FinTech : argent et données pour attaques de malwares ciblées

Entretien avec Matias Porolli, chercheur en sécurité, sur les dernières activités d’Evilnum, groupe cybercriminel ciblant les FinTechs

Les confinements COVID-19 ont impacté la façon dont on gère son argent. Certains se sont tournés vers le trading (actions et options), inondant les plateformes populaires et influençant toujours plus les investisseurs, même expérimentés.

Ces nouveaux venus ne sont pas toujours conscients de la valeur de leurs données et de leur argent au jeu du gain. S’inscrire sur une plateforme de trading c’est adhérer à la réglementation Know Your Customer (KYC) et partager ses informations personnelles. Comment les données sont-elles sécurisées et les fuites ou les vols sont-ils lucratifs?

Une nouvelle version d’un des composants d’Evilnum a été détectée par quelques security vendors. Une analyse approfondie a confirmé qu’elle ne cible que les FinTechs et dispose d’une infrastructure plus vaste que décrite précédemment dans le rapport ESET.

Les FinTechs doivent ouvrir l’oeil car Evilnum existe depuis des années et est toujours actif. Généralement, elles traitent de gros volumes d’investissements et de trading. Accéder à ces infos est très rentable pour ces groupes. Même s’ils n’utilisent pas directement les informations volées, ils peuvent être recrutés par des tiers ou vendre les informations. Leur réussite et leur connaissance du secteur les encouragent à rester actifs avec des objectifs précis.

Evilnum est actif dans le développement de nouveaux outils, la mise à jour des anciens, l’utilisation d’outils publics et même leur location. Qu’est-ce que cela veut dire?

Ces activités criminelles sont très rentables, une partie est réinvestie dans des outils adaptés, de nouvelles infrastructures (serveurs, noms de domaine) et la mise à jour d’outils plus anciens. C’est le cas d’Evilnum et d’autres, axés sur les FinTechs.

En septembre 2020, Cybereason a publié un rapport sur une chaîne d’infection utilisée par Evilnum pour livrer un nouveau Python RAT, PyVil. En 2021, on a vu des attaques avec les nouvelles versions de PyVil et du logiciel malveillant phare JavaScript décrit en juillet 2020.

Que peuvent faire les FinTechs pour détecter Evilnum et se protéger contre ses infiltrations dans leurs réseaux ?

Première recommandation : s’abonner aux datafeeds Threat Intelligence. Ils fournissent des indicateurs utiles pour les audits. Je recommande aussi de consulter les sources publiques d’information. Suivez notre blog, WeLiveSecurity, et nos infos sur Twitter @ESETresearch pour le contenu quotidien et les mises à jour.

De nouvelles menaces continuent d’émerger. Il faut donc disposer de bonnes solutions de sécurité capables de détecter les comportements malveillants et de bloquer pro-activement les attaques. Les équipes de sécurité expérimentées peuvent utiliser des solutions de détection et de réponse pour terminaux, telles qu’ESET Enterprise Inspector, pour une identification précoce des menaces et une remédiation réussie.