Ransomware, haro sur le monde hospitalier

DSIMalwaresPolitique de sécuritéProjetsSécurité
6 134 2 commentaires

Locky, SamSam, Maktub… Les rançongiciels (ou ransomwares) constituent une menace croissante pour les hôpitaux et établissements de santé. Les États-Unis sont exposés, la France aussi.

Les ransomwares chiffrent les données et verrouillent l’accès de systèmes et terminaux d’utilisateurs appelés à payer pour en reprendre le contrôle. En Amérique du Nord, comme en Europe, plusieurs établissements en ont fait l’expérience ces dernières semaines. En France, dans les Vosges, un médecin du Centre Hospitalier d’Épinal aurait cliqué sur un fichier zip compromis, le 1er mars dernier. Un ransomware a infecté la machine utilisée et le réseau connecté au PC, selon Zataz.

Dans le Pas-de-Calais, à Boulogne-sur-mer, l’hôpital Duchenne a été ciblé par un ransomware à trois reprises en peu de temps. « Les 25 février, 4 et 7 mars, nos postes informatiques ont fait l’objet de trois cyberattaques via le virus Locky », a expliqué le directeur de l’établissement dans les colonnes de Nord Littoral. Jusqu’à 10 000 fichiers auraient été chiffrés (soit 3 % du contenu du SI de l’établissement). « Nous avons eu le temps de tout sauvegarder puis de tout réimplanter », a assuré la direction de l’hôpital.

Locky sévit toujours, SamSam est en embuscade

Aux États-Unis, un mois après que le Hollywood Presbyterian Medical Center a accepté de payer pour retrouver l’usage de son réseau, d’autres hôpitaux américains ont été ciblés. MedStar Health est le dernier en date. MedStar Health gère une dizaine d’hôpitaux dans le Maryland et la région de Washington, D.C. Lundi 28 mars, il a été contraint de désactiver son réseau, à la suite d’une attaque informatique ayant ciblé certains de ses systèmes à Baltimore. Le groupe n’a pas indiqué si l’attaque a été accompagnée d’une demande de rançon. Toutefois, d’après des sources proches du dossier interrogées par Ars Technica, un ransomware aurait été utilisé dans cette affaire. Le FBI enquête.

De leur côté, des chercheurs en sécurité de Cisco Talos ont souligné dans un billet de blog que le secteur de la santé semble particulièrement ciblé, ces dernières semaines, par une variante de ransomware (Samas/Samsam/MSIL.B/C). « Contrairement à la plupart des ransomwares, SamSam ne se lance pas par le biais d’une attaque centrée sur l’utilisateur (fichier joint corrompu, phishing, kit d’exploitation…). Mais via des serveurs compromis, afin de se déplacer dans le réseau, puis de compromettre des machines supplémentaires qui sont ensuite bloquées dans le but d’obtenir une rançon ».

Les pirates utilisent l’outil Open Source JexBoss pour tester et exploiter les failles de serveurs d’application JBoss. Une fois l’accès au réseau obtenu, le malware se répand sur les systèmes Windows du même réseau et sont chiffrés par SamSam. L’alerte a également été donnée par Check Point à propos du ransomware Maktub. Ce dernier, en plus de chiffrer les fichiers, les compressent.

Des sauvegardes et des vies

Aux États-Unis toujours, le Methodist Hospital à Henderson, Kentucky, a versé ce mois-ci une rançon d’au moins 17 000 dollars pour reprendre le contrôle de son SI. En Californie, deux hôpitaux (Chino Valley Medical Center et Desert Valley Hospital) gérés par Prime Healthcare Services ont eux aussi été contraints de fermer leurs systèmes en mars, et ce à la suite d’une attaque par ransomware. Comme dans l’affaire du Hollywood Presbyterian Medical Center, Locky, qui exploite les macros d’Office, serait en cause dans ces dossiers (Methodist Hospital et Prime).

Au Canada, les rançongiciels sévissent aussi. L’Hôpital d’Ottawa a confirmé que quatre ordinateurs de son réseau de 9800 postes ont été touchés début mars par un ransomware. L’établissement dit avoir utilisé ses sauvegardes et nettoyé les disques durs exposés lors de l’incident.

Ces attaques témoignent des vulnérabilités de SI d’hôpitaux, de problématiques de maintenance, de mise à jour et de support technique pas toujours résolues. Et la situation n’est pas meilleure dans d’autres secteurs. Mais dans un domaine comme celui de la santé, des vies peuvent être impactées.

Lire aussi :

Le ransomware Locky inonde la France, via de fausses factures Free Mobile

Ransomware : un hôpital US paye pour retrouver son réseau

Les implants médicaux, prochaines cibles des ransomwares

crédit photo © sfam_photo / Shutterstock.com

Auteur : Ariane Beky
Lire la biographie de l´auteur  Masquer la biographie de l´auteur