En mars 2023, l'ANSSI a signalé au centre hospitalier universitaire de Brest la compromission de l'un de ses serveurs. La réactivité de l'établissement de santé a permis d'isoler rapidement le système d'information (SI) d'Internet et d'entraver la progression du mode opératoire des attaquants (MOA) empêchant l'exfiltration des données et le chiffrement du SI.
La découverte de liens avec un ensemble d'incidents observés sur le périmètre français et rapportés en sources ouvertes a permis de lier cette attaque au MOA cybercriminel FIN12.
Les opérateurs du MOA FIN12 seraient ainsi responsables d'un nombre conséquent d'attaques par rançongiciel sur le territoire français. Entre 2020 et 2023, ils auraient utilisé les rançongiciels Ryuk et Conti, avant de prendre part aux programmes de Ransomware-as-a-Service (RaaS) des rançongiciels Hive, BlackCat et Nokoyawa. Ils auraient également utilisé les rançongiciels Play et Royal.
Des indicateurs de compromission sont également disponibles sur la page CERTFR-2023-IOC-001.
Télécharger le rapport : Le groupe cybercriminel FIN12