Comment le groupe Fin7 aide les acteurs du ransomware à contourner les EDR

SentinelOne avertit : Fin7, un groupe malveillant financièrement motivé, actif depuis plus d’une décennie, vend un outil d’évasion de détection à d’autres cybercriminels, y compris des gangs de ransomware.

Dans un billet de blog publié fin juillet, Antonio Cocomazzi, chercheur en sécurité offensive chez SentinelOne, a détaillé l’évolution des tactiques, techniques et procédures (TTP) utilisées par Fin7 pour échapper à la détection, exploiter des vulnérabilités pour accéder aux systèmes et maintenir la persistance dans l’environnement de la victime. C’est là qu’il relève que Fin7 utilise une variété d’outils efficaces, dont un que SentinelOne appelle AvNeutralizer, capable désormais de manipuler les outils de détection et de réponse des endpoints (EDR).

SentinelOne pense que Fin7 a commencé à développer et à commercialiser l’outil spécialisé de contournement des EDR en avril 2022. Depuis lors, l’éditeur a lié AvNeutralizer à des activités de ransomware. L’outil personnalisé a reçu plusieurs mises à jour, la plus récente incluant une « méthode de manipulation jamais vue auparavant », selon le billet de blog.

Cette mise à jour est un exemple de la manière dont Fin7 continue à devenir plus habile, une tendance inquiétante dans le paysage des menaces. « Notre enquête sur les activités de Fin7 souligne son adaptabilité, sa persistance et son évolution continue en tant que groupe malveillant. Dans ses campagnes, Fin7 a adopté des méthodes d’attaque automatisées, ciblant les serveurs publics via des attaques par injection SQL automatisées », écrit Antonio Cocomazzi dans le billet de blog.

De récentes campagnes ont impliqué AvNeutralizer, que Fin7 a mis à jour pour tirer parti de la capacité de pilote intégrée de Windows, une technique « jamais vue dans la nature ». Pour Antonio Cocomazzi, l’outil personnalisé conduit finalement à une condition de DoS sur le système affecté.

« Il utilise le pilote de moniteur TTD ProcLaunchMon.sys, disponible sur les installations système par défaut dans le répertoire des pilotes système, conjointement avec des versions mises à jour du pilote process explorer version 17.02 (17d9200843fe0eb224644a61f0d1982fac54d844), qui a été renforcé pour les abus d’opérations entre processus et n’est actuellement pas bloqué par la liste WDAC de Microsoft », peut-on lire dans le billet.

Alors que l’outil continue d’être mis à jour, SentinelOne a observé de multiples intrusions impliquant différentes versions depuis début 2023. L’éditeur a attribué 10 des intrusions à des activités de ransomware impliquant les enseignes AvosLocker, MedusaLocker, BlackCat et LockBit. Un récent rapport de Cisco Talos a également détaillé la capacité croissante des groupes de ransomware à désactiver et à échapper aux programmes antivirus et aux outils de détection des endpoints sur une machine ciblée.

SentinelOne pense que Fin7 a probablement commercialisé l’outil à partir de 10 000 dollars, où il a rapidement attiré l’attention des groupes de ransomwares. Le groupe Black Basta a été l’un des premiers à utiliser AvNeutralizer, mais l’a depuis retiré de son arsenal.

« Notre télémétrie a révélé que l’outil de dégradation des EDR, que nous suivons sous le nom d’AvNeutralizer (alias AuKill), ciblait plusieurs solutions de sécurité des hôtes et était utilisé exclusivement par le groupe pendant six mois », peut-on encore lire. Et ces observations ont « renforcé notre hypothèse selon laquelle FIN7 et Black Basta pourraient avoir eu une relation étroite ».

Cependant, à partir de janvier 2023, SentinelOne a observé une augmentation de l’utilisation de versions mises à jour d’AvNeutralizer par plusieurs gangs en dehors de Black Basta, qui semblaient changer leurs TTP.

En plus d’AvNeutralizer, SentinelOne a découvert que Fin7 maîtrise également des outils tels que Powertrash, un script PowerShell utilisé pour échapper aux défenses ; DiceLoader, qui aide les acteurs malveillants à établir des portes dérobées ; et Core Impact, un outil de test d’intrusion pour les activités d’exploitation qui fournit une porte dérobée basée sur SSH pour maintenir la persistance dans un environnement de victime.

« Chacun de ces outils soutient diverses phases d’attaque menées lors des intrusions, permettant au groupe de s’infiltrer, d’exploiter, de persister et d’échapper habilement à la détection », indique le billet de blog.