Un Groupement Hospitalier victime d’une compromission de son SI suite à une fuite d’identifiants
Informé par un membre de l’InterCERT France, le CERT Santé alerte un Groupement hospitalier (GH) d’une exfiltration de donnée réalisée par un groupe de cybercriminels étranger. L’établissement avait déjà identifié la présence d’une activité malveillante sur son SI suite à une alerte remontée par sa console anti-virus. Accompagné par le CERT Santé, le GH coupe progressivement toutes les connexions internet entrantes et sortantes de ses établissements afin de stopper l’intrusion et confiner l’attaque.
Au cours de l’investigation, l’équipe du CERT Santé a découvert qu’un contrôleur de domaine avait été compromis et que les attaquants avaient pu se propager sur les contrôleurs de domaine de deux établissements du groupement. L’accès initial au SI a très probablement été possible suite à l’exploitation d’une vulnérabilité d’un accès VPN qui n’était pas à jour de correctifs.
La coupure des flux externes ou inter-établissements a contraint le groupement à la mise en place d’un mode dégradé de fonctionnement avec l’arrêt de la messagerie, la prise de rendez-vous en ligne ainsi qu’une perte de la géolocalisation du SAMU. Au regard de l’ampleur de l’attaque, le GH a fait appel à un prestataire externe pour poursuivre les investigations sur un périmètre plus large et pour les accompagner dans les actions de remédiation et de reconstruction du SI.