Un établissement victime du chiffrement d’une partie de ses environnements virtualisés

En février dernier, un établissement a été victime d’une attaque par rançongiciel déclenchant la mise en place d'une cellule de crise. Un prestataire de réponse à incident et le CERT Santé ont apporté leur soutien essentiel pour évaluer la menace et réduire l’impact de l’attaque sur le SI. 

Les investigations ont révélé que l'attaquant avait pénétré le système d'information en exploitant une mauvaise configuration du pare-feu et en procédant à une attaque par force brute d'un compte de l’Active Directory, entraînant ainsi sa compromission. Les investigations ont permis d’identifier les actions de l'attaquant sur divers serveurs. L'ensemble des disques virtuels sur lesquels étaient stockées les machines virtuelles a été chiffré. 

Pour renforcer la sécurité du SI face à cette menace et partager les caractéristiques de l’attaque avec ses bénéficiaires, le CERT Santé a réalisé une analyse approfondie des souches virales en vue de la communication des IOCs.