Attaque par rançongiciel du centre hospitalier de Cannes

29/10/2024

Le 16 avril, le Centre Hospitalier Simone Veil de Cannes a subi une attaque par rançongiciel, entraînant le chiffrement d'un serveur de fichiers et de 15 % des postes de travail. La veille, l'attaquant s'était introduit dans le système via un compte compromis.

Après une première tentative de chiffrement échouée, l'attaquant a élevé les privilèges de l'utilisateur compromis vers l'administrateur de domaine Windows. Il a ensuite déployé la charge malveillante par GPO sur une partie du SI mais également sur les PACS suite à l’exploitation d’une vulnérabilité éditeur. Des outils pouvant être utilisés à des fins d'exfiltration ont été trouvés sur le serveur compromis, laissant penser à une possible fuite de données. Le centre hospitalier a isolé les réseaux et déconnecté ses sauvegardes.

Grâce aux actions de confinement, le chiffrement a pu être stoppé rapidement et la mise en place d’un mode dégradé de fonctionnement de certains services n’a pas eu d’impact sur la prise en charge des patients.

RETEX_CH #10_CannesVF.pdf - 29 octobre 2024 - PDF - 391.79 Ko