Le GHT de la Réunion a été victime d’une cyberattaque en février 2023
Le GHT de la Réunion a été victime d’une cyber-attaque suite à la compromission d’un compte de service Windows. Il a été contraint de mettre en place une cellule de crise et de déconnecter toutes les interconnexions avec les réseaux externes. L’incident ayant été rapidement déclaré, le CERT Santé est intervenu pour appuyer l’établissement dans les opérations de confinement.
Les investigations réalisées par le CERT Santé à partir des journaux d’équipements de sécurité et de l’AD ont permis d’identifier un chemin d’attaque avec la compromission initiale d’un compte de service puis celles d’un compte utilisateur et enfin d’un compte administrateur. Cela a conduit à la compromission d’un contrôleur de domaine (DC) et l’exécution de Mimikatz sur ce dernier.
Alors que plusieurs identifiants de comptes ont été exfiltrés, aucune fuite de données complémentaire n'est à déplorer. Après avoir aidé le GHT à reprendre le contrôle de son SI, le CERT Santé l’a accompagné dans l’élaboration d’un plan de remédiation afin de renforcer sa sécurité.