CHSF : la cyberattaque est revendiquée sur la vitrine de LockBit 3.0

[Mise à jour, le 12 septembre 2022 @11h55] La revendication de la cyberattaque menée fin août contre le Centre Hospitalier Sud-Francilien vient d’être rendue publique sur le site vitrine de la franchise mafieuse LockBit 3.0. Fidèle à lui-même, l’affidé responsable de l’attaque a donc laissé 5 jours supplémentaires à sa victime avant de revendiquer l’assaut. Au cours des échanges que nous avons pu consulter, l’attaquant s’était déjà montré patient, probablement pour s’assurer toutes les chances d’un paiement de rançon – 1 million de dollars demandés, dès le début et sans négociation pour faire baisser le montant – qui n’est pas survenu.  

Selon les premiers éléments de l’enquête technique conduite par l’Anssi, l’assaillant accédait déjà au système d’information du CHSF de Corbeil-Essonnes, via l’accès VPN, 10 jours avant de déclencher le ransomware.

[Article original, le 7 septembre 2022 @15h45] Comme suspecté initialement, puis conforté par plusieurs sources concordantes, la cyberattaque menée contre le Centre Hospitalier Sud-Francilien a bien été conduite par un affidé de la franchise mafieuse LockBit 3.0. Elle sera prochainement revendiquée sur son site vitrine : la revendication est déjà prête ; nous avons pu la consulter.

Dans celle-ci, les cybercriminels menacent de commencer à divulguer les données volées à l’hôpital le 22 septembre prochain, en milieu d’après-midi. Ils présentent l’établissement public de santé comme une « clinique », une « entreprise » faisant 650 millions de dollars de chiffre d’affaires et « refusant de faire sa part de la transaction pour acheter l’outil de déchiffrement et les données personnelles de ses clients, patients et partenaires ». Le téléchargement complet des données volées sera proposé pour 1 million de dollars, de même que leur destruction.  

Mais il y a plus. Avant de rendre publique leur revendication, les attaquants prévoient, selon nos informations, de renforcer la pression sur les équipes du centre hospitalier en envoyant des e-mails ainsi qu’en appelant ses partenaires, patients et collaborateurs. De telles méthodes ont été déjà employées à l’occasion d’autres tentatives de cyberextorsion. 

Reste encore cette même question : cette attaque n’enfreint-elle pas les règles de la franchise LockBit 3.0 ? De fait, LockBit 3.0 fixe des réserves à ses affidés pour les attaques contre les cibles dans le secteur de la santé, mais pas d’interdiction généralisée. Ainsi, peut-on lire sur la vitrine de la franchise, « il est interdit de chiffrer les établissements où l’endommagement des fichiers pourrait entraîner la mort, comme les centres de cardiologie, les services de neurochirurgie, les maternités et autres, c’est-à-dire les établissements où des interventions chirurgicales sur des équipements de haute technologie utilisant des ordinateurs peuvent être effectuées ».

Cependant, « il est permis de voler des données dans n’importe quel établissement médical sans les chiffrer, car elles peuvent constituer un secret médical et doivent être strictement protégées conformément à la loi. Si vous n’arrivez pas à déterminer si une organisation médicale particulière peut être attaquée ou non, contactez le service d’assistance ».

Reste que, dès le 23 août, le ministre de la Santé, François Braun, l’assurait : « la prise en charge des patients n’est pas mise en danger », précisant en outre que ceux qui relevaient « de plateaux techniques sévères [étaient] réorientés par le Samu vers d’autres hôpitaux ».

Les cybercriminels ont-ils suivi et utilisé ces déclarations officielles pour estimer qu’il n’y avait pas de risque de décès de patient et que les règles de la franchise étaient respectées ? Ce n’est pas à exclure. Si une éventuelle conversation avec la victime est divulguée, comme la vitrine de la franchise LockBit 3.0 le permet désormais, son examen pourrait s’avérer éclairant.