Handi Val de Seine - Exploitation d’une vulnérabilité sur un accès VPN
En février dernier, l’organisme Handi Val de Seine a été victime d’une attaque par rançongiciel suite à l’exploitation d’une vulnérabilité critique sur un accès VPN. Les impacts de l’activité malveillante ayant été rapidement détectés, une cellule de crise a été ouverte et la baie réseau débranché. Informé de l’incident suite à sa déclaration, le CERT Santé est intervenu pour appuyer l’établissement dans le confinement du SI. Ce dernier a été totalement isolé de l’Internet. Le CERT Santé a ensuite accompagné l’établissement dans une réouverture des flux au cas par cas en commençant par ceux qui étaient les plus vitaux.
Le CERT Santé a ensuite réalisé les investigations nécessaires pour identifier le scénario de compromission. Elles révèleront que le groupe d’attaquant identifié aurait exploité une vulnérabilité critique et non corrigée pour se connecter avec des privilèges au système d’information interne. Le chiffrement irréversible des données a fortement impacté les services administratifs de l'organisme en raison de la perte de certaines bases de données.