Extorquer de l'argent à des entreprises et à autres organisations à l'aide de ransomwares sophistiqués est devenu un modèle économique très rentable pour les cybercriminels. Avec pour corollaire un changement d'orientation pour certains groupes qui étaient traditionnellement impliqués dans la criminalité financière et le vol de cartes de paiement. Selon un rapport de Mandiant, l'un de ces groupes est FIN11, qui, tout au long de 2017 et 2018, a principalement ciblé les organisations des secteurs de la finance, de la vente au détail et de la restauration. À partir de 2019, cependant, le groupe a diversifié son ciblage et son arsenal et est passé à la distribution de ransomwares. Au cours des derniers mois, il a doublé l'extorsion en volant également des données commerciales aux victimes et en menaçant de les divulguer publiquement si elles ne paient pas les rançons.
Actif depuis au moins 2016, FIN11 et ses membres sont probablement basés dans des pays russophones. Les métadonnées trouvées dans les outils utilisés par le groupe suggèrent que ses développeurs utilisent l'alphabet cyrillique et que le malware lui-même a des contrôles pour éviter d'endommager les systèmes dont la disposition de clavier et la localisation sont configurées dans les langues de la Communauté des États indépendants (CEI), une fédération de pays de l’ancienne Union soviétique. L'activité du groupe s'arrête également autour du réveillon du Nouvel An russe et du Noël orthodoxe, qui sont observés en janvier, suggérant que les membres du groupe sont en vacances pendant ces périodes.
Un lien avec TA505 associé à Dridex et Locky
L'ensemble d'outils et les techniques de FIN11 débordent sur ceux d'autres groupes de cybercriminalité, empruntant des programmes malveillants et d'autres services vendus sur le dark web. Cela dit, on pense que quelques téléchargeurs de logiciels malveillants et portes dérobées sont uniques à FIN11, y compris ceux suivis dans l'industrie comme FlawedAmmyy, FRIENDSPEAK et MIXLABEL. Il existe des similitudes notables entre certaines des activités de FIN11 et celles d'un groupe que l'industrie appelle TA505, qui est associé au botnet Dridex et au ransomware Locky, mais Mandiant met en garde contre la fusion des deux groupes car il existe également des différences significatives dans leurs techniques.
« FIN11, un groupe de menaces à motivation financière, a mené certaines des campagnes de distribution de logiciels malveillants les plus importantes et les plus anciennes que les chercheurs de Mandiant ont observées à ce jour parmi les acteurs de la menace à motivation financière », a déclaré la société dans son nouveau rapport. En plus des campagnes d'e-mails malveillants à haut volume, FIN11 se distingue également en raison de ses tactiques et techniques de diffusion de logiciels malveillants en constante évolution. Les consultants de Mandiant ont analysé plusieurs incidents où FIN11 a été observé en train de monétiser leur accès aux réseaux des organisations.
Ciblage élargi et modèle à la CLOP
A partir de 2019, les chercheurs ont noté des changements importants dans les campagnes de distribution de logiciels malveillants et les leurres de phishing de FIN11, indiquant un ciblage plus aveugle des organisations dans plusieurs secteurs industriels. Cela a coïncidé avec la transition du groupe vers un modèle de monétisation basé sur un programme de rançongiciel baptisé CLOP. Les campagnes d'emails à volume élevé de FIN11 utilisent des leurres génériques tels que de faux bons de commande, des relevés bancaires et des factures, mais certains ont également été adaptés à des pays ou à des secteurs spécifiques. Mandiant a observé des e-mails de phishing FIN11 rédigés en anglais, espagnol, coréen et allemand - un nombre important de ses récentes victimes de ransomwares venaient d'Allemagne. Lorsqu'il cible un secteur industriel spécifique - par exemple, le secteur pharmaceutique en janvier - il a utilisé des leurres de phishing pertinents pour ce secteur, tels que des rapports de recherche, des accidents de laboratoire et des feuilles de calcul.
La façon dont le groupe livre ses droppers de logiciels malveillants par email a rapidement évolué au cours des deux dernières années, des changements étant apportés presque tous les mois pour mieux échapper à la détection. A l'origine, les emails du groupe contenaient des documents Microsoft Office avec des macros malveillantes, mais les fichiers Office ont ensuite commencé à être placés dans des archives envoyées sous forme de pièces jointes. Le groupe a ensuite cessé d'utiliser les pièces jointes et a commencé à inclure des URL dans les emails qui dirigeaient les utilisateurs vers des fichiers Office hébergés sur des serveurs distants. Il est ensuite passé aux pièces jointes HTML qui redirigeaient les utilisateurs vers des URL externes hébergeant des fichiers Office malveillants. Dans les dernières attaques FIN11, les e-mails malveillants contenaient une pièce jointe HTML qui redirigeait les victimes vers des domaines compromis, ce qui les redirigeait vers des domaines contrôlés par des attaquants qui livraient les fichiers Office malveillants après que les utilisateurs aient rentré un captcha. Cela a probablement été ajouté pour bloquer les analyses d'URL automatisées par les produits et services de sécurité. De nombreux échantillons de logiciels malveillants associés à FIN11 sont signés numériquement avec des certificats de signature de code achetés via un service sur le marché clandestin. Le groupe utilise également des fournisseurs criminels pour d'autres services tels que l'hébergement à l'épreuve des balles, l'enregistrement de domaine et les outils de logiciels malveillants de base.
Coup d'après et monétisation
Malgré un large filet avec ses campagnes de phishing, FIN11 choisit d'effectuer des compromis plus profonds sur seulement un petit sous-ensemble de ses victimes, qui sont probablement sélectionnées en fonction de leur taille, de leur secteur d'activité et de leurs chances de payer. Comme plusieurs autres gangs de ransomwares sophistiqués, FIN11 utilise le piratage manuel pour se déplacer latéralement à travers les réseaux et déployer son ransomware, de sorte que le groupe pourrait ne pas avoir assez de main-d'œuvre pour le faire à grande échelle. Si une victime semble intéressante, après l'intrusion initiale, les attaquants FIN11 déploient plusieurs portes dérobées dans le but de se déplacer latéralement et d'obtenir les privilèges d'administrateur de domaine. Même si ses outils exclusifs comme FlawedAmmyy et MIXLABEL sont utilisés pour prendre pied initial, l'activité de mouvement latéral implique l'utilisation de nombreux outils disponibles au public. Ceci est similaire au fonctionnement d'un nombre croissant de groupes de hackers.
Une fois les informations d'identification d'administrateur de domaine obtenues, les attaquants utilisent divers outils pour désactiver Windows Defender et déployer le ransomware CLOP sur des centaines d'ordinateurs à l'aide d'objets de stratégie de groupe. Les notes de rançon de FIN11 incluent uniquement une adresse e-mail que les victimes peuvent contacter et ne spécifient pas le montant de la rançon, ce qui suggère que la rançon est ensuite personnalisée en fonction de l'entreprise victime. Les rapports publics placent les demandes de rançon de FIN11 entre quelques centaines de milliers de dollars et dix millions de dollars. « FIN11 a souvent été rapide pour remettre en cause les hôtes des organisations après avoir perdu l'accès », préviennent les chercheurs de Mandiant. « Par exemple, une entreprise a été compromise via plusieurs campagnes d'emails FIN11 en l'espace de quelques mois. Dans une autre société, plusieurs serveurs ont été infectés par CLOP, restaurés à partir de sauvegardes, puis réinfectés plus tard. »
« Les acteurs malveillants peuvent également choisir de prioriser les victimes susceptibles de détenir des données sensibles ou propriétaires, telles que des cabinets d'avocats ou des sociétés de recherche et développement », a averti Mandiant. « Ce modèle d'exploitation sélective pourrait éventuellement inciter les acteurs de FIN11 à rechercher des partenariats supplémentaires avec d'autres membres de la communauté cybercriminelle qui ont les ressources pour monétiser les accès obtenus par FIN11. »
Commentaire