Le groupe de hackers FIN6 utilise maintenant Ryuk et LockerGoga Ransomware
Le groupe de cybercriminalité FIN6 était récemment connu pour ne plus avoir piraté que les détaillants et volé les informations de paiement des systèmes de point de vente (POS) jusqu’à récemment, quand ils ont développé leur tactique pour inclure le déploiement de ransomware pour infecter les réseaux sur Internet.
FIN6 est taillé la réputation être un des groupes de pirates informatiques les plus avancés actuellement actifs sur Internet. Leurs activités ont été identifiées pour la première fois vers le printemps 2016. Un rapport de FireEye a été publié pour détailler la vaste gamme attaques et de capacités déployées par le groupe de cybercriminels.
En 2016, FIN6 avait mis au point un programme appelé Trinity, un programme malveillant soumis à des programmes malveillants, doté une polyvalence qui lui permettait de pirater les principaux réseaux de détaillants, en passant par leurs systèmes. Ils ont réussi à déployer Trinity sur des ordinateurs qui gèrent les données de point de vente de ces entreprises, en extrayant les données de paiement et les détails de carte qu’ils pourront utiliser ultérieurement sur leurs propres serveurs.
Le groupe gagne de argent en utilisant ces données volées et les détails de paiement sur des forums de piratage informatique, ce qui lui permet de générer des revenus.
Selon un récent rapport publié le 5 avril par FireEye, le groupe déploiera également des ransomwares sur certains de ces réseaux piratés, en particulier ceux qui ne gèrent pas du tout les données POS.
Le groupe ne travaillait pas à la suppression des souches de ransomware LockerGoga et Ryuk depuis juillet 2018, les deux étant concentrés sur une vague infections notoires visant des grandes entreprises, des agences gouvernementales, etc., Norsk Hydro étant la victime la plus récente.
IBM, CrowdStrike, Kryptos Logic, Cybereason, FireEye et McAfee ont tous conclu que le groupe pourrait opérer hors de Russie, quelque part où leur infrastructure est louée à d’autres groupes, tels que TrickBot et Emotet . Cela leur permet de rechercher de grandes entreprises à infecter avec le malware de leur choix, que ce soit Ryuk, Trinigy ou LockerGoga.
Est-ce que FIN6 est maintenant considéré comme un groupe de Ransomware?
Dans les rapports les plus récents sur les activités de FIN6, FireEye a signalé le changement de tactique qui consistait à passer de utilisation du programme malveillant Trinity au logiciel rançon LockerGoga et Ryuk. Ce que les analystes ont remarqué, mais ne sauraient dire avec certitude, c’est s’il s’agit du nouveau mode de fonctionnement du groupe ou si certains membres du groupe agissent de manière indépendante.
Malgré cela, FIN6 a fait en sorte que les entreprises et les gouvernements doivent rester vigilants malgré tout, en particulier en raison des récents développements.