Avril 2022 – FIN7 est un groupe de cybercriminels russophones qui a fait ses débuts en se spécialisant dans les attaques à but lucratif contre les systèmes d’information bancaires. Le groupe a démontré une portée internationale, ciblant divers secteurs dans plusieurs pays, notamment les États-Unis, le Royaume-Uni, l’Australie et la France. Leur expertise et leur capacité à frapper diverses industries ont rapidement fait de FIN7 une menace sérieuse dans le paysage cybercriminel.

Cependant, à partir de 2020, le groupe a commencé à évoluer et à diversifier ses activités. Ils ont commencé à mener des attaques par rançongiciel de type Big Game Hunting, une stratégie qui cible les grandes entreprises avec des demandes de rançon potentiellement énormes. Cette évolution a marqué une escalade significative dans leurs activités criminelles, indiquant une volonté d’augmenter leurs gains financiers et d’élargir leur portée.

En tant qu’affilié reconnu de Sodinokibi, un autre groupe de cybercriminels notoire, FIN7 a introduit son propre rançongiciel, Darkside, en juillet 2020. Darkside a rapidement gagné en notoriété en raison de son efficacité et de sa capacité à causer des dommages significatifs.

En mai 2021, FIN7 a attiré l’attention des autorités américaines après qu’un de leurs affiliés a lancé une attaque contre l’entreprise Colonial Pipeline. Cette attaque a eu des conséquences sans précédent, interrompant l’approvisionnement en carburant de la côte est des États-Unis et provoquant une crise énergétique temporaire. Cet incident a mis en évidence le potentiel destructeur des attaques par rançongiciel et a placé FIN7 sous le feu des projecteurs internationaux.

Malgré l’attention accrue des autorités, FIN7 a démontré une capacité remarquable à se réinventer et à perdurer dans l’écosystème cybercriminel russophone. Le groupe continue de représenter une menace significative pour la sécurité des systèmes d’information, y compris en France. Les efforts pour contrer et neutraliser FIN7 sont en cours, mais leur capacité à s’adapter et à évoluer rend ces efforts particulièrement difficiles.

Télécharger le rapport : Le groupe cybercriminel FIN7

Le CERT-FR, ou Computer Emergency Response Team France, est l’équipe gouvernementale et nationale française chargée de la réponse aux incidents de cybersécurité. Il est géré par la Sous-Direction Opérations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Les missions du CERT-FR sont variées et comprennent :

1. Fournir une assistance en réponse aux incidents de sécurité sur les réseaux et les systèmes d’information de ses bénéficiaires. Cela comprend la réception des demandes, l’analyse des symptômes des incidents, l’identification de corrélations avec d’autres incidents similaires et la définition de solutions de reprise après incident.

2. Traiter les alertes et réagir aux attaques informatiques. Dans ce cadre, le CERT-FR réalise une analyse technique des attaques, participe aux échanges d’informations avec d’autres CERT et contribue à la réalisation d’études techniques spécifiques sur différents sujets de cybersécurité.

3. Détecter les attaques ciblant les systèmes d’information gouvernementaux. Pour cela, le CERT-FR opère un service permanent de supervision de la sécurité (SOC) au profit des services de l’État.

4. Détecter les vulnérabilités des systèmes, notamment grâce à une veille technologique sur les produits majeurs du marché.

5. Contribuer à la prévention des attaques informatiques, en diffusant des informations sur les précautions à prendre pour réduire les risques d’incidents et minimiser leurs conséquences éventuelles.

6. Coordonner la prévention et la réponse à incidents avec les entités partenaires. Cela permet de mobiliser, en fonction des besoins, les CERT nationaux et internationaux, les centres de compétences réseaux, les opérateurs et les fournisseurs d’accès à Internet.

Les principaux bénéficiaires des actions menées par le CERT-FR sont les organismes publics, les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). Bien que le CERT-FR fournisse des informations accessibles à tous via son site Internet, il n’a pas vocation à intervenir directement auprès des particuliers, des TPE et des PME. L’accompagnement de ces publics est pris en charge par le site gouvernemental cybermalveillance.gouv.fr.

Pour mener à bien ses activités opérationnelles, le CERT-FR est membre de plusieurs réseaux nationaux et internationaux de CERT, dont l’InterCERT France, le Réseau des CSIRT, l’European Government CERTs Group, l’International Watch and Warning Network, le Forum of Incident Response and Security Teams, et la Task Force on Computer Security Incident Response Teams.