Update : Un hôpital de l'Etat d'Indiana aux Etats-Unis est victime d'une attaque par rançongiciel

Un premier article traitant de cet incident a déjà été publié. La situation a depuis évolué.

Pour rappel, l'hôpital Hancock, situé dans l'Indiana aux Etats-Unis a subi une attaque par rançongiciel qui l'a contraint à stopper intégralement ses systèmes.

Le rançongiel utilisé est SamSam qui a la particularité de renommer les fichiers par "I'm sorry" une fois qu'il les a chiffrés. Ce rançongiciel est actif depuis deux ans. Pour le propager, les attaquants scannent Internet dans le but de trouver des systèmes dont le port RDP (Remote Desktop Protocol) est ouvert. Les attaquants réalisent une recherche exhaustive des mots de passe pour se connecter en RDP sur les systèmes d'un même sous-réseau et se connectent ainsi à davantage de machines. Une fois qu'ils ont une présence suffisante sur le réseau cible, les attaquants déploient SamSam.

Bien que l'hôpital n'ait pas confirmé ce scénario typique d'attaque de SamSam, il assure que l'infection n'est pas due à un employé victime d'hameçonnage. 

Alors qu'Hancock avait des sauvegardes qui lui auraient permis de restaurer ses systèmes, il a choisi de payer la rançon de 55000$. Les responsables estiment que la restauration des sauvegardes n'était pas une solution convenable puisqu'au moins 10 jours auraient été nécessaires pour que les systèmes soient entièrement rétablis.

Une fois la rançon payée, les systèmes ont été de nouveau opérationnels.

Comme le recommande l'ANSSI, il est fortement déconseillé de payer la rançon en cas d'attaque par rançongiciel. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment la carte bancaire). La fixe réflexe dédiée aux cryptovirus de la cellule ACSS indique comment réagir face à ce type de menace.