Retours d'expérience

Informé par un membre de l’InterCERT France, le CERT Santé alerte un Groupement hospitalier (GH) d’une exfiltration de donnée réalisée par un groupe de cybercriminels étranger. L’établissement avait déjà identifié la présence d’une activité malveillante sur son SI suite à une alerte remontée par sa console anti-virus. Accompagné par le CERT Santé, le GH coupe progressivement toutes les connexions internet entrantes et sortantes de ses établissements afin de stopper l’intrusion et confiner l’attaque. 
 

Au cours de l’investigation, l’équipe du CERT Santé a découvert qu’un contrôleur de domaine avait été compromis et que les attaquants avaient pu se propager sur les contrôleurs de domaine de deux établissements du groupement. L’accès initial au SI a très probablement été possible suite à l’exploitation d’une vulnérabilité d’un accès VPN qui n’était pas à jour de correctifs.

La coupure des flux externes ou inter-établissements a contraint le groupement à la mise en place d’un mode dégradé de fonctionnement avec l’arrêt de la messagerie, la prise de rendez-vous en ligne ainsi qu’une perte de la géolocalisation du SAMU. Au regard de l’ampleur de l’attaque, le GH a fait appel à un prestataire externe pour poursuivre les investigations sur un périmètre plus large et pour les accompagner dans les actions de remédiation et de reconstruction du SI.

Alerté par un membre de l'InterCERT France d’une fuite d’identifiants concernant un établissement de santé, le CERT Santé est intervenu rapidement pour aider l’établissement à mettre en œuvre les mesures de confinement : coupure internet et interruption des échanges avec les établissements partenaires, blocage des connexions à distance, sécurisation des sauvegardes, etc.

Les investigations réalisées par le CERT Santé, à partir des logs transmis ont permis d’identifier que deux comptes utilisateur d’accès à distance avaient été compromis suite à l'utilisation d'un équipement personnel. L’attaquant a ensuite été en mesure d’élever ses privilèges et de disposer d’un compte administrateur de domaine.

Si aucune données de santé n'a été exfiltrée au cours de l'attaque, la coupure de l’accès à internet a provoqué l’arrêt de certains services. A l’issue de la phase de neutralisation de l’attaque et après que l'établissement ait repris "le contrôle" de son SI, un plan de remédiation a été élaboré afin de renforcer l’accès à son système d’information et lever progressivement les confinements.
 

Alors que plusieurs identifiants de comptes ont été exfiltrés, aucune fuite de données complémentaire n'est à déplorer.  Après avoir aidé le GHT à reprendre le contrôle de son SI, le CERT Santé l’a accompagné dans l’élaboration d’un plan de remédiation afin de renforcer sa sécurité.

Suite aux échanges avec le CERT Santé, les premières mesures de sécurisation ont rapidement été mises en place par l’établissement notamment la déconnexion du serveur de messagerie impacté. Les investigations conjointes réalisées par le centre hospitalier de Cahors et le CERT Santé sur l’étendue de l’attaque ont permis de détecter qu’un compte administrateur avait été compromis. Les investigations révèlent que l’attaquant a ainsi pu réaliser ses actions malveillantes par le biais de cet accès. 

Au regard de la criticité de l’attaque, des actions complémentaires de confinement ont été identifiées et mises en place par l’établissement avec l’appui des experts du CERT Santé. Il a été décidé de manière collaborative de déconnecter le serveur de sauvegarde et de désactiver les accès à distance. Ces mesures de confinement ont fortement impacté les services administratifs du centre hospitalier mais n’ont eu aucun impact sur la prise en charge des patients car les dossiers patients sont externalisés chez un prestataire certifié HDS (Hébergeur de Données de Santé).