Un rapport publié par Mandiant jeudi détaille les activités et les outils de FIN12, un groupe de ransomware très agressif qui a probablement gagné beaucoup d’argent au cours des dernières années.

Le groupe de menaces, suivi jusqu’à présent par Mandiant sous le nom UNC1878, existe depuis au moins octobre 2018. La classification UNC est attribuée à des entités « non catégorisées » avant que la société de cybersécurité puisse déterminer avec certitude s’il s’agit d’un groupe à motivation financière (FIN) ou un acteur avancé de menace persistante (APT) parrainé par l’État.

FIN12 a principalement utilisé le ransomware Ryuk dans ses attaques et s’est appuyé sur d’autres groupes de cybercriminalité pour un accès initial aux environnements des victimes. Jusqu’en mars 2020, ils s’appuyaient principalement sur l’accès obtenu par les opérateurs du cheval de Troie Trickbot, mais plus tard, ils ont commencé à exploiter d’autres logiciels malveillants, ainsi que des connexions à distance Citrix et RDP à l’aide d’informations d’identification probablement obtenues sur des forums clandestins.

Contrairement à d’autres gangs de rançongiciels, FIN12, dans la plupart des cas, ne passe pas de temps à voler des informations précieuses dans les environnements des victimes avant de crypter leurs données et de faire une demande de rançon. Au lieu de cela, ils semblent donner la priorité à la vitesse – les chercheurs ont déterminé qu’en moyenne, ils ne passent que moins de trois jours sur le réseau de la victime avant de crypter les fichiers et de faire connaître leur présence avec une demande de rançon.

Qu’y a-t-il dans un nom de groupe de menaces ? Un regard intérieur sur les subtilités de l’attribution de l’État-nation

De plus, ils ne semblent cibler que les organisations qui ont un chiffre d’affaires d’au moins 300 millions de dollars – le chiffre d’affaires annuel moyen des victimes FIN12 connues de Mandiat était de plus de 6 milliards de dollars.

Les groupes de cybercriminalité utilisant le ransomware Ryuk exigent généralement une rançon comprise entre 5 et 50 millions de dollars.

Kimberly Goody, directrice de la criminalité financière chez Mandiant, a déclaré Semaine de la sécurité que même s’ils n’ont généralement pas un aperçu direct des négociations avec les victimes,…