Un groupement hospitalier victime de compromission de comptes
Le CERT Santé a récemment été sollicité par un groupement hospitalier qui avait détecté une activité malveillante sur son parc informatique. Afin de réduire le risque de propagation, l’établissement a été accompagné dans la mise en place des premières mesures de confinement : des flux externes ont été coupés avec l’accord de la direction du groupement et les machines potentiellement compromises isolées du réseau. L’établissement s’est ainsi organisé pour poursuivre ses activités dans un mode dégradé de fonctionnement. Le CERT Santé a recommandé par la suite de procéder à un déconfinement progressif des flux en leur accordant une surveillance particulière.
Le CERT Santé a également réalisé une investigation numérique afin d’identifier les actions réalisées par l’attaquant. Cette investigation a révélé que l’attaquant avait pu avoir accès au SI de l’établissement en réutilisant les identifiants VPN d’un prestataire. Il a par la suite été en mesure d’élever ses privilèges avant de disposer d’un compte administrateur. Plusieurs identifiants de compte ont également été exfiltrés. Aucun impact n’a cependant été constaté sur la prise en charge patient au cours de l’incident.