[Info Numerama] L’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie ce 18 septembre un rapport sur FIN12, un groupe de hackers désigné responsable de la cyberattaque – rapidement maitrisée – contre l’hôpital de Brest. Les experts décrivent un groupe itinérant, profitant des nombreux logiciels malveillants disponibles aujourd’hui sur la scène du cybercrime.

L’ANSSI, la sentinelle cybersécurité des services publics en France, a identifié l’acteur derrière la cyberattaque contre le CHU de Brest en mars dernier. Dans un rapport publié sur le site du CERT-FR ce 18 septembre, l’agence décrit le mode opératoire de FIN12, un collectif de hackers responsable de nombreuses attaques contre les acteurs de la santé.

Lors de l’attaque contre l’hôpital breton, les pirates ont obtenu un accès initial à partir des authentifiants d’un professionnel de santé. Les experts pensent que les identifiants ont été dérobés de manière opportuniste lors d’une campagne de phishing, à travers un infostealer, un logiciel malveillant spécialisé dans le siphonnage de données. Les attaquants ont ensuite utilisé des accès de bureau à distance en profitant de deux portes dérobées. Dès lors, ils ont commencé à « creuser » dans le réseau jusqu’à tenter une exfiltration de la base de données.

L’ANSSI signale que « la réactivité de l’établissement de santé a permis d’isoler rapidement le système d’information d’Internet et d’entraver la progression du mode opératoire des attaquants (MOA), empêchant ainsi l’exfiltration de données et le chiffrement du système d’information ». Après une période de travail en mode dégradé, le CHU de Brest a retrouvé un rythme de fonctionnement complètement normal au bout de quelques semaines. Aucune donnée de patients n’a été dérobée.

Un gang de hackers aux nombreux rançongiciels

Lors de leurs investigations, les experts de l’ANSSI ont pu établir des liens entre cette cyberattaque et une trentaine opérations réalisées lors des trois dernières années. De nombreux indices permettaient de remonter jusqu’au groupe de cybercriminels FIN12 : des noms de domaine similaires, l’exploitation conjointe de deux failles, l’accès obtenu à partir d’authentifiant valide ou encore programmes malveillants stockés dans un dossier « C:\Users\Public\Music\ » de la victime.

Le milieu du ransomware se divise aujourd’hui entre des gestionnaires de logiciel malveillant et les attaquants. FIN12 entre dans la seconde catégorie.

Le groupe FIN12 est lié à de nombreux acteurs du cybercrime. // Source : FIN12
Le groupe FIN12 a déjà été repéré par les analystes de nombreuses sociétés de cybersécurité. // Source : Mandiant

Ce collectif de hackers, actif depuis au moins 2019, a recours à de nombreux rançongiciels pour mener ces attaques. Les collectifs en charge de ces malwares sont généralement bien plus connus que les hackers qui les exploitent, nommés « affiliés ». Pourtant, ce sont eux qui mènent les attaques. Ils versent une commission aux gestionnaires une fois la rançon obtenue. FIN12 est un parfait exemple de pirates itinérants, passés par de célèbres gangs de ransomwares : Ryuk, Conti, Hive, Nokoyawa et Play.

D’après les analyses de l’ANSSI, les attaquants responsables de l’incident du CHU de Brest pourraient donc être affiliés à différentes attaques par rançongiciel. Ils auraient utilisé les rançongiciels Ryuk, puis Conti, avant de distribuer Hive, Nokoyawa, Play et Royal.

D’anciens membres du collectif cybercriminel Conti

Après la séparation du groupe Conti – suite à l’invasion de l’Ukraine par la Russie –, de nombreux membres ont commencé à s’implanter dans divers gangs de cybercriminels. Une base de données obtenues à la suite de querelles internes permet de désigner l’acteur « Troy », ancien de Conti, comme l’un des responsables des opérations associées au mode opératoire de FIN12. L’ANSSI note que « les opérateurs de ce collectif entretiendraient donc des relations étroites avec le reste de l’écosystème cybercriminel et pourraient collaborer au sein de cercles restreints d’opérateurs de rançongiciels ». En 2023, on remarque que ces hackers travaillent avec le groupe nommé Royal ransomware. Ce gang de cybercriminels est à l’origine de la cyberattaque contre la mairie de Lille.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !