Cyberattaque au CHU de Rennes : un acteur stoppé en phase d’exfiltration
Soit le centre hospitalier a été victime d’un attaquant ne pratiquant que la simple extorsion, avec seulement vol de données et sans chiffrement, soit la détection a prévenu le déclenchement d’un ransomware.
Comment l'attaque a été détectée, par où a-t-elle commencé. Premiers éléments de l'enquête ici.
Branle-bas de combat, ce mercredi 21 juin au soir au CHU de Rennes. Vers 22h, la nouvelle commence à se répandre comme une traînée de poudre : une cyberattaque est avérée ; le système d’information a été totalement déconnecté d’Internet ; et une cellule de crise a été mise en place. Selon Actu Rennes, ce message a été envoyé à 21h20 aux salariés de l’hôpital.
Selon nos confrères du Télégramme, les premières manifestations de la cyberattaque ont été constatées par les agents vers 18h, moment auquel l’intranet a cessé d’être disponible, de même que la messagerie électronique.
Une telle chronologie, à compter que l’intranet soit produit par des serveurs opérés en interne, a de quoi laisser craindre un déclenchement de chiffrement plutôt que la détection d’une cyberattaque dans ses phases intermédiaires de déplacement latéral et d’élévation de privilèges. Ce n’est pourtant pas ce qui s’est passé.
L’agence régionale de santé bretonne explique que « la cyberattaque a entraîné une exfiltration de données et les analyses sont en cours pour qualifier la quantité et le type de données concernées ».
Dans le cadre de cyberattaques avec ransomware en double extorsion, non seulement les cybercriminels chiffrent les données de leur victime, mais ils en volent au préalable. De quoi menacer de les vendre ou de les divulguer si la rançon demandée n’est pas payée en temps et en heure. En outre, certains cybercriminels ont abandonné le chiffrement pour se contenter du chantage à la divulgation, ou vente, des données de leurs victimes.
Ce scénario est comparable à la manière dont s’étaient déroulés les événements au CHRU de Brest, comme le racontait fin mars son RSSI, Jean-Sylvain Chavanne, dans nos colonnes : les signes d’une intrusion avaient été observés, puis le système d’information a été isolé, ce qui a permis d’enquêter sur des machines actives, à la recherche de traces directement en mémoire vive, tout en maintenant en fonction les applicatifs métiers on-premise.
À Brest, l’attaquant s’est manifestement fait couper l’herbe sous le pied plus tôt qu’à Rennes. Mais là, sa découverte avant un éventuel chiffrement pourrait aider à limiter l’impact métier et la prise en charge des patients. Et c’est bien ce que suggère la communication du CHU et de l’agence régionale de santé, à ce stade.
Les statistiques du CERT Santé montrent que ce type de situation, où une cyberattaque est arrêtée avant d’arriver à son terme, est de moins en moins rare. Son rapport sur les incidents de sécurité des systèmes d’information constatés, dans les secteurs de la santé et du médico-social, en 2022, ne fait état que de 27 cas de cyberattaque avec rançongiciel contre 59 en 2021.
En revanche, les compromissions de systèmes d’information sont loin de reculer. En 2022, 113 incidents de cette nature ont été déclarés, contre 98 en 2021 : « l’année 2022 a été marquée par une forte activité malveillante relative au vol d’identifiants (login, mot de passe) de comptes de messagerie et de comptes d’accès à distance. Une augmentation significative de la compromission de comptes de maintenance des solutions d’infrastructures et applicatives des structures a été observée », indique le rapport annuel.
En janvier 2023, deux cas de chiffrement avec rançongiciel ont été rapportés au CERT Santé, puis 3 en février, 2 en mars, 4 en avril, et aucun en mai. Soit un total de 11 cyberattaques avec ransomware sur le secteur pour les 5 premiers mois de l’année.
Les compromissions sont bien plus nombreuses, avec 11 cas en janvier, puis 9 en février, 10 en mars, autant en avril, et 7 en mai. Soit un total de 47 incidents de cette nature à la fin du mois dernier. Une demi-surprise, dans un contexte de prolifération des infostealers.