L’ANSSI consacre un rapport à FIN12, groupe cybercriminel auquel elle attribue de nombreuses attaques par ransomware survenues en France.
BlueKeep, PrintNightmare ou Zerologon ? FIN12 a tenté d’exploiter les trois dans le cadre de son attaque contre le CHU de Rouen.
L’ANSSI attribue à ce groupe cybercriminel la responsabilité de l’incident en question, survenu en début d’année. Elle le désigne plus globalement comme à l’origine de nombreuses attaques survenues sur le territoire français, avec des ransomwares en bout de chaîne (nommément, Ryuk, Hive, Nokoyawa et Play).
Actif depuis au moins 2019, FIN12 a un temps recouru à Bazarloader pour l’accès initial. Il a finalement diversifié ses méthodes, privilégiant le recours à des authentifiants valides. C’est ainsi qu’il a pu s’infiltrer sur le SI du CHU de Brest. Le vecteur : un service de bureau à distance exposé et accessible sur Internet. Les authentifiants étaient probablement issus de la compromission du poste utilisateur.
Cet accès distant a permis d’exécuter les backdoors Cobalt Strike et SystemBC. Ont suivi des tentatives de modifier le mot de passe d’un compte local et de créer un utilisateur – sans succès – puis d’exploiter deux vulnérabilités, dont LocalPotato (CVE-2023-21746, dans le protocole NTLM).
Des marqueurs communs… jusqu’au dossier Musique de Windows
Pour tenter de récupérer d’autres données d’authentification, trois outils ont été mis à profit : AccountRestore (bruteforce Active Directory), SharpRoast (ciblant Kerberos) et Mimikatz (extraction d’authentifiants en environnement Windows). Trois autres ont alimenté la phase de découverte : Softperfect Network Scanner pour sonder le réseau et le duo PingCastle-BloodHound pour identifier les mauvaises configurations AD.
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
