Cyberattaque confirmée au centre hospitalier de Villefranche-sur-Saône

[mise à jour le 15 février 2021 @ 18h30] Dans un communiqué de presse, l'Hôpital Nord-Ouest confirme faire l'objet d'une cyberattaque. Il précise qu'il s'agit du rançongiciel Ryuk et souligne que ses « sites de Villefranche, Tarare et Trévaux sont fortement impactés ». Les interventions chirurgicales programmées pour le 16 février sont reportée; le centre de vaccination anti-Covid-19 poursuit son activité. 

[article original] Nous avons pu laisser un message sur le répondeur du téléphone mobile de la directrice de la communication du centre hospitalier de Villefranche-sur-Saône, l’Hôpital Nord-Ouest. Mais c’est bien parce qu’un renvoi depuis sa ligne fixe professionnelle était actif, semble-t-il. Car passé le standard, aucune ligne n’apparaît aujourd’hui joignable dans l’établissement.

Jointe par téléphone, la mairie de Gleizé, la commune sur laquelle est effectivement implanté l’hôpital indique avoir été informée que l’établissement n’est pas joignable, ni par téléphone ni par messagerie électronique, en raison d’un « gros problème informatique ». Ce qui ne manque pas de rappeler ce qui s’est passé au centre hospitalier de Dax, pas plus tard que la semaine dernière, et ce à quoi a échappé le groupement hospitalier de Dordogne.

La suspicion de cyberattaque contre l’Hôpital Nord-Ouest est confortée par les données historiques du moteur de recherche spécialisé Shodan : selon celles-ci, un système Citrix/Netscaler Gateway de l’établissement était encore affecté par la vulnérabilité CVE-2019-19781, dite Shitrix, mi-février 2020.

Pour mémoire, l’exploitation de cette vulnérabilité a commencé très vite en début d’année. Elle a été observée sur l’infrastructure de nombreuses entreprises attaquées à grand renfort de ransomwares : Bretagne Télécom, ISS World, Faro Technologies, ou encore Honda et Enel, ainsi que les laboratoires Expanscience et Scutum.

Les opérateurs de Ragnar Locker nous ont indiqué, en décembre dernier, avoir profité de cette vulnérabilité pour prendre pied dans le système d’information de Dassault Falcon Jet. Surprise, à l’aide du moteur de recherche spécialisé Onyphe, nous avons identifié le système concerné ; il était encore affecté, fin mars 2020, par la vulnérabilité en question. Pour autant, les assaillants nous ont expliqué n’avoir commencé à explorer le SI de leur cible qu’autour de mai/juin.

En fait, cet exemple illustre un risque majeur pour ce type de vulnérabilités : celui d’une compromission initiale non détectée, utilisée pour l’établissement d’une tête de pont qui, elle, ne sera exploitée que plus tardivement, et potentiellement, beaucoup plus tardivement. Tout simplement parce que les rançonneurs n’ont pas intérêt à tirer toutes leurs cartouches d’un coup, au risque de manquer de « bande passante » pour négocier avec leurs victimes et maximiser leurs chances d’extorsion.

Si une cyberattaque était confirmée, l’Hôpital Nord-Ouest serait la huitième victime française connue depuis le début du mois février, après Trigano, frappé le 9. Là, selon les informations de TG Soft, c’est le groupe Revil qui est à blâmer, avec le ransomware Sodinokibi. Les assaillants demandent 2 M$ de rançon.