Skip to content
Cyber Breaches
Recherche
RançongicielContenu

Rançongiciel contre le HSE irlandais (Conti)

Le rançongiciel Conti a paralysé le Health Service Executive irlandais, forçant l'annulation de rendez-vous externes à l'échelle nationale pendant des semaines. Conti a fourni le déchiffreur gratuitement ; la récupération a tout de même coûté plus de 100 M€ selon les estimations.

Victime
Health Service Executive (HSE) d'Irlande
Perte
$130.0M
données
700.0K
utilisateurs
80.0K
SecteurSanté
PaysIrlande
GroupeContiWizard Spider
Attaquants nommésVitaly Kovalev

Au matin du 14 mai 2021, le Health Service Executive irlandais — l'autorité nationale responsable des soins de santé publics dans toute la République — a découvert que l'équipe du rançongiciel Conti avait chiffré des serveurs dans l'ensemble du parc du HSE pendant la nuit. Au matin, les hôpitaux de Dublin à Cork fonctionnaient sur papier, les rendez-vous externes étaient annulés à l'échelle nationale, et le gouvernement irlandais prenait publiquement la décision de refuser la demande de rançon.

Ce qui s'est passé

L'intrusion a commencé par un unique courriel d'hameçonnage ciblé ouvert par un employé du HSE le 18 mars 2021. Le document Excel joint contenait des macros malveillantes qui ont déposé une balise Cobalt Strike. À partir de ce seul point d'ancrage, les opérateurs de Conti ont passé huit semaines de séjour sans entrave sur le réseau du HSE :

  • Le réseau du HSE ne présentait aucune segmentation significative entre les 70 000 terminaux du parc s'étendant aux hôpitaux, à l'administration centrale et aux soins primaires.
  • Les identifiants d'administrateur de domaine ont été obtenus en quelques jours.
  • Le rapport post-incident indépendant de PwC a ultérieurement constaté que la solution antivirus du HSE avait signalé l'activité de Conti à plusieurs reprises pendant la période de séjour, mais que les alertes n'avaient pas été triées faute de SOC 24×7.
  • Environ 700 Go de données de patients ont été exfiltrés dans les jours précédant l'événement de chiffrement.

Vers 04 h 00 le 14 mai 2021, les opérateurs de Conti ont déclenché le chiffreur sur les serveurs du HSE à l'échelle nationale. La réaction immédiate du HSE a été d'une ampleur sans précédent : il a mis hors ligne tous les systèmes informatiques de l'ensemble du service de santé publique par précaution contre toute propagation supplémentaire.

Impact

  • Hôpitaux et cliniques à l'échelle nationale : tous fonctionnant sur papier pendant des semaines. Résultats de laboratoire, imagerie, dossiers de prescription, planification des rendez-vous, paie — tout a été perturbé.
  • Rendez-vous externes : annulés pendant plusieurs semaines ; soins en oncologie, imagerie diagnostique et interventions programmées touchés à l'échelle nationale.
  • ~700 Go de données de patients et d'employés exfiltrés, dont des actes de naissance, des antécédents médicaux et des informations de protection de l'enfance. ~80 000 personnes ont finalement été avisées que leurs données étaient directement concernées.
  • Le post-mortem indépendant de PwC a estimé le coût total à plus de 100 M€, la majeure partie incombant à la reconstruction informatique et à la réponse à incident externe.
  • Les données divulguées circulent toujours sur des forums du dark web des années plus tard.

La rançon impayée

Conti a exigé 20 millions de dollars en bitcoin. En quelques heures, le Taoiseach (Premier ministre) Micheál Martin a déclaré publiquement que le gouvernement irlandais ne paierait pas. Six jours plus tard, Conti a publié de manière inattendue la clé de déchiffrement gratuitement, invoquant des « raisons humanitaires » après que les gouvernements américain et irlandais eurent publiquement exercé une pression.

Le déchiffreur fonctionnait mais la récupération a été lente — à l'échelle du HSE et compte tenu de l'intégrité limitée des sauvegardes liée à l'architecture du réseau, restaurer 70 000 terminaux et reconstruire la confiance du réseau a pris des mois, et non des jours. Conti a également continué à divulguer sélectivement des dossiers de patients pour maintenir la pression malgré la fourniture du déchiffreur — une attaque réputationnelle calculée plutôt qu'une option de récupération.

Attribution

L'opération a été attribuée à l'opération de rançongiciel Conti tôt dans l'incident. Les Conti Leaks de février 2022 — 170 000 messages Jabber internes provenant d'un informateur ukrainien — ont ultérieurement confirmé la structure organisationnelle de l'opération et nommé plusieurs membres de Conti.

En février 2023, les États-Unis et le Royaume-Uni ont conjointement sanctionné sept opérateurs de Conti / TrickBot, Vitaly Kovalev (Stern) étant identifié comme l'équivalent du PDG de l'opération.

