Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Attaque par rançongiciel de la région du Latium

Une attaque par le rançongiciel RansomEXX a chiffré le centre de données de la région italienne du Latium, mettant hors ligne pendant plusieurs jours le portail de réservation de vaccination COVID-19 et déclenchant une enquête antiterroriste.

Victime
Regione Lazio
SecteurGouvernementSanté
PaysItalie
GroupeRansomEXX
Attaquants nommésOpérateurs de RansomEXX

Aux premières heures du 1er août 2021, la région du Latium (Regione Lazio) — la région administrative italienne entourant Rome et abritant près de six millions d'habitants — a subi une attaque par le rançongiciel RansomEXX qui a chiffré son centre de données central et mis hors ligne des services publics critiques, au premier rang desquels le portail de réservation de vaccination COVID-19 de la région. Il s'agit de l'une des cyberattaques les plus perturbatrices du secteur public de l'histoire italienne.

Ce qui s'est passé

Dans la nuit du 31 juillet au 1er août 2021, les attaquants ont déployé le rançongiciel RansomEXX contre l'infrastructure informatique de la région du Latium, chiffrant « presque tous les fichiers du centre de données », selon les responsables. L'attaque a désactivé les systèmes utilisés par les citoyens pour réserver des rendez-vous de vaccination COVID-19, suspendant toutes les nouvelles réservations au plus fort de la campagne de vaccination italienne.

Si la plupart des médias ont attribué l'attaque à RansomEXX, au moins un chercheur en sécurité italien a affirmé disposer de preuves la reliant également à des affiliés de LockBit 2.0 — un rappel du fait que les opérations de rançongiciel se recoupent fréquemment. Le président de la région, Nicola Zingaretti, a décrit les auteurs comme opérant « depuis un pays étranger », et le parquet italien a ouvert une enquête antiterroriste, avec l'assistance du FBI et d'Interpol.

Impact

  • Les nouvelles réservations de vaccin COVID-19 ont été suspendues pendant plusieurs jours ; les rendez-vous déjà programmés ont été honorés, mais la perturbation est survenue durant une période critique de santé publique.
  • Toute une série de services informatiques administratifs régionaux ont été rendus indisponibles pendant la reconstruction du centre de données.
  • La région a déclaré qu'aucune donnée personnelle sensible n'avait été exfiltrée, distinguant cet incident des attaques à double extorsion.
  • Un site temporaire de réservation a été mis en place dès le 5 août, la restauration plus large progressant la semaine suivante.

Rétablissement et controverse

De manière cruciale, la région a pu restaurer ses systèmes à partir de sauvegardes que les attaquants n'avaient pas chiffrées. Cela a suscité une controverse publique : les responsables avaient initialement laissé entendre que les sauvegardes étaient elles aussi chiffrées, alimentant des spéculations — jamais étayées — selon lesquelles une rançon aurait été secrètement payée. La région a maintenu qu'elle n'avait pas payé, et aucune preuve du contraire n'a été établie.

Pourquoi c'est important

L'attaque du Latium a démontré comment un rançongiciel visant un gouvernement régional peut menacer directement la santé et la sécurité publiques, et non seulement la confidentialité des données. En frappant le système de réservation de vaccination en pleine pandémie, les attaquants ont transformé une panne informatique en une urgence de protection civile, justifiant la mesure exceptionnelle d'une enquête antiterroriste. L'incident a renforcé deux leçons pour le secteur public : les sauvegardes hors ligne et testées constituent le contrôle anti-rançongiciel le plus important, et les services critiques destinés aux citoyens nécessitent des architectures résilientes capables de basculer rapidement en cas d'attaque.

Chronologie

  1. Dans la nuit du 31 juillet au 1er août, les attaquants déploient RansomEXX contre le centre de données de la région du Latium.

  2. Les systèmes informatiques régionaux sont chiffrés ; le portail de réservation de vaccination COVID-19 est mis hors ligne, interrompant les nouveaux rendez-vous.

  3. Les autorités italiennes ouvrent une enquête antiterroriste ; la région refuse de payer toute rançon.

  4. Les responsables annoncent que les services de réservation de vaccination seront rétablis sous 72 heures.

  5. Un site temporaire de réservation de vaccination est mis en ligne pendant que la restauration se poursuit.

  6. Les services sont progressivement rétablis à partir de sauvegardes qui n'avaient pas été chiffrées par les attaquants.

Sources

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/ransomware-attack-hits-italys-lazio-region-affects-covid-19-site/
  2. aha.orghttps://www.aha.org/hc3-analyst-note/2021-08-06-hc3-tlp-white-analyst-note-ransomware-attack-covid-19-vaccination
  3. msspalert.comhttps://www.msspalert.com/news/ransomexx-hits-italy
  4. hhs.govhttps://www.hhs.gov/sites/default/files/lazio-ransomware-attack.pdf

Incidents liés

RançongicielRésolu

Cyberattaque du système de santé de Terre-Neuve-et-Labrador

Une attaque par rançongiciel Hive contre le réseau de soins de santé de Terre-Neuve-et-Labrador a paralysé les systèmes informatiques à l'échelle de la province, forçant l'annulation de milliers de rendez-vous et d'interventions dans ce que les responsables ont qualifié de pire cyberattaque de l'histoire du Canada.

Victim
Newfoundland and Labrador Centre for Health Information / Eastern Health
RançongicielContenu

Rançongiciel Conti contre HSE Irlande — arrêt national du système de santé (2021)

Les opérateurs de Conti ont piégé un utilisateur du HSE pour qu'il télécharge une pièce jointe Excel malveillante ; le rançongiciel qui en a résulté a contraint le Health Service Executive à arrêter tous les systèmes informatiques de santé en Irlande et a exfiltré 700 Go de données, dont des informations médicales sur la vaccination COVID-19. Le coût de la remise en état a dépassé 100 millions d'euros.

Victim
Service de santé exécutif (HSE) d'Irlande
Loss
$110.0M
RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim
Westpole / PA Digitale (plateforme Urbi)
RançongicielRésolu

Attaque par rançongiciel du centre médical Hillel Yaffe

Le rançongiciel DeepBlueMagic a paralysé le centre médical israélien Hillel Yaffe, verrouillant l'ensemble des systèmes informatiques de l'hôpital. Hôpital public interdit de payer une rançon, il a fonctionné sur papier et systèmes de secours pendant des semaines, mettant environ deux mois à se rétablir totalement.

Victim
Hillel Yaffe Medical Center