La clinique allemande qui enregistra un décès la semaine dernière après une attaque au rançongiciel (ransomware), fut infectée via la faille Citrix découverte fin 2019.
L’attaque au rançongiciel qui paralysa la semaine dernière un hôpital de Düsseldorf et entraîna le transfert de patients ailleurs, a été perpétrée en exploitant une brèche Citrix. Cette dernière, une faille critique dans Citrix Gateway et ADC, avait été découverte en décembre dernier. La clinique signale avoir pourtant installé en janvier, le jour même de sa publication, le patch sorti par Citrix. Le malware se serait donc infiltré avant la mise à jour sécuritaire, ce qui arrive assez souvent, selon le Bundesamt für Sicherheit in der Informationstechnik (BSI).
A entendre le BSI, un service du ministère de l’intérieur allemand, il est possible que des intrus aient infecté la structure IT de l’hôpital avant janvier et aient conservé cet accès, avant que le patch n’ait été installé. Le CERT belge avait prévenu les entreprises en janvier que la faille dans les systèmes Citrix avait été activement abusée durant la période comprise entre sa découverte et le déploiement du premier patch.
Quoi qu’il en soit, l’attaque est minutieusement examinée en Allemagne, parce qu’elle a peut-être provoqué un décès. Comme les ordinateurs de l’hôpital étaient verrouillés, une patiente en danger de mort avait dû être transférée vers une autre clinique, ce qui avait pris une heure supplémentaire. Il est donc possible qu’elle soit décédée des suites de l’attaque.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici