersky Automated Security Awareness Platform vont vous aider à renforcer ces connaissances et à réaliser des simulations d’attaques d’hameçonnage.
  • Tous les groupes mentionnés auparavant profitent pleinement des systèmes non patchés des environnements professionnels. Afin de limiter leurs possibilités, nous vous conseillons d’adopter une solide stratégie de patchs, et d’installer une solution de sécurité comme Kaspersky Endpoint Security for Business qui puisse automatiquement corriger les logiciels critiques.