Utrecht, le 23 mai 2019 – Malgré l’arrestation de plusieurs dirigeants présumés des tristement célèbres groupes de pirates informatiques Carbanak et Fin7, les chercheurs de Kaspersky Lab ont détecté de nouvelles cyber-attaques qui renvoient à cette même origine. Il s’agit d’actions sophistiquées de spear-phishing et de diffusion du maliciel GRIFFON visant quelque 130 entreprises dupées, pour un butin possible estimé à plusieurs millions de dollars en actifs financiers tels que des données bancaires et de cartes de crédit sur des ordinateurs de départements financiers. Ces cyber-attaques ont eu lieu fin 2018. Les experts de Kaspersky Lab pensent que Fin7 a augmenté le nombre de groupes opérant sous cette même bannière et a créé une société de sécurité bidon.

Kaspersky Lab a détecté des cyber-attaques de Fin7 où des pirates ont d’abord communiqué par e-mails pendant des semaines avec les victimes visées, avant que les documents malveillants ne soient envoyés en pièces jointes. Avec le tristement célèbre groupe Carbanak, Fin7 semble être derrière des attaques menées contre des secteurs de la distribution, de la restauration et de l’hôtellerie américaines depuis la mi-2015. Les deux groupes auraient recouru aux outils et méthodes les uns des autres. Si Carbanak vise principalement les banques, Fin7 se concentre surtout sur les organisations disposant de nombreuses ressources et données financières. Dès que les cybercriminels se sont emparés des informations ciblées, de l’argent est transféré vers des comptes étrangers.


Les chercheurs ont également découvert que d’autres équipes criminelles opéraient sous l’égide de Fin7. Le fait que l’infrastructure soit partagée et que les mêmes tactiques, techniques et procédures soient appliquées indique que Fin7 collabore probablement avec le botnet AveMaria et des groupes connus sous le nom de CobaltGoblin/EmpireMonkey. Ils sont probablement à l’origine de différentes attaques de banques en Europe et en Amérique centrale.

Kaspersky Lab constate en outre que Fin7 a créé une société bidon qui se fait passer pour un fournisseur de produits et de services de cyber-sécurité, avec des filiales dans toute la Russie. Le site Web de la société est enregistré sur le serveur que Fin7 utilise comme centre de commande et de contrôle (C&C). La société bidon est utilisée pour recruter des chercheurs en matière de fuites de données, des développeurs de logiciels et des interprètes ne se doutant de rien, par le biais de sites légitimes d’offres d’emploi en ligne. Il semble que des personnes travaillent pour ces sociétés bidon sans être conscientes de leur implication dans des actes de cybercriminalité. Ainsi, différents professionnels informatiques font mention dans leur CV de leur emploi au sein de ces fausses sociétés.

"Les cyber-menaces modernes peuvent malheureusement être comparées à l’Hydre de Lerne, cette créature de la mythologie grecque à plusieurs têtes qui, lorsqu’on lui en coupe une, en voit directement repousser deux à la place”, indique Jornt van der Wiel, expert en cyber-sécurité chez Kaspersky Lab. "La mise en œuvre d’une sécurité avancée à couches multiples est la meilleure manière de se protéger contre ce genre de monstre. Il faut donc installer systématiquement tous les correctifs logiciels publiés et effectuer régulièrement des analyses de sécurité tant au niveau du réseau et des systèmes que des équipements.”

De plus amples informations sont disponibles dans le rapport complet sur Securelist.com.