Publicité en cours de chargement...
Vague de rançongiciels sur la France : les hôpitaux déjouent l’attaque (pour cette fois)
La messagerie reste une porte d’entrée privilégiée pour s’immiscer dans un système d’information, cela demande nettement moins d’efforts à un attaquant, surtout si vous n’avez pas laissé trop de ports ouverts sur vos pares feux et qu’ils n’ont pas trois « releases » de retard.
Après une importante vague de messages de « phishing à la pièce jointe malveillante » aux Etats-Unis qui arrivait tout juste en Europe lorsque je vous en parlais il y a une quinzaine de jours. La France, elle non plus, n’a pas été épargnée. Dans les jours qui ont suivis, deux grosses campagnes de messages accompagnées de pièces jointes jouant le rôle de « dropers » pour le téléchargement du rançongiciel Lukitus (variante de Locky) ont bien arrosé notre pays qui souffrait de la chaleur estivale.
Vendredi 18 août, le temps de midi, je vois passer un premier message qui m’interpelle, puis d’autres, sur un « chat » rassemblant de nombreux acteurs du secteur de l’IT se préoccupant de la sécurité des SI.
Trois millions en deux heures, ce n’est pas rien, tout de même !
Vendredi, le temps de midi, vous noterez que là encore, le créneau est assez bien choisi pour une attaque…
N’ayant rien vu passer dans mon établissement, je décide malgré tout de prévenir mes collègues membres du Forum SIH et voir si de leur côté ils étaient « attaqués ». Bingo, quelques minutes après, plusieurs membres me signalent qu’eux aussi arrêtaient de nombreux messages qui semblaient correspondre à cette description. Certains nous partagent même quelques captures d’écran :
Après récupération d’un échantillon, je découvre qu’il s’agit de Lukitus, nouvelle version de Locky qui a suivi Diablo6, et dont les chercheurs de Malwarebytes avaient annoncé l’arrivée deux jours auparavant.
Lundi 21, alors que certains membres établissent un premier bilan de cette vague pour leurs établissements :
C’est à mon tour de voir passer de nouveaux messages arrêtés par notre solution de protection de la messagerie, l’un d’entre eux réussi même à passer à travers les mailles du filet et arriver dans la messagerie d’un utilisateur que l’on a pu prévenir à temps et supprimer avant une potentielle catastrophe.
Il s’avère que nous ne sommes pas les seuls :
Et c’est reparti !
Là encore, Lukitus :
Alors même si des particuliers et des PME ont été affectés, pourquoi nous n’avons pas eu de gros dégâts dans nos établissements de santé ? Pourquoi le CERT de l’ANSSI qui a constaté ces vagues de messages également n’a pas lancé d’alerte ?
Parce que nos utilisateurs sont trop bien sensibilisés et que nous avons tous dans « antivirus » au top ?
Non, tout simplement car la majorité des serveurs SMTP « squattés » par les attaquants pour relayer ces nombreux messages étaient « blacklistés » par plusieurs services de RBL tels que Sorbs, Spamhaus ou Spamcop et que, par conséquent la majorité de ces messages ont été arrêtés par les passerelles anti-spam.
Mais, restons sur nos gardes, ce n’est que partie remise, et de nombreux attaquants sont déjà à l’œuvre pour tenter de nous faire « cracher au bassinet »…
A surveiller de près, l’arrivée toute fraiche du rançongiciel Nuclear (variante de BTCWare), ainsi que Defray découvert par les chercheurs de Proofpoint dans des campagnes très ciblées aux Etats-Unis et au Royaume-Uni, visant en particulier l’éducation et … les établissements de santé !
Avez-vous apprécié ce contenu ?
A lire également.

Dispositifs médicaux numériques : la HAS précise ses principes d’évaluation
10 sept. 2025 - 16:22,
Actualité
- DSIHLa Haute Autorité de Santé a publié aujourd’hui ses premiers principes d’évaluation pour les dispositifs médicaux numériques (DMN) entrant dans les voies de remboursement spécifiques ouvertes en 2023 : la prise en charge anticipée (PECAN) et la Liste des Activités de Télésurveillance Médicale (LATM)...

France 2030 : trois projets numériques en santé mentale et 29 expérimentations récompensés
10 sept. 2025 - 11:56,
Actualité
- DSIHLe gouvernement renforce son soutien à l’innovation en santé numérique. Ce jeudi 4 septembre 2025, lors de la clôture de la Journée de la filière IA et Cancer, Yannick Neuder, ministre chargé de la Santé et de l’Accès aux soins, a dévoilé les lauréats des appels à projets « Dispositifs médicaux numé...

Une feuille de route IA pour la CNSA
08 sept. 2025 - 22:14,
Actualité
- Damien Dubois, DSIHLe 1er septembre, la CNSA a annoncé la publication de sa feuille de route stratégique centrée sur l’intelligence artificielle au service de la branche Autonomie.

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...