Attaque par rançongiciel Ryuk contre l'hôpital de Benešov

Le 11 décembre 2019, l'hôpital Rudolf et Stefanie de Benešov, un établissement de taille moyenne de la région de Bohême-Centrale en République tchèque, a été frappé par une attaque du rançongiciel Ryuk diffusée via la désormais classique chaîne d'infection Emotet–TrickBot–Ryuk. L'attaque a paralysé l'hôpital pendant des semaines et est devenue une étude de référence sur la cybersécurité de la santé tchèque.

Ce qui s'est passé

L'intrusion a suivi le schéma modulaire qui définissait les campagnes de rançongiciel de l'époque : Emotet a établi le point d'entrée initial (généralement via une pièce jointe malveillante), a téléchargé le cheval de Troie bancaire TrickBot pour récolter des identifiants et cartographier le réseau, puis a déployé Ryuk pour chiffrer les systèmes de l'hôpital. Cette combinaison signifiait qu'au moment où le chiffrement commençait, les attaquants s'étaient déjà déplacés latéralement dans l'environnement.

Le chiffrement a mis hors service l'accès aux appareils de radiographie, d'échographie et de laboratoire, et a coupé la capacité de l'hôpital à échanger des informations avec d'autres hôpitaux — une fonction essentielle pour l'orientation des patients et la continuité des soins.

Impact

• L'hôpital a été paralysé pendant des semaines, fonctionnant en mode dégradé, partiellement manuel, le temps que les systèmes soient reconstruits.
• Les équipements de diagnostic essentiels (imagerie et laboratoire) ont été rendus inutilisables, affectant directement les flux de travail cliniques.
• Le gouverneur régional a déclaré que l'hôpital n'avait payé aucune rançon et qu'il n'avait pas perdu de données significatives, écartant explicitement une fuite des dossiers de santé des patients.
• Le rétablissement a nécessité une remédiation poussée plutôt qu'un déchiffrement.

Portée

Des chercheurs ont par la suite documenté Benešov comme un cas où même un hôpital de taille moyenne relativement bien géré, doté d'une posture de cybersécurité raisonnable, pouvait être gravement perturbé par une chaîne de rançongiciel grand public déterminée. L'incident a révélé à quel point les opérations cliniques modernes dépendent de systèmes de diagnostic en réseau, et comment une seule infection par e-mail peut dégénérer en panne touchant tout l'hôpital.

Survenant seulement trois mois avant l'attaque de l'hôpital universitaire de Brno, Benešov a été le premier acte d'une vague de rançongiciels contre la santé tchèque qui a poussé l'Agence nationale de cybersécurité et de sécurité de l'information (NÚKIB) à émettre des avertissements sectoriels.

Pourquoi c'est important

Benešov a démontré que le modèle Emotet–TrickBot–Ryuk — motivé par l'argent, opportuniste et très efficace — représentait une menace opérationnelle existentielle pour les hôpitaux, qu'une rançon soit payée ou non. En refusant de payer tout en se rétablissant, Benešov a renforcé la valeur de sauvegardes résilientes et de la segmentation, tandis que sa perturbation de plusieurs semaines a souligné que la prévention, et pas seulement le rétablissement, doit être la priorité des prestataires de santé.