Pages

mardi 19 septembre 2023

Cyberattaque de mars 2023 contre le CHU de Brest : un groupe de hackers nommé Fin12

L’Anssi a publié lundi 18 septembre 2023 un rapport sur la cyberattaque dont le CHU de Brest avait été victime au mois de mars dernier et exposé avoir identifié le groupe de hackers Fin12, également auteur de la cyberattaque commise à la même époque contre la mairie de Lille.

Ayant relevé « un ensemble d’actions malveillantes » de ces cybercriminels, qui ont utilisé des « authentifiants valides d’un professionnel de santé pour se connecter », l’Agence conclut à la possible action conjointe de deux acteurs : le fournisseur d’accès et l’attaquant.

Exactement comme dans mon cas et celui de mes proches : le cybercriminel, harceleur et calomniateur notoire Pascal Edouard Cyprien Luraghi bénéficie bien de la complicité d'agents de France Télécom, comme je l'avais montré à la magistrature locale pièces justificatives à l'appui dès mes toutes premières plaintes du début des années 2010.

Et ces agents sont bien identifiés depuis longtemps, il s'agit de syndicalistes de Sud PTT représentés par l'escroc Roger Potin, du Barreau de Brest, qui pour leur éviter toute poursuite n'hésite pas à attaquer leurs victimes en accusant mensongèrement celles-ci de n'importe quoi, une méthode que la criminelle et mère maquerelle Josette Brenterch du NPA de Brest leur enseigne à tous depuis son adhésion à la section brestoise de la Ligue Communiste Révolutionnaire dans les années 1970 et dont elle est, bien évidemment, toujours la première bénéficiaire.


A lire ou à relire à ce sujet :

http://satanistique.blogspot.com/2022/03/je-ferais-peur-michel-walter.html

http://satanistique.blogspot.com/2023/02/lexpertise-psychiatrique-passage-oblige.html

http://satanistique.blogspot.com/2023/03/le-chru-de-brest-victime-dune.html

http://satanistique.blogspot.com/2023/03/cyberattaque-du-chu-de-brest-une.html

http://satanistique.blogspot.com/2023/03/cyberattaque-du-chru-de-brest-la.html

http://satanistique.blogspot.com/2023/03/cyberattaque-au-chu-de-brest-plusieurs.html

http://satanistique.blogspot.com/2023/03/cyberattaque-du-chru-de-brest-les.html

 

 

https://www.ouest-france.fr/bretagne/brest-29200/neuf-mois-apres-lintrusion-on-connait-enfin-lauteur-de-la-cyberattaque-contre-le-chu-de-brest-0c27d324-5639-11ee-8f6c-0944d4762ec9

Neuf mois après l’intrusion, on connaît enfin l’auteur de la cyberattaque contre le CHU de Brest

L’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié, lundi 18 septembre 2023, un rapport dévoilant l’identité de l’auteur de la cyberattaque contre le Centre hospitalier universitaire (CHU) de Brest, datant de mars. Le groupe de hackers s’appelle Fin12.

La cyberattaque contre le CHU de Brest, perpétrée jeudi 9 mars 2023, avait causé la mise à l’arrêt des téléconsultations et prises de rendez-vous, pendant plus de deux semaines (photo d’illustration).
La cyberattaque contre le CHU de Brest, perpétrée jeudi 9 mars 2023, avait causé la mise à l’arrêt des téléconsultations et prises de rendez-vous, pendant plus de deux semaines (photo d’illustration). | GETTY IMAGES / ISTOCKPHOTO

Le Centre hospitalier universitaire (CHU) de Brest (Finistère) avait subi une cyberattaque, le 9 mars 2023. Pendant plus de deux semaines, ses téléconsultations et prises de rendez-vous étaient mises à l’arrêt.

Neuf mois après, lundi 18 septembre 2023, l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui avait accompagné le CHU breton pour limiter la propagation de l’attaque, a publié un rapport dévoilant l’identité du groupe de hackers à la manœuvre. Celui-ci s’appelle Fin12 et a employé de « multiples rançongiciels », inconnus du grand public, comme Ryuk, Hive et Royal.

« Un ensemble d’actions malveillantes »

L’Anssi a relevé « un ensemble d’actions malveillantes » commises par ce groupe de hackers, qui s’est servi « d’authentifiants valides d’un professionnel de santé pour se connecter ». Cela impliquant donc, possiblement, selon l’Agence, l’action conjointe de deux acteurs : le fournisseur d’accès et l’attaquant.

