Un troisième membre du gang de cybercriminalité FIN7 a été condamné pour son rôle dans un stratagème qui ciblait des centaines d’entreprises dont les données de paiement volaient des logiciels malveillants.

Denys Iarmak, 32 ans, qui servait de « pentesteur » pour le groupe, a été condamné à cinq ans de prison pour ses crimes, a annoncé le ministère américain de la Justice (DoJ) dans un communiqué de presse hier (7 avril).

Iarmak a été arrêté à Bangkok en 2019 à la demande des forces de l’ordre américaines. Il est le troisième membre à avoir été condamné après que Fedir Hladyr et Andrii Kolpakov ont été emprisonnés en 2021 pour 10 ans et sept ans, respectivement.

Au cours d’une campagne de piratage à motivation financière qui a duré près d’une décennie, FIN7 aurait piraté les réseaux informatiques d’entreprises dans les 50 États américains et le district de Columbia, volant plus de 20 millions d’enregistrements de cartes clients à plus de 6 500 points de vente individuels. terminaux de vente dans plus de 3 600 emplacements commerciaux distincts.

Selon des documents judiciaires, les victimes ont engagé des coûts énormes dépassant 1 milliard de dollars. Les détaillants qui ont divulgué publiquement des hacks attribuables à FIN7 incluent les chaînes de restaurants Chipotle Mexican Grill, Chili’s, Arby’s, Red Robin et Jason’s Deli.

D’autres intrusions se sont produites à l’étranger, notamment au Royaume-Uni, en Australie et en France, a déclaré le DoJ.

Cibles de vente au détail

FIN7, également appelé « groupe Carbanak » et « groupe Navigator », est actif depuis 2013, déployant des logiciels malveillants sophistiqués dans des centaines d’organisations, principalement dans les secteurs de la restauration, des jeux d’argent et de l’hôtellerie.

Le DoJ a déclaré que le groupe avait notamment piraté des milliers de systèmes informatiques et volé des millions de numéros de cartes de crédit et de débit de clients qui ont ensuite été utilisés ou vendus à des fins lucratives.

En savoir plus sur les dernières nouvelles sur la cybercriminalité

Sa principale méthode de compromis était via des attaques de phishing, incitant les employés à télécharger un fichier malveillant contenant une version adaptée du malware Carbanak, qui volerait les données de carte de paiement des clients.

« Depuis 2015, de nombreux numéros de cartes de paiement volés ont été proposés à la vente sur des marchés souterrains en ligne », a expliqué le DoJ.

Groupe de menaces actives

Une équipe d’analystes des menaces chez Mandiant qui ont suivi la cellule de cybercriminalité a noté plus tôt ce mois-ci que bien que les poursuites contre les membres se poursuivent, le groupe de menaces ne montre aucun signe de dissolution.

En janvier 2022, les analystes ont déclaré que huit groupes de piratage non catégorisés (UNC) précédemment suspectés avaient été fusionnés dans FIN7.

« À ce jour, nous soupçonnons 17 UNC supplémentaires d’être affiliés à FIN7 avec différents niveaux de confiance ; cependant, ces groupes n’ont pas été officiellement fusionnés dans FIN7 », a déclaré Mandiant.

Le groupe de menaces Intel dernier rapport FIN7 met également en évidence des changements notables dans l’activité du groupe au fil du temps, y compris l’utilisation de nouveaux logiciels malveillants, l’incorporation de nouveaux vecteurs d’accès initiaux et l’évolution des stratégies de monétisation.

Bryce Abdo, analyste principal chez Mandiant, a déclaré La gorgée quotidienne: « Dans les années qui ont précédé 2019, l’objectif de FIN7 était le ciblage clair et le vol des données des cartes de paiement des organisations. Depuis lors, nos avoirs montrent que FIN7 s’est éloigné du ciblage de ces données.

« Dans plusieurs cas jusqu’à la fin de 2021, les acteurs FIN7 ont eu accès aux réseaux de victimes sans déployer de logiciel malveillant de vol de carte de crédit ni cibler les serveurs contenant ces données.

« La voie à suivre de FIN7 est probablement une combinaison de relations avec les opérateurs de rançongiciels et les affiliés, en conjonction avec l’extorsion utilisant des données volées comme levier. Cette évaluation est basée sur les relations passées de FIN7 avec MAZE, DARKSIDE, ALPHV, où la double menace de vol de données précédant le déploiement de ransomware est courante.

Pistes cachées

Jamie Collier, conseiller principal en renseignement sur les menaces chez Mandiant, a déclaré La gorgée quotidienne que le suivi de la cellule est devenu de plus en plus difficile en raison de la variété de groupes travaillant maintenant ensemble et collaborant en tant qu’affiliés.

Collier a déclaré: «Cela peut brouiller l’attribution et rendre difficile la fin d’un groupe et un autre commence et constitue un défi majeur pour les forces de l’ordre.

« Il y a une grande différence entre l’établissement d’une confiance élevée dans le suivi et l’attribution des acteurs de la menace aux fins de la défense du réseau, par rapport au niveau d’attribution supplémentaire alors nécessaire pour confirmer l’identité des personnes impliquées.

« Cela nécessite généralement des capacités beaucoup plus étendues, c’est pourquoi ce genre de choses est souvent fait par les forces de l’ordre du gouvernement. »

TU POURRAIS AUSSI AIMER Les autorités saisissent les serveurs Hydra dans le cadre d’une attaque contre le marché de la cybercriminalité darknet