Rapport du CERT sur le groupe cybercriminel FIN7

Le Centre gouvernemental français de veille, d’alerte et de réponse aux attaques informatiques (CERT) vient de rédiger un rapport sur le groupe de cybercriminels FIN7. Ce groupe de cybercriminels russophones était initialement spécialisé dans les attaques à visée lucrative à l’encontre de systèmes d’information bancaires. Il a ciblé des secteurs variés aux États-Unis, au Royaume-Uni, en Australie et en France. À partir de 2020, le groupe fait évoluer son activité en réalisant des attaques par rançongiciel de type Big Game Hunting. (Sources)

FIN7 , également associé à GOLD NIAGARA, ITG14 et Carbon Spider, est un groupe criminel russe de menace persistante avancée qui cible principalement les secteurs américains de la vente au détail, de la restauration et de l'hôtellerie depuis la mi-2015. Une partie de FIN7 est gérée par la société écran Combi Security. Il a été appelé l'un des groupes de piratage criminel les plus prospères au monde. En décembre 2020, il a été signalé que FIN7 pourrait être un proche collaborateur de Ryuk. En octobre 2021, les cybercriminels créent une fausse entreprise "Combi Security" pour recruter des experts en sécurité pour mener des cyberattaques.


Une cyberattaque est un acte malveillant envers un dispositif informatique via un réseau cybernétique. Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les origines des cyberattaques sont multiples et proviennent le plus souvent d'attaques par rançongiciels, par phishing, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.


Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et de donnent pas la clé de déchiffrement après la rançon payée.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.