Toutefois, le pire ne semble pas s’être produit, comme le souligne le rapport. D’après l’Anssi, « la réactivité de l’établissement de santé » a permis d’empêcher « l’exfiltration de données ».

À l’époque des faits, le CHU avait porté plainte auprès du commissariat.


https://www.numerama.com/cyberguerre/1503586-fin12-ces-freelances-du-piratage-sont-derriere-la-cyberattaque-contre-le-chu-de-brest.html

Publié le

Cyberattaque contre le CHU de Brest : le groupe de hackers FIN12 est l’auteur de l’attaque, rapporte l’ANSSI

Une attaque stoppée à temps

Temps de lecture : 3 min
 
Ces hackers sont liés au célèbre groupe Conti, aujourd'hui séparé. // Source : Numerama avec Midjourney
[Info Numerama] L’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie ce 18 septembre un rapport sur FIN12, un groupe de hackers désigné responsable de la cyberattaque – rapidement maitrisée – contre l’hôpital de Brest. Les experts décrivent un groupe itinérant, profitant des nombreux logiciels malveillants disponibles aujourd’hui sur la scène du cybercrime.

L’ANSSI, la sentinelle cybersécurité des services publics en France, a identifié l’acteur derrière la cyberattaque contre le CHU de Brest en mars dernier. Dans un rapport publié sur le site du CERT-FR ce 18 septembre, l’agence décrit le mode opératoire de FIN12, un collectif de hackers responsable de nombreuses attaques contre les acteurs de la santé.

Lors de l’attaque contre l’hôpital breton, les pirates ont obtenu un accès initial à partir des authentifiants d’un professionnel de santé. Les experts pensent que les identifiants ont été dérobés de manière opportuniste lors d’une campagne de phishing, à travers un infostealer, un logiciel malveillant spécialisé dans le siphonnage de données. Les attaquants ont ensuite utilisé des accès de bureau à distance en profitant de deux portes dérobées. Dès lors, ils ont commencé à « creuser » dans le réseau jusqu’à tenter une exfiltration de la base de données.

L’ANSSI signale que « la réactivité de l’établissement de santé a permis d’isoler rapidement le système d’information d’Internet et d’entraver la progression du mode opératoire des attaquants (MOA), empêchant ainsi l’exfiltration de données et le chiffrement du système d’information ». Après une période de travail en mode dégradé, le CHU de Brest a retrouvé un rythme de fonctionnement complètement normal au bout de quelques semaines. Aucune donnée de patients n’a été dérobée.

Un gang de hackers aux nombreux rançongiciels

Lors de leurs investigations, les experts de l’ANSSI ont pu établir des liens entre cette cyberattaque et une trentaine opérations réalisées lors des trois dernières années. De nombreux indices permettaient de remonter jusqu’au groupe de cybercriminels FIN12 : des noms de domaine similaires, l’exploitation conjointe de deux failles, l’accès obtenu à partir d’authentifiant valide ou encore programmes malveillants stockés dans un dossier « C:\Users\Public\Music\ » de la victime.

Le milieu du ransomware se divise aujourd’hui entre des gestionnaires de logiciel malveillant et les attaquants. FIN12 entre dans la seconde catégorie.

 

Le groupe FIN12 est lié à de nombreux acteurs du cybercrime. // Source : FIN12
Le groupe FIN12 a déjà été repéré par les analystes de nombreuses sociétés de cybersécurité. // Source : Mandiant

 

Ce collectif de hackers, actif depuis au moins 2019, a recours à de nombreux rançongiciels pour mener ces attaques. Les collectifs en charge de ces malwares sont généralement bien plus connus que les hackers qui les exploitent, nommés « affiliés ». Pourtant, ce sont eux qui mènent les attaques. Ils versent une commission aux gestionnaires une fois la rançon obtenue. FIN12 est un parfait exemple de pirates itinérants, passés par de célèbres gangs de ransomwares : Ryuk, Conti, Hive, Nokoyawa et Play.

D’après les analyses de l’ANSSI, les attaquants responsables de l’incident du CHU de Brest pourraient donc être affiliés à différentes attaques par rançongiciel. Ils auraient utilisé les rançongiciels Ryuk, puis Conti, avant de distribuer Hive, Nokoyawa, Play et Royal.

