[Belgique] Le groupe d’établissements Vivalia paralysé par Lockbit

Le 14 mai 2022, le groupement luxembourgeois intercommunal de santé Vivalia a été la cible du groupe rançongiciel Lockbit.

Le groupe de santé Vivalia, qui gère sept hôpitaux et six centres de soins résidentiels, fonctionne actuellement en mode dégradé à la suite d’une attaque rançongiciel ayant affecté 200 serveurs et 1500 PC au sein de ses réseaux. Actuellement, les équipes médicales effectuent le suivi des dossiers patient manuellement. Sauf exception, les consultations,  les interventions non urgentes et les examens d’imagerie ont été annulés. Quelques postes sécurisés ont été installés dans chaque établissement, afin d’équiper les services jugés comme prioritaires. Vivalia n’a pas souhaité commenter l’annonce du groupe Lockbit selon laquelle il aurait exfiltré 400 Go de données, parmi lesquelles se trouvent notamment des données personnelles de patients et d’employés. Le 26 mai 2022, le groupe cybercriminel Lockbit a décidé de lever l'ultimatum de publication des données quelques heures avant son expiration. Aucune donnée n'a finalement été publiée.

Figure 1 source : @HaboubiAnis
Figure 1 source : @HaboubiAnis

L’analyse post mortem des précédentes attaques revendiquées par le groupe cybercriminel indique que Lockbit utilise de manière opportune différentes techniques (agents infiltrés, recours à des services d'Initial Access Broker) pour disposer d’un accès initial sur les réseaux ciblés. Le groupe installe ensuite son rançongiciel dont la propagation est automatisée. La vitesse de chiffrement de celui-ci est particulièrement élevée du fait d’un processus de chiffrement partiel de chaque fichier. Enfin, une note de rançon est éditée, apparaissant en fond d’écran et dans divers fichiers texte du système. Une version 3.0 du rançongiciel aurait été publiée mi-mars par le groupe Lockbit. Dotée de nouvelles fonctionnalités, cette version permet également de corriger des erreurs de chiffrement des bases de données MSSQL et serait déjà utilisée pour mener des cyberattaques.

Le 28 juin 2022, plusieurs semaines après l’attaque, la société Vivalia a indiqué au cours d’une assemblée générale que les opérations et les consultations avaient redémarré dans quatre de ses sites, mais que certaines données de patients étaient toujours inaccessibles. Avant l’attaque, Vivalia terminait l’année 2021 avec un bénéfice de 216 090 €. Aujourd'hui, l'entreprise affiche un déficit important d'environ 9,7 millions d'euros.