Le groupe cybercriminel FIN12 viserait les acteurs du domaine de la santé

L’organisation cybercriminelle FIN12

FIN12 est un groupe cybercriminel particulièrement "agressif". Il s’est attaqué à plusieurs secteurs, notamment : l’éducation, la santé, la finance, la manufacture, et la technologie. Ses victimes sont essentiellement localisées en Amérique du Nord, en Asie Pacifique, ainsi qu’en Europe.

Auparavant, ce groupe était identifié sous le nom UNC1878. Il est réputé pour ses attaques envers les acteurs du domaine de la santé.

Selon Mandiant, les cybercriminels de FIN12 parlent la langue russe et seraient liés depuis  2018 à de nombreuses activités du rançongiciel RYUK. Ils auraient aussi des partenariats avec des organisations criminelles opérant le Cheval de Troie TrickBot.

Une stratégie basée sur le partenariat, les cibles spécifiques, et la rapidité.

Le partenariat.
Selon Mandiant, FIN12 ne pratique lui-même que très peu l’intrusion. Sa stratégie repose sur l’achat d’un accès déjà opérationnel. C’est-à-dire que FIN12 opère un commerce avec d’autres organisations criminelles ayant déjà effectuées une intrusion dans diverses entreprises.

Ces partenaires cybercriminels utilisent par exemple RYUK, TrickBot, ou encore BazarLoader dans le processus d’intrusion. Lorsque la mise en place d’une porte dérobée est un succès, celle-ci est maintenue en sommeil puis mise en vente sur le marché noir. FIN12 achète ces portes dérobées à ces réseaux affiliés.

Il existe néanmoins une différence éthique en ce qui concerne les réseaux de commerce de portes dérobées. En effet, FIN12 semble faire du commerce spécifiquement avec des affiliés qui pratiquent des intrusions sans l’éthique, cela comprend donc des cibles en rapport avec la santé. Plusieurs cybercriminels présents sur le marché noir refusent la vente de portes dérobées lorsqu’il s’agit d’un accès à une entité en rapport avec la santé. FIN12 ne semble pas traiter avec ceux manifestant une éthique vis-à-vis de la santé.

Les cibles spécifiques.
FIN12
ne s’intéresse qu’aux cibles d'une certaine taille. Les portes dérobées ne seront achetées par FIN12 que si l’entreprise infiltrée par d’autres cybercriminels a un budget suffisamment élevé pour n'être que peu impactée par un paiement de rançon. A titre d’exemple : FIN12 ne prend uniquement pour cible que les services de santé ayant des revenus supérieurs à 300 millions de dollars.

Rapidité.
En ce moment, FIN12 ne pratique que très rarement l’extorsion des données sensibles et aucune menace de publication. L’organisation criminelle se focalise uniquement sur une interaction très rapide avec la victime pour que la rançon soit payée dans une moyenne d’environ deux jours.

Selon Mandiant, cela s’explique par la stratégie de FIN12 à bien cibler ses victimes : des structures suffisamment grosses pour payer les rançons pour en finir avec le blocage (chiffrement des données) et ainsi reprendre au plus vite le contrôle de leurs systèmes critiques.

Un écosystème cybercriminel.

FIN12 est une organisation cybercriminelle activement engagée dans les transactions commerciales avec d’autres entités cybercriminelles appartenant à différents réseaux du marché noir. Sa stratégie basée sur la rapidité, les affiliations, et les cibles spécifiques démontrent l’existence de tout un véritable écosystème cybercriminel.