Attaque Rançongiciel envers Advanced, un fournisseur de la NHS

Le 4 août 2022, la société Advanced, une MSP (Major Service Provider) qui fournit des logiciels notamment à la NHS (National Health Service) mais aussi à l’aéroport de Londres-City et le Département du Travail et des Retraites Britannique, a subi une attaque informatique.

Que s’est-il passé ?

Vers 7h du matin, le 4 août, les équipes d’Advanced ont découvert l’incident de sécurité. Ils ont répondu immédiatement en isolant les environnements de Santé où l’incident a été détecté (environ 2% des serveurs) afin de limiter la propagation vers d’autres serveurs ou même des clients. Cet isolement des environnements a mené à des coupures dans le service 111 au Royaume-Uni.

Le service NHS 111 est un centre d’appel qui permet aux habitants de recevoir des conseils médicaux, d’être redirigés vers des centres médicaux, de renouveler des ordonnances ou de savoir quelle pharmacie possède les médicaments prescrits en stock.

85% de ces centres d’appels ont été impactés par la cyberattaque causant des délais dans les appels ainsi qu’une impossibilité de rediriger les patients vers les bons docteurs ou pharmacies.

Quel type d’attaque ?

Sur leur site, le groupe Advanced a confirmé qu’un rançongiciel est à l’origine de l’attaque. Il confirme aussi que l’attaque ne provient probablement pas d’un groupe de cybercriminels liés à un état, mais que l’attaque semble avoir une motivation purement financière.

Le groupe Advanced, ayant des informations à caractère médical sur leur système, a engagé l’équipe Mandiant ainsi que l’équipe DART (Detection and Response Team) de Microsoft afin de mener une investigation pour évaluer s’il y a eu une fuite des données et pour assurer une remise en marche sécurisée des différents services. Le groupe reste en contact avec la NCSC (National Cyber Security Centre) pour qu’ils valident les mesures prises et l’ICO (Information Commissioner’s Office) par rapport à la fuite potentielle de données.

L’impact de l’attaque

À l’heure actuelle, le service 111 est de nouveau fonctionnel, mais le personnel n’a pas accès aux informations des patients. Le département de la santé de l’Irlande du Nord essaye de limiter les perturbations, mais a coupé les accès aux autres services d’Advanced pendant que l’incident est en cours afin de limiter le risque que d’autres services critiques soient touchés. Le service d’ambulance gallois a annoncé qu’il a mis en place des plans pour assurer le bon fonctionnement du service, mais que les délais de réponse allaient quand même être allongés.

En début d’année, les ministres de Santé britanniques ont demandé aux hôpitaux de mieux sécuriser leurs systèmes d’information et de se préparer pour une vague de cyberattaques en réponse au soutien britannique de l’Ukraine.

Cette attaque ne représente pas la première attaque par rançongiciel subit par la NHS, qui a subi une attaque du groupe WannaCry en 2017, coutant plus de 100million d’euros au gouvernement britannique.

Recommandations

Afin de mieux protéger son système d’information, il est recommandé de mettre en place :

  • Une bonne politique de mots de passe
  • Une sensibilisation des employés sur comment reconnaitre un mail ou un lien suspicieux et de mettre en place une manière de le signaler
  • Un VPN pour sécuriser les connexions lors du télétravail
  • Une sauvegarde régulière des données
  • Une surveillance et un système de logs des connexions réseau