Qui est FIN12, le groupe de hackers à l'origine de la cyberattaque du CHU de Brest ?
L'Agence nationale de la sécurité des systèmes d'information vient de publier un bulletin d'alerte sur FIN12, un groupe de cybercriminels à l'origine de multiples ransomwares, dont celui qui a touché le CHU de Brest. Entre 2020 et 2023, ils auraient ainsi utilisé les malwares Ryuk et Conti, avant de prendre part aux programmes de Ransomware-as-a-Service des rançongiciels Hive, BlackCat et Nokoyawa. Ils auraient également utilisé les rançongiciels Play et Royal.
Sept mois après la cyberattaque du Centre hospitalier universitaire (CHU) de Brest, le Centre gouvernemental de veille, d'alerte et de réponses aux attaques informatiques (CERT) de l'Agence nationale de la sécurité des systèmes d'information (Anssi) fait un point ce lundi 18 septembre sur le groupe FIN12. Grâce à la réactivité de la victime, l'incident de sécurité n'avait engendré ni de chiffrement ni d'exfiltration de données.
Un groupe à l'origine de nombreux ransomwares
A l'issue de ses investigations et à l'aide de "sources ouvertes", l'Anssi a rattaché cette attaque au mode opératoire des attaques du groupe connu sous le nom de FIN12. Ce dernier est à l'origine "d'un nombre conséquent d'attaques par rançongiciel sur le territoire français", annonce l'autorité française. Ainsi, entre 2020 et 2023, les hackers auraient employé "les rançongiciels Ryuk puis Conti", "avant de prendre part aux programmes de Ransomware-as-a-Service (RaaS) des rançongiciels Hive, BlackCat et Nokoyawa". Ils auraient également utilisé "les rançongiciels Play et Royal".
Pour rappel, un ransomware est un malware qui paralyse le système d'information de sa victime en chiffrant l'intégralité des données s'y trouvant. Les cybercriminels réclament ensuite le paiement d'une rançon en échange d'une clé de déchiffrement (avec aucune garantie qu'elle ne fonctionne). Payée en bitcoin, la transaction ne peut être annulée.
Bien que les hackers n'aient pas réussi à dérober des données à l'hôpital breton, ils sont à l'origine d'un "ensemble d'actions malveillantes", rapporte l'Anssi. Dans les détails, l'accès initial au système d'information a été effectué depuis "un service de bureau à distance exposé et accessible sur Internet". Les hackers ont utilisé les identifiants d'un professionnel de santé, issus "probablement" de la compromission du poste utilisateur. Deux acteurs pourraient être impliqués dans l'incident : un fournisseur d'accès initial et l'attaquant chargé du déploiement du malware. Les hackers ont ensuite exécuté deux portes dérobées, SystemBC et Cobalt Strike.
Spécialiste du chiffrement rapide des réseaux compromis
Le rapport note que l'une des particularités de FIN12 est de "ne recourir que rarement à des méthodes de double extorsion", soit cette tendance qui consiste à faire pression sur une victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet afin qu'elle paye la rançon. Il semble préférer "le chiffrement rapide des réseaux compromis". Le délai entre l'intrusion initiale et le chiffrement du système – le "Time-To-Ransom" – est d'environ quatre jours, peut-on lire dans le rapport.
L'identification de FIN12 permet d'apporter de nouvelles connaissances sur le déploiement des ransomwares. Ils restent la principale cybermenace, d'après le dernier rapport d'Europol, l'agence européenne de lutte contre la criminalité transfrontalière. Cette menace touche particulièrement les TPE, PME et ETI (40% des ransomwares), les collectivités territoriales (23%) et les établissements publics de santé (10%), rapportait l'Anssi dans son dernier panorama de la cybermenace.
SUR LE MÊME SUJET
Qui est FIN12, le groupe de hackers à l'origine de la cyberattaque du CHU de Brest ?
Tous les champs sont obligatoires
0Commentaire
Réagir