Publicité en cours de chargement...
Vague de rançongiciels sur la France : les hôpitaux déjouent l’attaque (pour cette fois)
La messagerie reste une porte d’entrée privilégiée pour s’immiscer dans un système d’information, cela demande nettement moins d’efforts à un attaquant, surtout si vous n’avez pas laissé trop de ports ouverts sur vos pares feux et qu’ils n’ont pas trois « releases » de retard.
Après une importante vague de messages de « phishing à la pièce jointe malveillante » aux Etats-Unis qui arrivait tout juste en Europe lorsque je vous en parlais il y a une quinzaine de jours. La France, elle non plus, n’a pas été épargnée. Dans les jours qui ont suivis, deux grosses campagnes de messages accompagnées de pièces jointes jouant le rôle de « dropers » pour le téléchargement du rançongiciel Lukitus (variante de Locky) ont bien arrosé notre pays qui souffrait de la chaleur estivale.
Vendredi 18 août, le temps de midi, je vois passer un premier message qui m’interpelle, puis d’autres, sur un « chat » rassemblant de nombreux acteurs du secteur de l’IT se préoccupant de la sécurité des SI.
Trois millions en deux heures, ce n’est pas rien, tout de même !
Vendredi, le temps de midi, vous noterez que là encore, le créneau est assez bien choisi pour une attaque…
N’ayant rien vu passer dans mon établissement, je décide malgré tout de prévenir mes collègues membres du Forum SIH et voir si de leur côté ils étaient « attaqués ». Bingo, quelques minutes après, plusieurs membres me signalent qu’eux aussi arrêtaient de nombreux messages qui semblaient correspondre à cette description. Certains nous partagent même quelques captures d’écran :
Après récupération d’un échantillon, je découvre qu’il s’agit de Lukitus, nouvelle version de Locky qui a suivi Diablo6, et dont les chercheurs de Malwarebytes avaient annoncé l’arrivée deux jours auparavant.
Lundi 21, alors que certains membres établissent un premier bilan de cette vague pour leurs établissements :
C’est à mon tour de voir passer de nouveaux messages arrêtés par notre solution de protection de la messagerie, l’un d’entre eux réussi même à passer à travers les mailles du filet et arriver dans la messagerie d’un utilisateur que l’on a pu prévenir à temps et supprimer avant une potentielle catastrophe.
Il s’avère que nous ne sommes pas les seuls :
Et c’est reparti !
Là encore, Lukitus :
Alors même si des particuliers et des PME ont été affectés, pourquoi nous n’avons pas eu de gros dégâts dans nos établissements de santé ? Pourquoi le CERT de l’ANSSI qui a constaté ces vagues de messages également n’a pas lancé d’alerte ?
Parce que nos utilisateurs sont trop bien sensibilisés et que nous avons tous dans « antivirus » au top ?
Non, tout simplement car la majorité des serveurs SMTP « squattés » par les attaquants pour relayer ces nombreux messages étaient « blacklistés » par plusieurs services de RBL tels que Sorbs, Spamhaus ou Spamcop et que, par conséquent la majorité de ces messages ont été arrêtés par les passerelles anti-spam.
Mais, restons sur nos gardes, ce n’est que partie remise, et de nombreux attaquants sont déjà à l’œuvre pour tenter de nous faire « cracher au bassinet »…
A surveiller de près, l’arrivée toute fraiche du rançongiciel Nuclear (variante de BTCWare), ainsi que Defray découvert par les chercheurs de Proofpoint dans des campagnes très ciblées aux Etats-Unis et au Royaume-Uni, visant en particulier l’éducation et … les établissements de santé !
Avez-vous apprécié ce contenu ?
A lire également.

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients
13 oct. 2025 - 19:56,
Communiqué
- CHU de ReimsLe Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?
13 oct. 2025 - 10:01,
Actualité
- Rédaction, DSIHÀ l’occasion de la Fête de la science, l’Espace Mendès France de Poitiers a récemment accueilli une conférence passionnante consacrée à l’intelligence artificielle (IA) en santé. Intitulée « Intelligence artificielle en santé, entre progrès technologique et éthique : où en est-on ? », cette rencontr...

Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique
13 oct. 2025 - 09:46,
Actualité
- Rédaction, DSIHL’Agence du Numérique en Santé (ANS) a récemment signalé plusieurs tentatives de fraude visant l’application e-CPS et le portail ProSantéConnect (PSC). Ces attaques, fondées sur des techniques d’ingénierie sociale, consistent à se faire passer pour le « service client CPS » afin d’obtenir des codes ...

Quand les AirTag sont au centre des débats : les tartuferies d’une direction d’école
13 oct. 2025 - 09:10,
Tribune
-Étonnant que l’info n’ait pas plus fait le buzz, mais on apprend que, dans le Var, un papa avait placé dans le sac de son fils en primaire un traceur GPS pour une sortie de classe.