FIN11 APT

FIN11 APT est la désignation donnée à un collectif de hackers qui sont opérationnels depuis 2016. Ce groupe particulier se caractérise par des périodes d'activité extrême où il a été observé de mener jusqu'à cinq campagnes d'attaque en une seule semaine suivies de périodes où il est relativement dormant. FIN11 n'affiche pas beaucoup de sophistication dans sa boîte à outils contre les logiciels malveillants ou ses procédures d'attaque, mais il le compense avec un volume considérable.

Alors que la plupart des groupes APT similaires ne parviennent pas à maintenir leur existence pendant longtemps, FIN11 est non seulement opérationnel depuis plusieurs années, mais il subit des changements constants en élargissant leurs cibles préférées et en changeant le centre de leurs attaques. Entre 2017 et 2018, FIN11 s'est concentré sur l'attaque d'un groupe restreint d'entités, principalement celles travaillant dans les secteurs de la vente au détail, de la finance et de l'hôtellerie. Cependant, l'année suivante, les hackers n'ont montré aucune préférence particulière pour un secteur industriel ou une situation géographique lors du choix de leurs victimes attaquant sans discrimination.

Dans le même temps, les pirates se sont adaptés rapidement au paysage changeant des tendances de monétisation parmi les acteurs cybercriminels. Initialement, FIN11 a déployé des logiciels malveillants de point de vente (POS) avant de passer aux attaques de ransomware. Dans leur activité récente, principalement en 2020, le groupe a adopté l'extorsion hybride. Les pirates informatiques compromettent leurs victimes avec CLOP Ransomware, mais avant que le cryptage du processus ne soit lancé, divers types de données des ordinateurs ciblés sont exfiltrés vers des serveurs sous le contrôle de FIN11. Les victimes se voient alors présenter un choix difficile: payer une rançon aux pirates et, espérons-le, recevoir un outil de décryptage fonctionnel ou risquer de voir des données d'entreprise ou privées potentiellement sensibles divulguées en ligne.

Pour créer l'infrastructure soutenant leur activité criminelle, les hackers de FIN11 s'appuient sur de nombreux services fournis par des revendeurs clandestins. Ces services peuvent aller de l'hébergement à la création d'outils malveillants, de certificats de signature de code et d'enregistrement de domaine.

Avec sa volonté de suivre les tendances les plus populaires en matière de cyberattaques, son absence de concentration particulière sur un groupe de cibles et sa capacité démontrée à mener plusieurs attaques de phishing en même temps, FIN11 pourrait rester une menace puissante dans un avenir prévisible.