Rançongiciel DeepBlueMagic au Centre médical Hillel Yaffe (Israël, 2021)

Le rançongiciel DeepBlueMagic — attribué par les responsables israéliens à un groupe criminel chinois — a frappé le Centre médical Hillel Yaffe à Hadera, devenant la première attaque par rançongiciel réussie connue contre une entité de santé israélienne. Le rétablissement s'est étalé sur des mois. Les autorités israéliennes ont ensuite signalé une vague de tentatives consécutives visant neuf autres hôpitaux.

Le 13 octobre 2021, le Centre médical Hillel Yaffe à Hadera est devenu le premier hôpital israélien connu pour avoir subi une attaque par rançongiciel réussie. Le logiciel malveillant a été identifié comme DeepBlueMagic — une famille relativement nouvelle observée pour la première fois en août 2021. Les responsables israéliens ont publiquement attribué l'opération à un groupe criminel chinois agissant pour des motifs financiers.

Ce qui s'est passé

L'attaque a frappé tôt le 13 octobre 2021. La première action de DeepBlueMagic sur chaque machine compromise consiste à arrêter tous les services Windows tiers — désactivant de fait les outils de sécurité — avant d'amorcer le chiffrement. Il supprime ensuite les Volume Shadow Copies, éliminant le mécanisme Windows classique qui permettrait habituellement la restauration des fichiers.

Les enquêteurs ont conclu que le vecteur d'accès initial était un boîtier VPN Pulse Connect Secure non corrigé — très probablement la vulnérabilité CVE-2019-11510, divulguée de longue date et déjà utilisée chez Travelex et plusieurs autres opérations majeures de rançongiciel.

Hillel Yaffe étant un hôpital public, il avait l'interdiction de payer la rançon. L'hôpital a fonctionné en mode dégradé pendant que le personnel revenait aux flux de travail manuels. L'incident a déclenché un pic immédiat de tentatives de cyberattaques contre le reste du secteur de la santé israélien : en quelques jours, l'autorité nationale israélienne de cybersécurité a signalé une hausse de 72 % d'une semaine sur l'autre des tentatives d'attaques et identifié des tentatives contre neuf autres hôpitaux.

Impact

Première attaque par rançongiciel réussie confirmée contre une entité de santé israélienne.
Informatique de l'hôpital paralysée ; retour aux flux de travail manuels.
Des mois de fonctionnement dégradé avant le rétablissement complet.
Déclenchement d'un pic de 72 % d'une semaine sur l'autre des tentatives d'attaques contre le secteur de la santé israélien.
Vecteur d'accès initial : boîtier VPN Pulse Secure non corrigé.

Pourquoi cela compte

Hillel Yaffe est devenu le cas de référence israélien pour la préparation du secteur de la santé aux rançongiciels. L'attribution à un groupe criminel chinois a aussi distingué l'affaire de l'écosystème plus courant des rançongiciels russophones et démontré que la santé est une cible dans tout le paysage des acteurs motivés par l'appât du gain, et pas seulement depuis une seule géographie. Les tentatives consécutives contre neuf autres hôpitaux — pour la plupart déjouées — sont devenues une étude de cas sur l'alerte sectorielle post-incident que d'autres gouvernements ont adoptée.

Chronologie

13 octobre 2021

Le Centre médical Hillel Yaffe à Hadera détecte une activité de rançongiciel ; les systèmes informatiques de l'hôpital sont paralysés. En tant qu'hôpital public, Hillel Yaffe a l'interdiction de payer.

14 octobre 2021

DeepBlueMagic identifié comme la famille de logiciel malveillant. Les chercheurs notent les mêmes TTP utilisées contre des victimes mondiales antérieures : arrêt des services Windows tiers pour désactiver les outils de sécurité, puis suppression des Volume Shadow Copies pour empêcher la restauration.

15 octobre 2021

Le vecteur d'accès initial est évalué comme l'exploitation d'un boîtier VPN Pulse Connect Secure non corrigé (CVE-2019-11510).

17 octobre 2021

L'autorité nationale israélienne de cybersécurité signale une hausse de 72 % d'une semaine sur l'autre des tentatives de cyberattaques contre le secteur de la santé ; neuf autres hôpitaux israéliens signalent des tentatives d'attaques.

1 octobre 2021

De hauts responsables de la cybersécurité israélienne évaluent publiquement l'opération comme motivée financièrement et probablement menée par un groupe criminel chinois.

2021-10 — 2022-Q1

Hillel Yaffe fonctionne en mode dégradé pendant une longue période ; le rétablissement informatique complet prend des mois.

Sources

govinfosecurity.comhttps://www.govinfosecurity.com/ransomware-attack-on-israeli-medical-center-raises-alarm-a-17740

timesofisrael.comhttps://www.timesofisrael.com/top-cyber-official-hospital-attack-purely-financial-likely-by-chinese-group/

jpost.comhttps://www.jpost.com/breaking-news/hillel-yaffe-hospital-targeted-by-ransomware-attack-681842

inforisktoday.comhttps://www.inforisktoday.com/more-attempted-cyberattacks-on-israeli-healthcare-entities-a-17762

timesofisrael.comhttps://www.timesofisrael.com/hospital-has-no-idea-of-scale-of-cyberattack-havoc-recovery-could-take-months/

Incidents liés

RançongicielContenu14 mai 2021

Rançongiciel Conti contre HSE Irlande — arrêt national du système de santé (2021)

Les opérateurs de Conti ont piégé un utilisateur du HSE pour qu'il télécharge une pièce jointe Excel malveillante ; le rançongiciel qui en a résulté a contraint le Health Service Executive à arrêter tous les systèmes informatiques de santé en Irlande et a exfiltré 700 Go de données, dont des informations médicales sur la vaccination COVID-19. Le coût de la remise en état a dépassé 100 millions d'euros.

Victim: Service de santé exécutif (HSE) d'Irlande
Loss: $110.0M

RançongicielRançon payée21 février 2024

Rançongiciel Change Healthcare (ALPHV/BlackCat)

ALPHV/BlackCat a compromis Change Healthcare via un portail Citrix sans MFA, paralysé les remboursements d’ordonnances aux États-Unis pendant des semaines et exfiltré les données d’environ 100 millions de personnes.

Victim: Change Healthcare (UnitedHealth Group)
Loss: $2.87B
Records: 100.0M

RançongicielContenu22 juillet 2021

Rançongiciel « Death Kitty » contre Transnet (Afrique du Sud, 2021)

Une attaque par rançongiciel contre Transnet, l'entreprise logistique publique sud-africaine, a paralysé les opérations des terminaux à conteneurs de Durban, Ngqura, Port Elizabeth et Le Cap, contraignant l'opérateur à déclarer la force majeure. Durban — 60 % du trafic conteneurisé d'Afrique australe — est revenu à un dédouanement papier pendant une semaine.

Victim: Transnet SOC (opérateur public de fret et de ports)

RançongicielRançon payée7 mai 2021

Rançongiciel Colonial Pipeline (DarkSide)

Un mot de passe VPN réutilisé a permis à DarkSide de chiffrer les systèmes de facturation de Colonial Pipeline. L’opérateur a arrêté 5 500 miles de pipeline pendant six jours, payé 4,4 M$, et déclenché une urgence fédérale.

Victim: Colonial Pipeline Company
Loss: $4.4M