L’Anssi attribue la cyberattaque de Brest aux méthodes de FIN12

Six mois après la cyberattaque qui a frappé le CHU de Brest le 9 mars 2023, l’Anssi a publié une analyse du mode opératoire du groupe cybercriminel FIN12 contre l’hôpital. Ce groupe est à l’origine de plusieurs attaques par rançongiciels sur le territoire français entre 2020 et 2023. L’agence de cybersécurité, par le biais du CERT-FR, déclare qu’aucune exfiltration de données n’a été signalée au CHU de Brest. Les attaquants ne sont pas parvenus à déployer leur charge finale. Selon le rapport, “l’accès initial au SI a été effectué depuis un service de bureau à distance exposé et accessible sur internet. Les opérateurs du MOA (mode opératoire d’attaque, ndlr) ont utilisé des authentifiants valides d’un professionnel de santé pour se connecter”.

À noter : FIN12 aurait employé, au fil du temps, les rançongiciels Ryuk puis Conti, avant de prendre part aux programmes de Ransomware-as-a-Service (RaaS) des rançongiciels Hive, BlackCat et Nokoyawa.