De nouvelles recherches de Mandiant révèlent que le groupe de piratage financièrement motivé FIN7 a fait évoluer ses opérations et se concentre de plus en plus sur les attaques de rançongiciels censées inclure les rançongiciels MAZE, RYUK, DARKSIDE et ALPHV.
Mandiant a désormais pu relier les activités précédentes d'autres groupes de menaces à FIN7. Celles-ci montrent que FIN7 a évolué pour augmenter la vitesse de ses opérations, élargir la portée de ses cibles et peut-être même étendre ses relations avec d'autres opérations de rançongiciels dans la clandestinité cybercriminelle.
Les découvertes les plus importantes sur FIN7
- Depuis 2020, un total de huit groupes de clients précédemment classés comme indépendants ont été fusionnés dans FIN7
Cela confirme la résilience des acteurs associés au groupe de piratage. Mandiant a constaté une augmentation de l'activité FIN2021 sur cinq vagues d'attaques depuis avril 7. - FIN7 a compromis une chaîne d'approvisionnement pour la première fois
Le groupe a piraté un site Web qui vend des produits numériques. Elle a modifié plusieurs liens de téléchargement pour pointer vers un compartiment Amazon S3 hébergeant des versions trojanisées contenant un programme d'installation d'agent Atera. Avec cela, une nouvelle porte dérobée appelée POWERPLANT pourrait être mise en place. - POWERPLANT offre de nombreuses possibilités grâce à son cadre
FIN7 a utilisé POWERPLANT dans toutes les attaques observées en 2021. La recherche conduit Mandiant à évaluer que FIN7 est probablement le seul acteur utilisant POWERPLANT. - PowerShell est le langage préféré de FIN7
FIN7 a développé le malware pour ses campagnes d'attaque dans de nombreux langages de programmation différents. Cependant, il existe une préférence particulière pour les chargeurs exclusifs basés sur PowerShell et les commandes PowerShell uniques.
À propos des clients Mandiant est un leader reconnu de la cyberdéfense dynamique, des renseignements sur les menaces et de la réponse aux incidents. Avec des décennies d'expérience sur la cyber ligne de front, Mandiant aide les organisations à se défendre en toute confiance et de manière proactive contre les cybermenaces et à répondre aux attaques. Mandiant fait désormais partie de Google Cloud.