ANSSI : rapport sur le groupe cybercriminel FIN7

Le 27 avril 2022, l’ANSSI a publié un rapport détaillé concernant l’identité, l’histoire et les activités du groupe cybercriminel russophone FIN7. Ce rapport, disponible en référence, propose également des données techniques destinées à faciliter la détection d’activités malveillantes provenant de ce groupe.

Origines

Les origines de FIN7 remontent à l'organisation cybercriminelle Carbanak, active de 2013 à 2015. Celle-ci était spécialisée dans le ciblage de systèmes d’information bancaire, activité qui lui aurait rapporté plus de 45 millions de dollars. Au-delà de la sphère bancaire, ce groupe cybercriminel serait à l’origine d’attaques de systèmes de terminaux de vente d’établissements hôteliers aux États-Unis et en Europe, ainsi que d’opérations d’espionnage industriel. En 2015, à la suite de l’arrestation d’une cinquantaine de ses membres, le groupe Carbanak aurait muté en plusieurs petits groupes, parmi lesquels se trouve FIN7.

Activités initiales

Le groupe APT FIN7 serait actuellement composé de plusieurs dizaines de membres, majoritairement ukrainiens et russes. Son fonctionnement correspond à celui d’une entreprise classique avec une répartition des tâches par service et un système hiérarchique. Une partie des activités du groupe est par ailleurs dissimulée derrière des sociétés-écrans (Combi Security, Bastion Secure) spécialisées dans la sécurité informatique.

De 2017 à 2020, l’activité principale du groupe cybercriminel FIN7 résidait principalement dans le vol de données sensibles (propriété intellectuelle, listes de clients, données de carte bancaire). Le groupe utilisait alors des courriels d’hameçonnage comme vecteur principal d’infection. Après la compromission des systèmes de sa cible, FIN7 disposait d’un échantillon varié de TTP (Tactiques Techniques et Procédures) et codes malveillants personnalisés en interne et adaptés à chaque étape de leurs attaques. Il est vraisemblable que cet arsenal soit toujours à disposition du groupe APT (groupe capable de lancer des attaques APT, c’est-à-dire des attaques avancées et persistantes).

Évolution

Du fait d’une perte de rentabilité dans l’activité de vol de données sensibles, FIN7 se réoriente à partir d’avril 2020 dans l’activité d’extorsion par rançongiciel. Il vise particulièrement des entités à haute rentabilité ou à la continuité d’activité critique, ce qui a pour effet d’augmenter significativement le montant de la rançon à payer. Gagnant en expérience, FIN7 se lance alors dans le ransomware-as-a-service (RaaS) et développe à partir de 2020 son propre rançongiciel nommé Darkside. Celui-ci attire l’attention des autorités américaines à la suite d’une attaque menée contre la compagnie Colonial Pipeline et ayant rapporté 5 millions de dollars au groupe FIN7.

Par la suite, ce groupe APT a fait évoluer son ransomware-as-a-service (RaaS) Darkside en une nouvelle version nommée Black Matter. Malgré l’arrestation de plusieurs de ses membres, FIN7 semble rester opérationnel et capable de mener de nouvelles attaques.

Pour plus de détails, consulter le rapport de l’ANSSI cité en référence.