Pourquoi c'est important

Le HSE est le cas de référence d'un rançongiciel contre un système de santé national ayant refusé de payer. Il a établi :

  • Qu'un gouvernement national peut refuser publiquement une rançon et tout de même récupérer, à condition de disposer de suffisamment de résilience et de soutien externe.
  • Que le refus de payer n'arrête pas les fuites secondaires : Conti a continué à diffuser des dossiers volés des années plus tard.
  • Que la segmentation du réseau n'est pas un luxe pour les réseaux de santé — le séjour de huit semaines de Conti sur le réseau du HSE était la conséquence d'un unique domaine de diffusion L2 plat couvrant 70 000 terminaux.

Le rapport post-incident publié par le HSE (PwC) est l'un des rapports publics d'incident de rançongiciel les plus cités en cybersécurité de la santé et demeure une lecture obligatoire pour tout grand opérateur de santé.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
130.0M
USD · 130 000 000 $US
Rançon demandée
$20.0M
Rançon payée
Refusée
  • Perte d’exploitation$30.0M
  • Remédiation$100.0M

Chronologie

  1. Un employé du HSE ouvre une pièce jointe Excel malveillante dans un courriel d'hameçonnage ciblé. Le courtier d'accès initial de Conti (TA551) dépose une balise Cobalt Strike.

  2. Huit semaines de séjour. Les opérateurs de Conti récoltent des identifiants de domaine, se déplacent latéralement à travers le réseau national du HSE (qui ne disposait d'aucune segmentation entre les hôpitaux et l'administration centrale) et préparent l'exfiltration de données.

  3. Environ 700 Go de données du HSE sont exfiltrés vers une infrastructure contrôlée par les attaquants.

  4. Conti déclenche le rançongiciel sur les serveurs du HSE vers 4 h, heure locale. Les hôpitaux commencent à découvrir des systèmes chiffrés à mesure que le personnel arrive pour les équipes du matin.

  5. Le HSE prend la décision sans précédent de mettre hors ligne tous les systèmes informatiques à l'échelle nationale afin d'empêcher toute propagation supplémentaire. Les rendez-vous externes sont annulés au niveau national.

  6. Conti exige une rançon de 20 M$. Le Taoiseach irlandais Micheál Martin refuse publiquement de payer.

  7. Conti publie de manière inattendue la clé de déchiffrement gratuitement, invoquant des « raisons humanitaires » après que les gouvernements américain et irlandais l'ont publiquement exigée.

  8. Conti commence à divulguer sélectivement des dossiers de patients pour faire pression sur le HSE malgré la fourniture du déchiffreur.

  9. L'examen indépendant de PwC estime l'impact total à plus de 100 M€ en réponse directe et en récupération.

  10. Les États-Unis et le Royaume-Uni, via l'OFAC, sanctionnent conjointement Vitaly Kovalev (« Stern ») et six autres opérateurs de Conti / TrickBot.

Sources

  1. hse.iehttps://www.hse.ie/eng/services/publications/conti-cyber-attack-on-the-hse-full-report.pdf
  2. bbc.comhttps://www.bbc.com/news/world-europe-57184977
  3. justice.govhttps://www.justice.gov/opa/pr/us-and-uk-disrupt-trickbot-malware

Incidents liés

RançongicielContenu

Rançongiciel Conti contre HSE Irlande — arrêt national du système de santé (2021)

Les opérateurs de Conti ont piégé un utilisateur du HSE pour qu'il télécharge une pièce jointe Excel malveillante ; le rançongiciel qui en a résulté a contraint le Health Service Executive à arrêter tous les systèmes informatiques de santé en Irlande et a exfiltré 700 Go de données, dont des informations médicales sur la vaccination COVID-19. Le coût de la remise en état a dépassé 100 millions d'euros.

Victim
Service de santé exécutif (HSE) d'Irlande
Loss
$110.0M
RançongicielContenu

Attaque par rançongiciel Conti contre le gouvernement du Costa Rica

Conti a chiffré 27 institutions gouvernementales costaricaines, dont le ministère des Finances, paralysant la collecte des impôts et les douanes pendant des mois. Le président Chaves a déclaré l'état d'urgence national — le premier état d'urgence de l'histoire dû à un cyberincident.

Victim
Gouvernement du Costa Rica (27 institutions dont le ministère des Finances, les Douanes, la Sécurité sociale)
Loss
$130.0M
RançongicielRésolu

Cyberattaque du système de santé de Terre-Neuve-et-Labrador

Une attaque par rançongiciel Hive contre le réseau de soins de santé de Terre-Neuve-et-Labrador a paralysé les systèmes informatiques à l'échelle de la province, forçant l'annulation de milliers de rendez-vous et d'interventions dans ce que les responsables ont qualifié de pire cyberattaque de l'histoire du Canada.

Victim
Newfoundland and Labrador Centre for Health Information / Eastern Health
RançongicielRésolu

Attaque par rançongiciel du centre médical Hillel Yaffe

Le rançongiciel DeepBlueMagic a paralysé le centre médical israélien Hillel Yaffe, verrouillant l'ensemble des systèmes informatiques de l'hôpital. Hôpital public interdit de payer une rançon, il a fonctionné sur papier et systèmes de secours pendant des semaines, mettant environ deux mois à se rétablir totalement.

Victim
Hillel Yaffe Medical Center