D’anciens membres du collectif cybercriminel Conti

Après la séparation du groupe Conti – suite à l’invasion de l’Ukraine par la Russie –, de nombreux membres ont commencé à s’implanter dans divers gangs de cybercriminels. Une base de données obtenues à la suite de querelles internes permet de désigner l’acteur « Troy », ancien de Conti, comme l’un des responsables des opérations associées au mode opératoire de FIN12. L’ANSSI note que « les opérateurs de ce collectif entretiendraient donc des relations étroites avec le reste de l’écosystème cybercriminel et pourraient collaborer au sein de cercles restreints d’opérateurs de rançongiciels ». En 2023, on remarque que ces hackers travaillent avec le groupe nommé Royal ransomware. Ce gang de cybercriminels est à l’origine de la cyberattaque contre la mairie de Lille.


https://www.usine-digitale.fr/article/qui-est-fin12-le-groupe-de-hackers-a-l-origine-de-la-cyberattaque-du-chu-de-brest.N2171992

Qui est FIN12, le groupe de hackers à l'origine de la cyberattaque du CHU de Brest ?

L'Agence nationale de la sécurité des systèmes d'information vient de publier un bulletin d'alerte sur FIN12, un groupe de cybercriminels à l'origine de multiples ransomwares, dont celui qui a touché le CHU de Brest. Entre 2020 et 2023, ils auraient ainsi utilisé les malwares Ryuk et Conti, avant de prendre part aux programmes de Ransomware-as-a-Service des rançongiciels Hive, BlackCat et Nokoyawa. Ils auraient également utilisé les rançongiciels Play et Royal.

 

Qui est FIN12, le groupe de hackers à l'origine de la cyberattaque du CHU de Brest ?

 

Sept mois après la cyberattaque du Centre hospitalier universitaire (CHU) de Brest, le Centre gouvernemental de veille, d'alerte et de réponses aux attaques informatiques (CERT) de l'Agence nationale de la sécurité des systèmes d'information (Anssi) fait un point ce lundi 18 septembre sur le groupe FIN12. Grâce à la réactivité de la victime, l'incident de sécurité n'avait engendré ni de chiffrement ni d'exfiltration de données.

Un groupe à l'origine de nombreux ransomwares

A l'issue de ses investigations et à l'aide de "sources ouvertes", l'Anssi a rattaché cette attaque au mode opératoire des attaques du groupe connu sous le nom de FIN12. Ce dernier est à l'origine "d'un nombre conséquent d'attaques par rançongiciel sur le territoire français", annonce l'autorité française. Ainsi, entre 2020 et 2023, les hackers auraient employé "les rançongiciels Ryuk puis Conti", "avant de prendre part aux programmes de Ransomware-as-a-Service (RaaS) des rançongiciels Hive, BlackCat et Nokoyawa". Ils auraient également utilisé "les rançongiciels Play et Royal".

Pour rappel, un ransomware est un malware qui paralyse le système d'information de sa victime en chiffrant l'intégralité des données s'y trouvant. Les cybercriminels réclament ensuite le paiement d'une rançon en échange d'une clé de déchiffrement (avec aucune garantie qu'elle ne fonctionne). Payée en bitcoin, la transaction ne peut être annulée.

Bien que les hackers n'aient pas réussi à dérober des données à l'hôpital breton, ils sont à l'origine d'un "ensemble d'actions malveillantes", rapporte l'Anssi. Dans les détails, l'accès initial au système d'information a été effectué depuis "un service de bureau à distance exposé et accessible sur Internet". Les hackers ont utilisé les identifiants d'un professionnel de santé, issus "probablement" de la compromission du poste utilisateur. Deux acteurs pourraient être impliqués dans l'incident : un fournisseur d'accès initial et l'attaquant chargé du déploiement du malware. Les hackers ont ensuite exécuté deux portes dérobées, SystemBC et Cobalt Strike.

Spécialiste du chiffrement rapide des réseaux compromis

Le rapport note que l'une des particularités de FIN12 est de "ne recourir que rarement à des méthodes de double extorsion", soit cette tendance qui consiste à faire pression sur une victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet afin qu'elle paye la rançon. Il semble préférer "le chiffrement rapide des réseaux compromis". Le délai entre l'intrusion initiale et le chiffrement du système – le "Time-To-Ransom" – est d'environ quatre jours, peut-on lire dans le rapport.

L'identification de FIN12 permet d'apporter de nouvelles connaissances sur le déploiement des ransomwares. Ils restent la principale cybermenace, d'après le dernier rapport d'Europol, l'agence européenne de lutte contre la criminalité transfrontalière. Cette menace touche particulièrement les TPE, PME et ETI (40% des ransomwares), les collectivités territoriales (23%) et les établissements publics de santé (10%), rapportait l'Anssi dans son dernier panorama de la cybermenace.


Aucun commentaire:

Enregistrer un commentaire