L’Anssi alerte sur le gang de rançongiciel FIN12
![Image [Change HealthCare :] l’attaque par rançongiciel a coûté 872 millions de dollars](https://incyber.org//wp-content/uploads/2024/05/incyber-news-anonymous-885x690.jpg)
![Image [Piratage d’Intersport :] Hunters International en héritier de Hive](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-attack-danger-2024-885x690.jpg)
![Image La ville de Saint-Nazaire victime d’une [cyberattaque]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
Responsable de l’attaque contre le CHU de Brest en mars 2023, le groupe a visé de nombreuses cibles françaises depuis 2020.
Le CERT-FR, opéré par l’Anssi, a publié, le 18 septembre 2023, un rapport sur le groupe de rançongiciel FIN12, jugé responsable de l’attaque contre le CHU de Brest. En mars 2023, l’Anssi avait signalé à l’hôpital la compromission d’un de ses serveurs.
Heureusement, « la réactivité de l’établissement de santé a permis d’isoler rapidement le SI d’Internet et d’entraver la progression du mode opératoire des attaquants, empêchant l’exfiltration des données et le chiffrement du SI », précise le CERT-FR.
Le rapport indique que FIN12 serait responsable, depuis 2020, « d’un nombre conséquent d’attaques par rançongiciel sur le territoire français ». En trois ans, le groupe a utilisé une large gamme de ransomwares, d’abord Ryuk puis Conti, avant d’intégrer les Ransomware-as-a-Service (RaaS) de Hive, BlackCat et Nokoyawa. Ponctuellement, les cybercriminels ont aussi recours à Play et Royal.
Selon le CERT-FR, FIN12 pratique rarement la double extorsion et ne dérobe donc qu’exceptionnellement les données de ses victimes. Il préfère se concentrer sur un chiffrement aussi rapide que possible des SI visés. Le rapport montre que FIN12 présente un Time-to-ransom – le délai entre l’intrusion initiale et le chiffrement du système – particulièrement bref, d’environ quatre jours.