L’Anssi a publié lundi 18 septembre 2023 un rapport sur la cyberattaque dont le CHU de Brest avait été victime au mois de mars dernier et exposé avoir identifié le groupe de hackers Fin12, également auteur de la cyberattaque commise à la même époque contre la mairie de Lille.
Ayant relevé « un ensemble d’actions malveillantes » de ces cybercriminels, qui ont utilisé des « authentifiants valides d’un professionnel de santé pour se connecter », l’Agence conclut à la possible action conjointe de deux acteurs : le fournisseur d’accès et l’attaquant.
Exactement comme dans mon cas et celui de mes proches : le cybercriminel, harceleur et calomniateur notoire Pascal Edouard Cyprien Luraghi bénéficie bien de la complicité d'agents de France Télécom, comme je l'avais montré à la magistrature locale pièces justificatives à l'appui dès mes toutes premières plaintes du début des années 2010.
Et ces agents sont bien identifiés depuis longtemps, il s'agit de syndicalistes de Sud PTT représentés par l'escroc Roger Potin, du Barreau de Brest, qui pour leur éviter toute poursuite n'hésite pas à attaquer leurs victimes en accusant mensongèrement celles-ci de n'importe quoi, une méthode que la criminelle et mère maquerelle Josette Brenterch du NPA de Brest leur enseigne à tous depuis son adhésion à la section brestoise de la Ligue Communiste Révolutionnaire dans les années 1970 et dont elle est, bien évidemment, toujours la première bénéficiaire.
A lire ou à relire à ce sujet :
http://satanistique.blogspot.com/2022/03/je-ferais-peur-michel-walter.html
http://satanistique.blogspot.com/2023/02/lexpertise-psychiatrique-passage-oblige.html
http://satanistique.blogspot.com/2023/03/le-chru-de-brest-victime-dune.html
http://satanistique.blogspot.com/2023/03/cyberattaque-du-chu-de-brest-une.html
http://satanistique.blogspot.com/2023/03/cyberattaque-du-chru-de-brest-la.htmlhttp://satanistique.blogspot.com/2023/03/cyberattaque-au-chu-de-brest-plusieurs.html
http://satanistique.blogspot.com/2023/03/cyberattaque-du-chru-de-brest-les.html
Neuf mois après l’intrusion, on connaît enfin l’auteur de la cyberattaque contre le CHU de Brest
L’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié, lundi 18 septembre 2023, un rapport dévoilant l’identité de l’auteur de la cyberattaque contre le Centre hospitalier universitaire (CHU) de Brest, datant de mars. Le groupe de hackers s’appelle Fin12.
Le Centre hospitalier universitaire (CHU) de Brest (Finistère) avait subi une cyberattaque, le 9 mars 2023. Pendant plus de deux semaines, ses téléconsultations et prises de rendez-vous étaient mises à l’arrêt.
Neuf mois après, lundi 18 septembre 2023, l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui avait accompagné le CHU breton pour limiter la propagation de l’attaque, a publié un rapport dévoilant l’identité du groupe de hackers à la manœuvre. Celui-ci s’appelle Fin12 et a employé de « multiples rançongiciels », inconnus du grand public, comme Ryuk, Hive et Royal.
« Un ensemble d’actions malveillantes »
L’Anssi a relevé « un ensemble d’actions malveillantes » commises par ce groupe de hackers, qui s’est servi « d’authentifiants valides d’un professionnel de santé pour se connecter ». Cela impliquant donc, possiblement, selon l’Agence, l’action conjointe de deux acteurs : le fournisseur d’accès et l’attaquant.
Toutefois, le pire ne semble pas s’être produit, comme le souligne le rapport. D’après l’Anssi, « la réactivité de l’établissement de santé » a permis d’empêcher « l’exfiltration de données ».
À l’époque des faits, le CHU avait porté plainte auprès du commissariat.
