Le CHU de Rouen a été visé par une cyberattaque massive qui a paralysé son système informatique pendant plusieurs jours. l’établissement rejoint ainsi la liste des organismes de santé français visés par des ransomwares au cours des derniers mois. Selon le site 76actu, l’attaque informatique ayant visé le CHU serait en effet une attaque au ransomware : le magazine explique être parvenu à consulter une copie de la note de rançon envoyée par les attaquants au CHU. Ceux-ci exigent la somme de 40 bitcoins, soit environ 300 000 euros au cours actuel de la cryptomonnaie.
L’hôpital assure que sa politique est de ne pas payer les attaquants et préfère compter sur le travail des équipes informatiques et des agents de l’Anssi venu en renfort pour récupérer l’accès à ses fichiers. La demande de rançon est selon l’hôpital un message automatique, envoyé lorsque l’on tente de contacter l’une des adresses email indiquées par le ransomware.
publicité
Une souche connue
La variante de ransomware utilisée par les attaquants serait une variante de la souche CryptoMix, connue sous le nom de Cryptomix Clop. Celle-ci présente plusieurs particularités qui permettent de l’identifier : les fichiers chiffrés par le malware sont ainsi renommés avec des extensions .clop et le message de rançon indique une phrase, « tout le réseau est bloqué, ne débloquer qu’un seul ordinateur est impossible » récemment observée dans les attaques exploitant ce ransomware. Ces deux éléments sont mentionnés par l’article d’actu76 sur l’attaque informatique ayant visé le CHU.Sur Twitter, l’équipe de MalwareHunterTeam explique ainsi avoir repéré cette nouvelle phrase dans la note de rançon des attaques utilisant Cryptomix Clop le 14 novembre.
Not sure why it’s not bigger news: a hospital in France got CryptoMix Clop ransomware past Friday.https://t.co/mJB2fNmED7 The article shows the exact sentence present in the note I tweeted about a day before (https://t.co/G2V6QJcFLA)…@demonslay335 cc @SwitHak h/t @skydge pic.twitter.com/y7XUdZLoA7 — MalwareHunterTeam (@malwrhunterteam) November 20, 2019
Cette variante du ransomware Cryptomix a été identifiée en début d’année par les chercheurs : sur Bleeping Computer, on retrouve une analyse du fonctionnement du malware qui indique que celui-ci est capable d’identifier et de chiffrer les données de sauvegarde afin d’empêcher les victimes de restaurer leurs systèmes. Cryptomix est une souche de ransomware active depuis 2016, mais celle-ci a connu plusieurs variantes et évolutions au fil des années. Il faudra néanmoins attendre le retour des enquêteurs avant d’affirmer qu’il s’agit bien ici de cette variante précise et savoir si celle-ci n’a pas été modifiée par les attaquants dans l’optique de cette attaque.
L’attaque a débuté vendredi 15 novembre. Une plainte a été déposée lundi, mais la section F1 du parquet de paris, spécialisée dans la cybercriminalité, a ouvert une enquête dès samedi selon Le Monde. L’attaque informatique a forcé l’établissement à revoir ses méthodes de fonctionnement et à revenir aux papiers et crayons pour suivre les dossiers des patients. Le CHU conseille également aux patients qui ne sont pas dans une situation d’urgence de se tourner vers d’autres établissements pour recevoir leurs soins.
Comments