Cyberattaque du CHU de Brest – Un rapport décrypte le mode opératoire des attaquants

Tactiques, techniques et procédures, affiliations : l’Agence nationale de la sécurité des systèmes d’information (Anssi) a passé au crible la cyberattaque dont a été victime, en mars, le CHU de Brest. Dans un rapport d’une quinzaine de pages paru en septembre, ses experts décrivent « un mode opératoire cybercriminel historique ». Leur enquête met en effet au jour des ramifications et des concordances dans le mode opératoire des attaquants (MOA). « La découverte de liens avec un ensemble d’incidents observés sur le périmètre français et rapportés en sources ouvertes a permis de lier cette attaque au MOA cybercriminel FIN12 », précisent les rapporteurs qui estiment que les opérateurs de la cyberattaque du CHU de Brest « seraient responsables d’un nombre conséquent d’attaques par rançongiciel sur le territoire français ».

Réactivité de l’établissement
Le rapport souligne aussi « la réactivité de l’établissement de santé » qui a permis d’isoler rapidement le système d’information d’Internet et d’entraver la progression du mode opératoire des attaquants, empêchant l’exfiltration des données et le chiffrement du SI.

Rapport « FIN 12 : un groupe cybercriminel aux multiples rançongiciels », septembre 2023 www.cert.ssi.gouv.fr