Cyberattaque contre le CHU de Brest : le groupe de hackers FIN12 est l’auteur de l’attaque, rapporte l’ANSSI
Une attaque stoppée à temps
L’ANSSI, la sentinelle cybersécurité des services publics en France, a identifié l’acteur derrière la cyberattaque contre le CHU de Brest en mars dernier. Dans un rapport publié sur le site du CERT-FR ce 18 septembre, l’agence décrit le mode opératoire de FIN12, un collectif de hackers responsable de nombreuses attaques contre les acteurs de la santé.
Lors de l’attaque contre l’hôpital breton, les pirates ont obtenu un accès initial à partir des authentifiants d’un professionnel de santé. Les experts pensent que les identifiants ont été dérobés de manière opportuniste lors d’une campagne de phishing, à travers un infostealer, un logiciel malveillant spécialisé dans le siphonnage de données. Les attaquants ont ensuite utilisé des accès de bureau à distance en profitant de deux portes dérobées. Dès lors, ils ont commencé à « creuser » dans le réseau jusqu’à tenter une exfiltration de la base de données.
L’ANSSI signale que « la réactivité de l’établissement de santé a permis d’isoler rapidement le système d’information d’Internet et d’entraver la progression du mode opératoire des attaquants (MOA), empêchant ainsi l’exfiltration de données et le chiffrement du système d’information ». Après une période de travail en mode dégradé, le CHU de Brest a retrouvé un rythme de fonctionnement complètement normal au bout de quelques semaines. Aucune donnée de patients n’a été dérobée.
Un gang de hackers aux nombreux rançongiciels
Lors de leurs investigations, les experts de l’ANSSI ont pu établir des liens entre cette cyberattaque et une trentaine opérations réalisées lors des trois dernières années. De nombreux indices permettaient de remonter jusqu’au groupe de cybercriminels FIN12 : des noms de domaine similaires, l’exploitation conjointe de deux failles, l’accès obtenu à partir d’authentifiant valide ou encore programmes malveillants stockés dans un dossier « C:\Users\Public\Music\ » de la victime.
Le milieu du ransomware se divise aujourd’hui entre des gestionnaires de logiciel malveillant et les attaquants. FIN12 entre dans la seconde catégorie.
Ce collectif de hackers, actif depuis au moins 2019, a recours à de nombreux rançongiciels pour mener ces attaques. Les collectifs en charge de ces malwares sont généralement bien plus connus que les hackers qui les exploitent, nommés « affiliés ». Pourtant, ce sont eux qui mènent les attaques. Ils versent une commission aux gestionnaires une fois la rançon obtenue. FIN12 est un parfait exemple de pirates itinérants, passés par de célèbres gangs de ransomwares : Ryuk, Conti, Hive, Nokoyawa et Play.
D’après les analyses de l’ANSSI, les attaquants responsables de l’incident du CHU de Brest pourraient donc être affiliés à différentes attaques par rançongiciel. Ils auraient utilisé les rançongiciels Ryuk, puis Conti, avant de distribuer Hive, Nokoyawa, Play et Royal.
D’anciens membres du collectif cybercriminel Conti
Après la séparation du groupe Conti – suite à l’invasion de l’Ukraine par la Russie –, de nombreux membres ont commencé à s’implanter dans divers gangs de cybercriminels. Une base de données obtenues à la suite de querelles internes permet de désigner l’acteur « Troy », ancien de Conti, comme l’un des responsables des opérations associées au mode opératoire de FIN12. L’ANSSI note que « les opérateurs de ce collectif entretiendraient donc des relations étroites avec le reste de l’écosystème cybercriminel et pourraient collaborer au sein de cercles restreints d’opérateurs de rançongiciels ». En 2023, on remarque que ces hackers travaillent avec le groupe nommé Royal ransomware. Ce gang de cybercriminels est à l’origine de la cyberattaque contre la mairie de Lille.
