L’enquête de l’ANSSI a permis d’établir des liens entre l’incident du CHU de Brest et le groupe FIN12 responsable du chiffrement de dizaines d’entités entre 2020 et 2023.
Visé par une cyberattaque jeudi 9 mars 2023 à 20h30, le centre hospitalier régional universitaire (CHRU) de Brest avait vu ses serveurs impactés. L’établissement n’était plus en mesure d’assurer la prise de rendez-vous, les consultations d'imageries médicales, l’envoi de résultats d'examens aux établissements partenaires, ou encore de proposer des téléexpertises et la téléconsultation. Le CHU était néanmoins parvenu à isoler son système d’information empêchant ainsi aux pirates de déployer leur charge finale et de dérober des données ou de chiffrer le système.
Sept mois plus tard, on en sait un peu plus sur les auteurs de l’attaque. Le Centre gouvernemental de veille, d'alerte et de réponses aux attaques informatiques (CERT) de l'Agence nationale de la sécurité des systèmes d'information (Anssi) a publié un document dans lequel il révèle que le groupe de cyberattaquant FIN12 est à la manœuvre.
Le chiffrement plutôt que l’exfiltration de données
Son mode opératoire consisterait à viser en priorité des entreprises susceptibles de payer d’importantes rançons ou des acteurs du secteur de la santé, qui correspondent à 20% de leurs cibles. « Les opérateurs de FIN12 seraient notamment responsables de plusieurs attaques majeures contre ce secteur, dont la campagne du rançongiciel Ryuk en 2020 contre des établissements publics de santé aux États-Unis attribuée à UNC1878]. », explique le CERT.
Le groupe ne recoure que très rarement à la double extorsion et privilégie le chiffrement rapide des réseaux plutôt que l’exfiltration de données. Il sévirait en Amérique du Nord et en Europe et serait responsable de plusieurs attaques en France. « Entre 2020 et 2023, ils auraient employé les rançongiciels Ryuk puis Conti, avant de prendre part aux programmes de Ransomware-as-a-Service (RaaS) des rançongiciels Hive, BlackCat et Nokoyawa. Ils auraient également utilisé les rançongiciels Play et Royal. », décrit le CERT. Microsoft aurait identifié le groupe sous la dénomination de Pistache Tempest qui utiliserait les rançongiciels Agenda et Midware. L’Anssi écrit de son côté ne pas avoir été en mesure de confirmer l’utilisation de ces logiciels malveillants.