20 mai 2023Ravie LakshmananCybercriminalité / Ransomware

Logiciel De Rançon Cl0P

Le groupe de cybercriminalité notoire connu sous le nom de FIN7 a été observé en train de déployer le ransomware Cl0p (alias Clop), marquant la première campagne de ransomware de l’acteur menaçant depuis fin 2021.

Microsoft, qui a détecté l’activité en avril 2023, suit l’acteur financièrement motivé dans sa nouvelle taxonomie Tempête sangria.

« Lors de ces récentes attaques, Sangria Tempest utilise le script PowerShell POWERTRASH pour charger l’outil de post-exploitation Lizar et prendre pied dans un réseau cible », a déclaré l’équipe de renseignement sur les menaces de l’entreprise. a dit. « Ils utilisent ensuite OpenSSH et Impacket pour se déplacer latéralement et déployer le rançongiciel Clop. »

FIN7 (alias Carbanak, ELBRUS et ITG14) a été lié à d’autres familles de ransomwares telles que Black Basta, DarkSide, REvil et LockBit, l’acteur menaçant agissant comme un précurseur des attaques de ransomwares Maze et Ryuk.

Publicité

Actif depuis au moins 2012, le groupe a un palmarès de ciblage un large éventail d’organisations couvrant les logiciels, le conseil, les services financiers, l’équipement médical, les services cloud, les médias, l’alimentation et les boissons, les transports et les services publics.

Une autre tactique notable dans son playbook est sa tendance à créer de fausses sociétés de sécurité – Combi Security et Bastion Secure – pour recruter des employés pour mener des attaques de ransomware et d’autres opérations.

WEBINAIRE À VENIR

Zero Trust + Deception : apprenez à déjouer les attaquants !

Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !

Sauvez ma place !

Le mois dernier, IBM Security X-Force a révélé que les membres du gang de rançongiciels Conti, aujourd’hui disparu, utilisaient un nouveau malware appelé Domino, développé par le cartel de la cybercriminalité.

L’utilisation par FIN7 de POWERTRASH pour livrer Lizar (alias DICELOADER ou Tirion) a également été mise en avant par WithSecure il y a quelques semaines en lien avec des attaques exploitant une faille de haute gravité dans le logiciel Veeam Backup & Replication (CVE-2023-27532) pour obtenir l’accès initial.

Le dernier développement signifie que FIN7 continue de s’appuyer sur diverses familles de ransomwares pour cibler les victimes dans le cadre d’un changement dans sa stratégie de monétisation en passant du vol de données de carte de paiement à l’extorsion.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.8/5 - (15 votes)
Publicité
Article précédentNvidia est-il désormais un stock de logiciels ? L’avantage concurrentiel de CUDA
Article suivantLa FAA n’a pas pleinement évalué les effets environnementaux de Starship, selon le procès
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici