Skip to content
Cyber Breaches
Recherche
RançongicielContenu

Rançongiciel à l'AIIMS de Delhi

Un rançongiciel a chiffré les systèmes de l'All India Institute of Medical Sciences à New Delhi — l'hôpital public le plus prestigieux d'Inde — mettant hors ligne les dossiers d'admission des patients et les dossiers cliniques pendant deux semaines en pleine affluence hivernale.

Victime
All India Institute of Medical Sciences (AIIMS) New Delhi
Perte
$15.0M
utilisateurs
40.0M
SecteurSanté
PaysInde
GroupeUnknown ransomware crew (suspected Chinese-attributed per Indian government statements)

Le 23 novembre 2022, l'All India Institute of Medical Sciences (AIIMS) de New Delhi — l'hôpital public le plus prestigieux d'Inde et le sommet du système de santé du gouvernement central indien — a découvert qu'un rançongiciel avait chiffré ses systèmes informatiques cliniques et administratifs centraux. L'enregistrement des patients, les résultats de laboratoire, la radiologie et le service de consultations externes électronique (eOPD) se sont tous retrouvés hors ligne simultanément, et l'AIIMS est revenu à un fonctionnement sur papier pour la première fois en plus d'une décennie.

La perturbation a duré environ deux semaines pendant le pic d'affluence hivernale des patients de l'AIIMS.

Ce qui s'est passé

L'AIIMS de Delhi est un hôpital de recours en dernier ressort pour une grande partie du sous-continent indien. Sa patientèle provient de toute l'Inde et des pays voisins ; un jour ordinaire, l'AIIMS gère plus de 15 000 consultations externes et plusieurs milliers de patients hospitalisés, avec des procédures de transfert depuis des hôpitaux plus petits orientées vers les spécialistes de l'AIIMS.

Le matin du 23 novembre 2022, le personnel informatique de l'AIIMS a découvert un chiffrement par rançongiciel sur la suite eHospital — la plateforme intégrée gérant l'enregistrement des patients, les admissions, la documentation clinique, les résultats de laboratoire et la radiologie. En quelques heures :

  • L'enregistrement des patients s'est arrêté ; les nouvelles admissions se sont faites sur papier.
  • Les médecins et infirmières ont effectué les tournées matinales sans accès électronique aux antécédents des patients.
  • Les résultats de laboratoire et de radiologie ne pouvaient plus être acheminés électroniquement ; des documents papier ont été transportés à la main entre les services.
  • La pharmacie a continué à délivrer les prescriptions à l'aide d'ordonnances physiques.

L'hôpital est resté ouvert et opérationnel, mais à un niveau de service dégradé. Aucun décès de patient n'a été publiquement attribué à la perturbation informatique — bien que le rythme opérationnel normal de l'AIIMS ait considérablement ralenti.

Refus de payer

Les déclarations du gouvernement indien au cours des jours suivants ont indiqué :

  • Que les attaquants avaient exigé environ 200 crores de roupies (environ 24 millions USD) en cryptomonnaie.
  • Que l'AIIMS, en tant qu'institution du gouvernement central, a refusé de payer conformément aux directives en vigueur du gouvernement indien sur la réponse aux rançongiciels.
  • Que le CERT-In, le Central Bureau of Investigation et la National Investigation Agency se sont tous engagés dans la réponse.

Ambiguïté de l'attribution

L'attribution publique du gouvernement indien était délibérément ambiguë. La ministre déléguée à la Santé Bharati Pravin Pawar a déclaré au Parlement le 6 décembre 2022 qu'une « analyse préliminaire » suggérait que l'opération avait été menée par des « cybercriminels d'un pays étranger ». La presse indienne a largement interprété cela comme une référence à des acteurs alignés sur l'État chinois, s'appuyant sur les tensions cyber sino-indiennes plus larges de la période post-Galwan.

La famille de rançongiciel spécifique utilisée n'a pas été confirmée publiquement. Le gouvernement indien n'a pas formellement attribué l'opération à une opération criminelle nommée ou à un acteur étatique ; l'affaire reste dans la catégorie de l'attribution délibérément vague, typique des divulgations d'incidents du gouvernement indien.

Rétablissement

Le rétablissement de l'AIIMS a été progressif :

  • Jour 1 : début du fonctionnement sur papier.
  • Jour 7 : enregistrement des consultations externes rétabli sur une infrastructure parallèle.
  • Jour 14 : la plupart des systèmes cliniques rétablis.
  • Jour 30 et au-delà : certains systèmes administratifs et de recherche restent hors ligne.

La réponse de l'AIIMS a déclenché un important programme de cybersécurité pour les hôpitaux du gouvernement central qui a depuis financé des modernisations d'infrastructure dans tous les établissements de l'AIIMS (plusieurs campus à travers l'Inde) et dans le réseau de services de santé du gouvernement central plus largement.

Impact

  • Plus de 40 millions de dossiers de patients dans les bases de données de l'AIIMS en danger (dossiers de tous les patients actuels et anciens de l'AIIMS ; l'ampleur de l'exfiltration réelle avant chiffrement n'a pas été confirmée publiquement).
  • Deux semaines d'activité clinique dégradée dans le principal hôpital public d'Inde.
  • Plusieurs tentatives ultérieures contre d'autres hôpitaux du gouvernement central indien dans les mois qui ont suivi l'AIIMS, dont l'hôpital Safdarjung (incident similaire, décembre 2022) et plusieurs hôpitaux d'État.
  • Coût direct de remédiation de l'AIIMS : environ 10 à 15 M$.

Pourquoi c'est important

L'AIIMS de Delhi est le cas emblématique indien de rançongiciel dans le secteur de la santé et l'événement déclencheur le plus cité pour l'expansion de la politique indienne de cybersécurité dans la santé. Il a établi :

  • Que les systèmes de santé du gouvernement central indien peuvent être ciblés opérationnellement par des rançongiciels, avec un rayon d'impact significatif. La centralité de l'AIIMS dans le système indien de transfert de patients a fait que la perturbation s'est répercutée sur les hôpitaux plus petits dépendant de l'AIIMS pour les orientations vers des spécialistes.
  • Que les opérations cliniques sur papier restent viables à grande échelle dans la santé publique indienne — en partie parce que le système de santé indien n'est pas entièrement numérisé, en partie parce que le personnel clinique senior se souvient des procédures sur papier des époques antérieures.
  • Que l'attribution étatique délibérément vague est une pratique continue du gouvernement indien pour les incidents majeurs. La formulation « pays étranger » sans nomination explicite préserve la flexibilité diplomatique tout en signalant la dimension politique.
  • Que le financement de la cybersécurité du secteur de la santé en Inde s'est matériellement accru en réponse. Le programme de cybersécurité de la santé du gouvernement central post-AIIMS est la plus importante initiative sectorielle unique de politique cyber au sein du gouvernement central indien à ce jour.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
15.0M
USD · 15 000 000 $US
Rançon demandée
$24.0M
Rançon payée
Refusée
  • Perte d’exploitation$5.0M
  • Remédiation$10.0M

Chronologie

  1. Le personnel informatique de l'AIIMS de Delhi découvre que les systèmes d'enregistrement, d'admission et de dossiers cliniques des patients de l'hôpital sont chiffrés. Les systèmes eOPD (service de consultations externes électronique), de laboratoire et de radiologie sont hors ligne.

  2. L'AIIMS revient à un enregistrement manuel des patients sur papier. Les médecins et les infirmières effectuent les tournées matinales sans accès aux dossiers électroniques des patients.

  3. L'équipe indienne de réponse aux urgences informatiques (CERT-In) et le Central Bureau of Investigation s'engagent. La National Investigation Agency rejoint l'enquête au vu des implications pour les infrastructures critiques.

  4. Des responsables du gouvernement indien déclarent publiquement que les attaquants ont exigé environ 200 crores de roupies (environ 24 M$) en cryptomonnaie. L'AIIMS refuse de payer.

  5. La ministre déléguée à la Santé indienne Bharati Pravin Pawar déclare au Parlement qu'une « analyse préliminaire » suggère que l'opération a été menée par des « cybercriminels d'un pays étranger », largement interprété dans la presse indienne comme une référence à des acteurs alignés sur l'État chinois.

  6. La plupart des systèmes cliniques sont rétablis. Certains systèmes de recherche et administratifs restent hors ligne jusqu'en 2023.

  7. Le ministère indien de la Santé établit une nouvelle architecture de référence en cybersécurité pour les hôpitaux du gouvernement central, citant l'AIIMS comme cas déclencheur.

Sources

  1. aiims.eduhttps://www.aiims.edu/index.php/en/aiims-news
  2. thehindu.comhttps://www.thehindu.com/news/national/aiims-server-down-due-to-ransomware-attack/article66185611.ece
  3. business-standard.comhttps://www.business-standard.com/article/current-affairs/aiims-cyber-attack-chinese-attempted-to-paralyse-services-claims-govt-122120800803_1.html

Incidents liés

RançongicielRésolu

Attaque par rançongiciel de l'hôpital SickKids

L'Hôpital pour enfants malades de Toronto a été frappé par une attaque par rançongiciel durant les fêtes de décembre 2022, retardant les résultats de laboratoire et d'imagerie ; fait rare, le gang LockBit a présenté ses excuses, a blâmé un affilié rebelle et a fourni un déchiffreur gratuit.

Victim
The Hospital for Sick Children (SickKids)
RançongicielRésolu

Attaque par rançongiciel d'Advanced / NHS 111

Une attaque du rançongiciel LockBit 3.0 contre le fournisseur logiciel du NHS, Advanced, a paralysé le service de triage NHS 111 et contraint les soignants à revenir au papier et au crayon, exposant les données de dizaines de milliers de patients et entraînant une amende de 3,07 millions de livres de l'ICO.

Victim
Advanced (Advanced Computer Software Group)
Loss
$27.0M
Records
82.9K