Info

• Date:
  • Intrusion: vers le 10 août 2022
  • Déclenchement de l'attaque: 21 aout 2022 vers 1 heure du matin
• Lieu: Corbeil-Essonnes
• Acteur: Lockbit
• Conséquence:
• Technique utilisé: ransomware (LockBit 3.0)

Proceder

1 Intrusion:

• Accès via un VPN (probablement en détournant le compte d'un prestataire depuis une VM)

2 Déplacement latéral

• Utilisation de Anydesk pour ce déplacer latéralement tout en désactivant les mesures de sécurité des assets via PCHunter

3 Contrôle des données

• Suppression des sauvegardes de données
• Exfiltration de données sensibles vers le cloud Mega

4 Chiffrement SI

• Déclenchement de LockBit 3.0 conduisant au chiffrement du système d’information servant de base à l’accueil des patients et à la paralysie de la majeure partie des outils numériques de l’hôpital

5 Attaque du parque virtuel

• Connexion sur les ESXi comme root via SSH et en exécutant le variant Linux de LockBit 3.0

Lien externe:

• https://www.headmind.com/lecons-cyberattaque-hopital-corbeil-essonnes/
• https://www.leparisien.fr/essonne-91/cyberattaque-contre-lhopital-de-corbeil-essonnes-un-an-apres-comment-le-chsf-sest-refait-une-sante-12-09-2023-2XN5PWE5O5EA7BDFQ5NOSZFOUM.php
• https://www.leparisien.fr/high-tech/hopital-de-corbeil-essonnes-le-groupe-russophone-lockbit-30-revendique-la-cyberattaque-et-lance-le-chantage-aux-donnees-12-09-2022-7IM7PZYIYNFPVBIJXYVUNXZPOI.php
• https://www.lemonde.fr/pixels/article/2022/09/26/apres-la-cyberattaque-contre-l-hopital-de-corbeil-essonnes-ce-que-l-on-sait-sur-les-donnees-diffusees_6143245_4408996.html
• https://www.lemagit.fr/actualites/252524725/Centre-hospitalier-Sud-Francilien-ce-que-dit-lautopsie-de-la-cyberattaque

Rédacteur: TitusXxvi
#victime