ipopba - stock.adobe.com
Le CHU de Rouen apparaît victime du ransomware CryptoMix Clop
Le centre hospitalier fonctionne au ralenti depuis plusieurs jours. Plusieurs sources confirment désormais la compromission par rançongiciel. Mais l’ampleur des dégâts réels reste inconnue.
C’est le vendredi 15 novembre que tout a commencé. Un début de soirée, un rançongiciel a commencé à chiffrer les fichiers des postes de travail allumés, expliquent nos confrères de 76actu, confirmant une rumeur qui circulait déjà.
Comme le rapportait Le Monde ce lundi, le parquet de Paris a ouvert une enquête pour piratage en bande organisée et tentative d’extorsion. L’Agence nationale pour la sécurité des systèmes d’information (Anssi) a été appelée en renfort.
Selon la bien connue MalwareHunterTeam, le ransomware à l’œuvre n’est autre que CryptoMix Clop. Une citation spécifique de 76actu a mis la puce à l’oreille : « c’est l’exact même phrase présente dans une note que j’ai mentionnée sur Twitter environ une journée plus tôt ». Une nouveauté toute fraiche. L’expert SwitHak renchérit, indiquant être « pleinement conscient » de cela depuis le début de l’incident. Pourquoi ne pas avoir parlé plus tôt ? Parce que communiquer « sur le sujet est compliqué car une enquête officielle a été ouverte par les autorités françaises ». Un secret de polichinelle, donc, qui n’aura pas résisté bien longtemps.
Mais ces éléments ne donnent en définitive que peu d’information sur la gravité de la crise. Car ils en disent finalement peu sur ce qui a conduit à l’activation du ransomware, de l’intrusion initiale jusqu’au déploiement. D’aucuns évoquent une pièce jointe reçue par courriel, sans que cela soit confirmé. De quoi évaluer le niveau de la sécurité des postes de travail du CHU ? Non. Car MalwareHunterTeam le souligne : « généralement, [le niveau de détection] est bas », au moins dans les premiers temps de la diffusion.
Mais le chiffrement semble avoir commencé simultanément sur tous les postes allumés. Cela permet d'envisager une compromission large de l’infrastructure, jusqu’à l’annuaire, pour assurer la distribution de la charge malveillante. Sans trop s’avancer sur le cas précis du CHU de Rouen, MalwareHunterTeam le rappelle : « lorsque des acteurs comme eux compromettent pleinement un réseau, la question du ratio de détection n’est rapidement plus vraiment importante ». Et le cas n’est hélas pas rare et peut conduire à d’importants travaux de reconstruction.
Le 14 novembre, l’expert en menaces informatiques Vitali Kremez évoquait l’échantillon auquel fait référence MalwareHunterTeam. Et de faire le lien avec le groupe TA505. Cette référence pourrait bien s’avérer tout sauf anodine. Elle renvoie en effet à un groupe connu pour utiliser notamment Dridex. Pour mémoire, l’Anssi recommandait justement récemment de « porter ses efforts de détection » sur Powershell Empire et Dridex. C’était dans le cadre de l’alerte qu’elle lançait face à la menace Friedex/Bitpaymer.
Selon les données du Mitre, le groupe TA505 ne semble pas du genre à se contenter d’une petite compromission isolée rapide : il apparaît plutôt prendre son temps pour se déployer dans l’environnement après une compromission initiale par hameçonnage ciblé.
La Malpedia consolide plus d’informations et renvoie à un autre rançongiciel, Locky, qui avait notamment fait parler de lui entre 2016 et 2017. Le groupe TA505 est également associé à la porte dérobée ServHelper et au cheval de Troie FlawedGrace. Il est connu pour être russophone et, mi-octobre, Proofpoint indiquait lui associer le cheval de Troie SDbot, déployé après implantation du téléchargeur initial Get2. Le mois dernier, l’éditeur soulignait l’agressivité d’un groupe qu’il appréhendait comme l’un des candidats au podium des plus grands émetteurs de pourriels de hameçonnage.
De son côté, Kaspersky rappelle que le cas du CHU de Rouen n’est malheureusement pas isolé. Dans un communiqué de presse, l’éditeur rappelle ainsi les épisodes connus par les centres hospitaliers de Saint-Denis, Issoudun, et Condrieux, sans compter les établissements du groupe Ramsay GDS, frappés cet été, selon nos informations, par un ransomware.