Qui est FIN12, le groupe de hackers à l'origine de la cyberattaque du CHU de Brest ?
L'Agence nationale de la sécurité des systèmes d'information vient de publier un bulletin d'alerte sur FIN12, un groupe de cybercriminels à l'origine de multiples ransomwares, dont celui qui a touché le CHU de Brest. Entre 2020 et 2023, ils auraient ainsi utilisé les malwares Ryuk et Conti, avant de prendre part aux programmes de Ransomware-as-a-Service des rançongiciels Hive, BlackCat et Nokoyawa. Ils auraient également utilisé les rançongiciels Play et Royal.
Sept mois après la cyberattaque du Centre hospitalier universitaire (CHU) de Brest, le Centre gouvernemental de veille, d'alerte et de réponses aux attaques informatiques (CERT) de l'Agence nationale de la sécurité des systèmes d'information (Anssi) fait un point ce lundi 18 septembre sur le groupe FIN12. Grâce à la réactivité de la victime, l'incident de sécurité n'avait engendré ni de chiffrement ni d'exfiltration de données.
Un groupe à l'origine de nombreux ransomwares
A l'issue de ses investigations et à l'aide de "sources ouvertes",
l'Anssi a rattaché cette attaque au mode opératoire des attaques du
groupe connu sous le nom de FIN12. Ce dernier est à l'origine "d'un
nombre conséquent d'attaques par rançongiciel sur le territoire
français", annonce l'autorité française. Ainsi, entre 2020 et 2023, les
hackers auraient employé "les rançongiciels Ryuk puis Conti", "avant de
prendre part aux programmes de Ransomware-as-a-Service (RaaS) des
rançongiciels Hive, BlackCat et Nokoyawa". Ils auraient également
utilisé "les rançongiciels Play et Royal".
Pour rappel, un ransomware est un malware qui paralyse le système
d'information de sa victime en chiffrant l'intégralité des données s'y
trouvant. Les cybercriminels réclament ensuite le paiement d'une rançon
en échange d'une clé de déchiffrement (avec aucune garantie qu'elle ne
fonctionne). Payée en bitcoin, la transaction ne peut être annulée.
Bien que les hackers n'aient pas réussi à dérober des données à
l'hôpital breton, ils sont à l'origine d'un "ensemble d'actions
malveillantes", rapporte l'Anssi. Dans les détails, l'accès initial au
système d'information a été effectué depuis "un service de bureau à
distance exposé et accessible sur Internet". Les hackers ont utilisé les
identifiants d'un professionnel de santé, issus "probablement" de la
compromission du poste utilisateur. Deux acteurs pourraient être
impliqués dans l'incident : un fournisseur d'accès initial et
l'attaquant chargé du déploiement du malware. Les hackers ont ensuite
exécuté deux portes dérobées, SystemBC et Cobalt Strike.
Spécialiste du chiffrement rapide des réseaux compromis
Le rapport note que l'une des particularités de FIN12 est de "ne
recourir que rarement à des méthodes de double extorsion", soit cette
tendance qui consiste à faire pression sur une victime en exfiltrant ses
données et en la menaçant de les publier sur un site Internet afin
qu'elle paye la rançon. Il semble préférer "le chiffrement rapide des
réseaux compromis". Le délai entre l'intrusion initiale et le
chiffrement du système – le "Time-To-Ransom" – est d'environ quatre
jours, peut-on lire dans le rapport.
L'identification de FIN12 permet d'apporter de nouvelles connaissances sur le déploiement des ransomwares. Ils restent la principale cybermenace,
d'après le dernier rapport d'Europol, l'agence européenne de lutte
contre la criminalité transfrontalière. Cette menace touche
particulièrement les TPE, PME et ETI (40% des ransomwares), les
collectivités territoriales (23%) et les établissements publics de santé
(10%), rapportait l'Anssi dans son dernier panorama de la cybermenace.
Aucun commentaire:
Enregistrer un commentaire