Déplier le sommaire Replier le sommaire
Dans le monde de la cybercriminalité, le groupe FIN7 se distingue par son utilisation sophistiquée d’outils de contournement de la sécurité pour mettre en péril la cyber-sécurité à l’échelle mondiale. Leur expertise et leur ingéniosité les placent au cœur des menaces virtuelles qui pèsent sur nos données et nos systèmes informatiques. Décryptage d’une menace grandissante aux ramifications internationales.
Origines et Historique de FIN7
FIN7, également connu sous les pseudonymes Carbanak, Carbon Spider, Gold Niagara et Sangria Tempest, est un groupe de cybercriminalité d’origine russe et ukrainienne actif depuis au moins 2012. Le groupe a commencé par cibler les terminaux de points de vente (PoS), avant de devenir un affilié pour des groupes de ransomware désormais inactifs comme REvil et Conti. Par la suite, FIN7 a lancé ses propres programmes de ransomware-as-a-service (RaaS), notamment DarkSide et BlackMatter.
Outils de Contournement de la Sécurité
FIN7 développe et utilise des outils hautement spécialisés pour contourner les solutions de sécurité. L’un de ces outils, connu sous le nom d’AvNeutralizer (ou AuKill), est une application sophistiquée destinée à altérer les solutions de sécurité. Ce logiciel est commercialisé sur les forums cybercriminels et employé par de nombreux groupes de ransomware comme AvosLocker, Black Basta, BlackCat, LockBit et Trigona.
Techniques et Méthodes Utilisées
Pour éviter la détection, FIN7 utilise des techniques avancées telles que le malvertising (publicités malveillantes) pour piéger les utilisateurs en les incitant à télécharger des versions infectées de logiciels populaires. Ces outils incluent notamment 7-Zip, PuTTY, Notepad++, et bien d’autres. De plus, FIN7 loue une grande quantité de IP dédiés sur divers hébergeurs afin de mener ses attaques.
Évolution Tactique
Au fil des ans, FIN7 a démontré une grande capacité d’adaptation en modifiant son arsenal de malwares, parmi lesquels POWERTRASH, DICELOADER (également connu sous le nom d’IceBot, Lizar ou Tirion), et l’outil de test de pénétration Core Impact. L’arrestation et la condamnation de certains de ses membres n’ont pas freiné ses activités, soulignant ainsi la résilience du groupe.
Phishing et Domaines Factices
FIN7 mène des campagnes de phishing à grande échelle, utilisant des milliers de domaines « shell » qui imitent des entreprises légitimes pour déployer des ransomwares et autres malwares. Ces domaines factices réorientent parfois les utilisateurs vers des pages de connexion frauduleuses, se faisant passer pour des portails de gestion immobilière.
Utilisation et Improvisation d’Outils de Contournement
Le groupe a récemment amélioré ses outils, le rendant encore plus dangereux. Par exemple, AvNeutralizer utilise des techniques anti-analyse et exploite un pilote intégré de Windows appelé « ProcLaunchMon.sys » avec le pilote de Process Explorer pour altérer les solutions de sécurité sans être détecté. Ces évolutions rendent les outils de contournement de FIN7 particulièrement redoutables et coûteux pour les attaquants.
Aspect
Description
Origine
Russie et Ukraine
Outils
AvNeutralizer, POWERTRASH, DICELOADER
Techniques
Malvertising, Phishing, Domains Shell
Stratégie commerciale
Forums cybercriminels
Évolution
Adoption de nouvelles techniques et améliorations constantes
Campagnes
Ransomware, automates SQL injection
IP Dédicaces
Stark Industries
Membres Arrêtés
Plusieurs membres arrêtés et condamnés
L’impact de FIN7 sur la cybersécurité mondiale est considérable en raison de l’évolution constante de ses techniques et de ses outils. La sophistication de ses méthodes et sa capacité à contourner les systèmes de sécurité en font une menace persistante et en constante évolution.
