rançon Ransomwares cryptolocker

Cryptolocker : chantage à l’encontre du groupe de santé Français Ramsay

Un cryptolocker s’invite dans les machines du groupe de santé Français Ramsay GDS. L’informatique se remet tout doucement de cette tentative de prise d’otage 2.0.

Week-end chargé pour le groupe de santé Ramsay GDS. Un logiciel pirate de la famille cryptolocker (ransomware) s’est invité dans les machines de l’entreprise privée.

Les 160 établissements de santé du groupe se sont retrouvés coincés. Impossible d’utiliser l’informatique. Retour au crayon et papier !

L’informatique bloquée par un chantage 2.0

D’après les informations collectées par ZATAZ auprès de plusieurs établissements (Normandie, Paris, …) les messageries ont du être fermées le temps de l’intervention des équipes informatiques. Eviter la propagation de ce cryptolocker.

« Nous avons le même soucis depuis lundi matin. Des choses ont été bloquées, on ne sait jamais » souligne l’un de nos témoins de la région parisienne.

« Ils doivent remettre la messagerie en fonction dans l’après-midi » me confirme un second établissement de Normandie.

« Ce n’est pas évident pour travailler, termine une troisième clinique contactée. On fait avec. Cela a touché certains fichiers de santé. »

ZATAZ a contacté le service presse du groupe pour en savoir plus.  Depuis samedi matin, les équipes informatiques sont sur le pont. « Pas de données exfiltrées, souligne l’entreprise. Nous sommes en train de contrôler et réinstaller l’ensemble des serveurs impactés. Tout sera 100% opérationnel à la fin de la semaine« .

Ramsay GDS confirme avoir alertée la CNIL et l’ANSSI. « Notre secteur est sensible et il est sensibilisé. Nous nous entraînons. Nous sommes prêts à réagir au moindre problème (panne, hack, …)« .

Fait « intéressant » dans cette cyber-attaque, la réactivité des équipes informatiques. Le RSSI (pas en vacances), dès 7 heures samedi matin, était sur le pont. Preuve, qu’une éducation, de la formation, un personnel compétent et impliqué sera capable de répondre à ce type d’attaque.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr
  1. threat Reply

    Ils ne sont pas pressés de communiquer…

    À quand les données de santé sur pastebin…

  2. Ahmed Reply

    Des vies sont en jeux… Ces personnes doivent savoir que si nous devons les traiter et traiter leurs proches, nous agisserons aussi efficacement sans différences aucunes.

  3. Arpete2000 Reply

    Bonjour, sait on quel crypto a été utilisé?

  4. VinKo Reply

    Bonjour, Suite au commentaire de « Arpete2000 », y a t-il des infos sur la méthode d’infection (PJ dans un mail, Exploit …)?

  5. VinKo Reply

    Bonjour,

    Connait-on la méthode d’infection (Pj – lien dans un mail, Exploit, …) ?

    PS, je me permets de reposter, mon premier post a été supprimé ?!

    • Damien Bancal Reply

      Bonjour,
      Les posts ne sont pas supprimés. Comme indiqué dans le mode d’emploi de cet espace que nous vous permettons d’utiliser, il est modéré en AMONT !
      Cordialement

  6. Florent Reply

    pb toujours en cours ma femme est vacataire à Trappes; il sont en train de tout déconnecter pour éviter la propagation apparemment… donc c’est compliqué 🙂

  7. VinKo Reply

    Oups….
    Idem sur Villeneuve, certains backup sont touchés…
    Il se dit qu’ils réfléchissent à payer la rançon….

    • Damien Bancal Reply

      Bonjour,
      La direction de la communication nous a confirmé, ce jour, que l’essentiel des systèmes informatiques était relancé.

  8. VinKo Reply

    Bonjour,

    A date d’hier, apparement sur le site de Villeneuve certains services ont encore la pluspart de leurs fichiers cryptés…

  9. pat Reply

    Bonjour Damien,
    ce n’est pas vrai, cela fait plus de 10 jours que j’essaie de prendre un rendez vous, et ils en sont encore incapable aujourd’hui lundi 26 août et ils m’ont encore dit …. rappeler à la fin de la semaine.
    C’est facile de vérifier, il n’y a qu’à appeler pour prendre un rendez vous en ayant suffisamment d’information sur les docteurs.
    Les informations rassurantes données sur tous les sites sur cet incident sont inexactes.
    Ayant suivi un autres cas dans une plus grosse multinationale par une amie il y a quelques années, il faut que l’entreprise mette les moyens humains pour nettoyer tout ce qui doit l’être. Je comprends qu’une entreprise privée ait un langage rassurant pour présenter les événements mais là c’est de la désinformation. L’entreprise n’était donc clairement pas préparée à ce type d’attaque (sauvegardes, moyens de restauration …)

    • Damien Bancal Reply

      Bonjour Pat,
      Nous avons fait le teste, ici, dans la région de Lille, via plusieurs établissements.
      Il semble que l’ensemble des principaux services soient revenus, pas tous, effectivement !

  10. pat Reply

    Merci Damien pour les précisions,
    je refais un test (réel pour le coup) vendredi.
    Le cas que j’ai cité plus haut en comparaison correspond au groupe Fedex en 2017, qui après avoir géré quelques mois plus tôt un cryptolocker a envoyé une armée de 40 « informaticiens » en France pour géré le problème cette fois au niveau d’une filiale en France. Cela a pris plusieurs mois pour vraiment tout nettoyer et les laptops des commerciaux ont été immobilisé assez longtemps au regard du CA à réaliser. 8 mois après il y avait encore des impacts lourds au niveau de cette filiale.
    Bien entendu, comme dit dans mission impossible, en cas de problème, je nierai avoir eu connaissance de ces agissements 😉

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.