"Personne ne nous a demandé de rançon". Mais c'était un ransomware, ou autre chose ?

personne n'a demandé de rançon, vu que c'est à eux de suivre le message affiché pour être redirigé vers un site/email automatique qui demande 30BC contre la clé de decryptage ils ont joués sur les mots... (enfin en tout cas de ce qui ressort des articles de la presse locale)

aux dernières news, c'était isolation des postes/serveurs contaminés, et remontés les derniers backup... et avec des gens de l'anssi pour aider et surtout trouver le vecteur d'infection...


et dans les autres administrations du coin, c'est branle-bas de combat pour refaire un tour sur la sécurité et vérifier qu'il n'y a pas trop de trucs pas clean de visible/accessible depuis l'extérieur, vérifier que tous les AV, antispams&co sont toujours bien up et à jour, et vérifier/justifier les serveurs/postes avec des OS/logiciels qui ne sont plus sous supports éditeurs pour couper/migrer ^^

ce n'est pas indiqué dans les articles, et ca fait trop longtemps que je suis passé comme presta chez eux pour dire ce qui est encore d'actualité... et je ne suis pas intervenu assez pour avoir des contacts à qui demander ^^

Dans certains hôpitaux français, ils font un backup régulier des machines avec stockage sur bandes magnétiques pour assurer la résilience, avec du boot des machines sur le réseau. Bien sûr ils ne doivent pas tous être à ce niveau de sophistication.

Plop,

C'est ce qui se passe actuellement : ils restaurent les PC et serveurs infectés un par un à partir des précédentes backup. Ils n'ont pas encore trouvé le vecteur d'infection par contre (mais si c'est une pièce jointe ou une clé USB, je ne donne pas cher de la carrière du fautif...).

Frédéric BISSON a réalisé une présentation de la cyberattaque du CHY de Rouen :

(cliquez sur la miniature ci-dessous - le document est au format PDF)



Les dernières pages de sa présentation sont u bon résumé :










(Source: https://zigazou.dev/ @zigazou)