Malgré les inculpations et quelques arrestations effectuées l’année dernière par le ministère américain de la Justice, les chercheurs de Mandiant ont minutieusement établi un lien entre des clusters d’activités malveillantes antérieures et FIN7, ce qui montre que FIN7 a évolué pour « augmenter la vitesse de son rythme opérationnel, l’étendue de ses cibles et même éventuellement ses relations avec d’autres opérateurs de ransomware ».

Parmi les principales conclusions, citons :

– Huit groupes catégorisés UNC précédemment suspectés être liés à FIN7, actifs depuis 2020, ont récemment été fusionnés dans FIN7, confirmant la résilience des hackers associés au groupe de menaces.
• Les chercheurs Mandiant ont identifié un regain d’activité de FIN7 au cours de l’année 2021 à travers cinq intrusions, à partir d’avril 2021.

– Pour la première fois, Mandiant a observé que FIN7 exploite la compromission de la chaîne d’approvisionnement.

• Le groupe a compromis un site Web qui vend des produits numériques et a « modifié plusieurs liens de téléchargement pour pointer vers un bucket Amazon S3 hébergeant des versions « trojanisées », contenant un programme d’installation de l’agent Atera », qui a été utilisé pour déployer une nouvelle porte dérobée dénommée POWERPLANT.

• Les chercheurs Mandiant qualifient POWERPLANT de « vaste » car son cadre « permet une grande étendue des fonctionnalités en fonction des modules fournis par le serveur de commande et de contrôle (C2). »

• FIN7 a utilisé POWERPLANT dans toutes les intrusions observées en 2021 et leurs recherches ont conduit Mandiant à évaluer que « FIN7 est probablement le seul opérateur utilisant POWERPLANT.

– PowerShell est la méthode de prédilection de FIN7.

• FIN7 a implémenté des logiciels malveillants dans ses opérations en utilisant de nombreux langages de programmation, mais FIN7 préfère les loaders basés sur PowerShell et les instructions PowerShell spécifiques à tous les autres.