Le rançongiciel Conti a chiffré 80 % des systèmes informatiques HSE en Irlande

HHS: Conti ransomware encrypted 80% of Ireland

Un dossier sur les menaces publié jeudi par le ministère américain de la Santé et des Services sociaux (HHS) brosse un sombre tableau de la façon dont le service de santé irlandais, le HSE, a été débordé et a fait crypter 80% de ses systèmes lors de l’attaque du rançongiciel Conti de l’année dernière.

Cela a mené à graves perturbations des services de santé dans toute l’Irlande et a exposé les informations de milliers d’Irlandais qui ont reçu des vaccins COVID-19 avant l’attaque après qu’environ 700 Go de données (y compris des informations de santé protégées) aient été volées sur le réseau du HSE et envoyées aux serveurs des attaquants.

Le court rapport d’incident [PDF]sur la base d’un examen post-incident indépendant de PwC [PDF] commandée par le conseil d’administration du HSE en juin 2021, révèle que l’impact de cette attaque sur l’environnement informatique du HSE a été principalement causé par le manque de préparation de l’organisation pour faire face à un tel incident.

« Le HSE n’avait pas un seul propriétaire responsable de la cybersécurité, au niveau de la haute direction ou de la direction au moment de l’incident. Il n’y avait pas de comité dédié qui assurait la direction et la supervision de la cybersécurité et des activités nécessaires pour réduire l’exposition du HSE au cyber-risque,  » a déclaré le programme de cybersécurité du HHS.

« L’absence d’un forum sur la cybersécurité au sein du HSE a entravé la discussion et la documentation des cyberrisques granulaires, ainsi que les capacités d’identification et de mise en œuvre de contrôles d’atténuation. Le HSE n’avait pas de fonction de cybersécurité centralisée qui gérait les risques et les contrôles de cybersécurité. »

Pour couronner le tout, le HSE n’avait pas non plus déployé de solutions de surveillance de la sécurité pour aider à enquêter et à répondre aux menaces de sécurité détectées dans son environnement informatique.

Cela a conduit à un manque de réponse à l’activité malveillante des opérateurs Conti, qui était loin d’être furtive, puisque les balises Cobalt Strike déployées sur plusieurs serveurs HSE à partir du 7 mai 2021 ont été détectées par les solutions antivirus des terminaux, les alertes étant ignorées.

« L’impact du ransomware sur l’environnement informatique a été signalé par la direction du HSE comme conduisant à un chiffrement à 80% », a ajouté le HHS.

« L’impact de l’attaque du ransomware sur les communications a été sévère, car le HSE a utilisé presque exclusivement des systèmes de messagerie sur site (y compris Exchange) qui étaient cryptés, et donc indisponibles, pendant l’attaque. »

Chronologie des incidents du rançongiciel HSE Conti
Chronologie des incidents liés au rançongiciel HSE Conti (PwC/HSE)

Heureusement, le gang de rançongiciels Conti a donné au HSE un décrypteur gratuit pour restaurer les systèmes, avec l’avertissement supplémentaire que les attaquants continueraient à vendre ou à publier les données volées si le HSE ne payait pas une rançon de 20 millions de dollars.

« Nous fournissons gratuitement l’outil de décryptage de votre réseau. Mais vous devez comprendre que nous vendrons ou publierons beaucoup de données privées si vous ne nous connectez pas et n’essayez pas de résoudre la situation », a déclaré le gang de rançongiciels Conti lors de la négociation. page de discussion.

« Le HSE est au courant qu’une clé de cryptage a été fournie », a déclaré le ministère irlandais de la Santé à EZpublish-france.fr à l’époque. « Cependant, d’autres enquêtes doivent être menées pour évaluer si cela fonctionnera en toute sécurité, avant de tenter de l’utiliser sur des systèmes HSE. »

Bien que l’incident ait entraîné une perturbation généralisée des services de santé irlandais, Taoiseach Micheál Martin, Premier ministre irlandais, mentionné que le HSE ne paierait aucune rançon.

Suite à l’attaque, une archive contenant des échantillons de fichiers HSE volés contenant des données de patients a ensuite été téléchargée sur le site d’analyse des logiciels malveillants de VirusTotal.

Un tribunal irlandais a ensuite ordonné à VirusTotal de fournir toute information sur les abonnés qui ont téléchargé ou téléchargé les données confidentielles (y compris les adresses e-mail, les numéros de téléphone, les adresses IP ou les adresses physiques) volées sur le réseau national de santé irlandais.

L’archive des données HSE volées a été téléchargée 23 fois par les abonnés de VirusTotal avant que le service ne la supprime le 25 mai 2021, selon Le journal.