Getty Images
Centre hospitalier Sud-Francilien : ce que dit l’autopsie de la cyberattaque
Selon les premiers éléments de l’enquête technique conduite par l’Anssi, l’assaillant accédait déjà au système d’information du CHSF de Corbeil-Essonnes, via l’accès VPN, 10 jours avant de déclencher le ransomware.
Le lundi 22 août au matin, nos confrères de RMC révélaient que le centre hospitalier Sud-Francilien (CHSF), à Corbeil-Essonnes, avait été victime d’une cyberattaque avec ransomware, durant le week-end. Mais ce n’était que la phase finale d’une attaque engagée antérieurement, 10 jours plus tôt, d’après les éléments de l’enquête technique, conduite par l’Agence nationale de la sécurité des systèmes d’information (Anssi), auxquels LeMagIT a pu avoir accès.
Selon ceux-ci, l’attaquant a commencé, autour du 10 août donc, à accéder au système d’information du CHSF via l’accès réseau privé virtuel (VPN), détournant ainsi le compte d’un tiers externe à l’établissement. Le détournement d’un compte de prestataire apparaissait soupçonné, le 25 août, mais il n’est pas confirmé par les éléments les plus récents que nous avons pu consulter.
L’accès au système d’information du CHSF semble avoir eu lieu à partir d’une machine virtuelle Windows 10 ou Server 2016, hébergée dans l’environnement cloud EC2 d’AWS.
Par la suite, l’assaillant a utilisé l’outil d’accès à distance Anydesk pour ses déplacements latéraux, et PCHunter pour désactiver les systèmes de protection des postes de travail et des serveurs. Il a également pris soin de désactiver et supprimer les Shadow Copies, ces aperçus de sauvegarde générés nativement par Windows, ainsi que Defender. Des données ont été exfiltrées vers les serveurs du service de stockage Cloud Mega.
L’environnement virtualisé du CHSF n’a pas été épargné. Une heure et demie après le déclenchement de la toute dernière mouture du rançongiciel LockBit Black sur le parc Windows, effectivement utilisé par la franchise mafieuse LockBit 3.0 et ses affidés depuis début mai, c’est au tour des hôtes ESXi. L’attaquant s’y connecte en tant que root via l’interface SSH pour ensuite exécuter le variant Linux/ESXi du ransomware.
Ces techniques et cet outillage semblent classiques des cyberattaques impliquant LockBit. La division 42 de Palo Alto Networks les évoquait, en juin, au sujet de la version 2.0 de la franchise mafieuse. Le responsable de l’attaque contre le CHSF est peut-être d’ailleurs un habitué de celle-ci.
Le condensat de l’un des outils observés dans l’environnement du centre hospitalier, après l’attaque, a également été remarqué dans celle ayant touché le réseau argentin de services de santé OSDE, fin juin.
Face au modus operandi reconstitué, l’Anssi recommande de surveiller les éventuelles connexions VPN à partir de services IaaS, mais également la désactivation des outils de protection des serveurs et des postes de travail, ainsi que les éventuels transferts de données vers Mega. Quant aux environnements ESXi ? Des conseils précisément documentés existent déjà par ailleurs.
Le conseil relatif aux connexions à partir d’environnements cloud pourrait d’ailleurs s’étendre aux hébergeurs de services VPS : les affidés de LockBit ne manquent pas de recourir à leurs services, qu’il s’agisse de prestataires en Russie ou plus à l’Ouest.
Aujourd’hui, la revendication de la cyberattaque contre le CHSF apparaît imminente. La page ad hoc est prête pour publication sur le site vitrine de la franchise et l’attaquant semble à court de patience.