Entre Ngrok et Pinggy, pas de jaloux : les attaquants qui s’en sont pris au centre hospitalier Stell de Rueil-Malmaison ont exploité l’un et l’autre de ces services de tunneling.
C’était en mars dernier. Au bout, le déploiement d’un ransomware qui avait chiffré des serveurs Windows. La gestion administrative des patients, entre autres, s’en était trouvée indisponible pendant un temps. Des données personnelles ont par ailleurs possiblement été exfiltrées.
Un compte de test admin de domaine
Le point d’entrée fut un ancien compte de test, réactivé le 4 mars 2025 pour un audit Wi-Fi. Ce compte au mot de passe faible avait des privilèges d’admin de domaine et disposait d’un accès VPN.
L’accès initial, via ce vecteur, a lieu le 17 mars (un lundi). Le 22, une latéralisation est mise en œuvre par connexion RDP sur le contrôleur de domaine. Un mécanisme de persistance est ensuite déployé, en ajoutant Pinggy pour établir une connexion SSH sur le port 443.
Vendredi 28 mars, un canal est mis en place entre le contrôleur de domaine et le serveur de l’attaquant grâce à Ngrok. Le même jour, le ransomware est déployé et exécuté. Le lendemain, les traces de l’attaque sur les systèmes sont supprimées.
Le CH de Rueil-Malmaison passe au tiering AD
Le chiffrement n’est constaté que lundi 31 mars. À partir de là, les flux VPN sont coupés ; les serveurs impactés, isolés. Le lendemain, les sauvegardes sont mises hors réseau en vérifiant leur intégrité. L’ANSSI et le CERT Santé se déplacent sur site.
Le 2 avril, l’analyse des serveurs compromis démarre. Et du matériel (postes, clés 4G…) est demandé à l’ARS.
La reconstruction AD débute le 7, parallèlement à la fin des analyses. Le 10, la bascule est achevée. Le service de sauvegarde est relancé, les services métiers impactés sont restaurés et une formation d’administration sécurisée est dispensée.
La période d’avril-mai est marquée par le rétablissement progressif des services RH et d’admission, ainsi que le déploiement de nouveaux postes. Entre juin et septembre, un modèle par niveaux de privilège est mis en place pour l’AD.
Aleksey Volkov plaide coupable pour son rôle dans les attaques Yanluowang. Enquête sur le marché noir des accès initiaux et la désinformation dans le cybercrime....
Un membre présumé de Conti extradé d’Irlande comparaît aux États-Unis, illustrant la coopération mondiale contre les groupes de rançongiciels liés à la Russie....
Pour détecter les ransomwares, il y aura bientôt… l’application Google Drive.
La fonctionnalité sera déployée en bêta sur la version de bureau (Windows, Mac) à partir de mi-octobre. Elle sera accessible avec les abonnements Google Workspace suivants :
Business Standard et Plus (pas le forfait Starter)
Entreprise Starter, Standard et Plus
Education Standard et Plus (pas le forfait Fundamentals)
Frontline Standard et Plus (pas le forfait Starter)
La détection interviendra au moment de la synchronisation de fichiers vers le cloud. Un modèle d’apprentissage automatique distant, entraîné sur des échantillons de ransomwares, recherchera les traces de modifications suspectes. S’il en détecte, il bloquera la synchronisation et alertera à la fois l’utilisateur (e-mail + notification de bureau) et l’admin (e-mail + alerte dans le centre d’administration).
L’ensemble n’empêche donc pas tant les infections que la propagation. Il intervient en second rempart après les antivirus.
Les fonctionnalités admin déjà en cours de déploiement
En complément arrive, également en bêta, une fonctionnalité de restauration massive de fichiers. Elle est disponible sur tous les abonnements Google Workspace – y compris individuels – ainsi que pour les comptes Google personnels.
Avoir la dernière version de l’application Google Drive (actuellement, la v114) est nécessaire pour permettre l’affichage des alertes.
L’ensemble sera activé par défaut et réglable au niveau des unités organisationnelles. Le déploiement des outils dans la console d’admin a démarré le 30 septembre sur les domaines à lancement rapide et à lancement planifié.
Une évacuation samedi à Dublin après une alerte à la bombe, des fermetures lundi à Oslo et Copenhague pour survol de drones… Ces derniers jours auront été mouvementés pour les aéroports de par l’Europe.
À cela s’est ajoutée une cyberattaque. Pas directement contre eux, mais contre le fournisseur d’un logiciel d’enregistrement des passagers et des bagages. Les premiers symptômes ont été constatés vendredi dans la soirée. La situation n’est pas encore pleinement revenue à la normale.
Un logiciel américain répandu dans les aéroports européens
Le logiciel en question s’appelle MUSE (Multi-User Systems Environment). Il est fourni par Collins Aerospace, filiale de RTX (ex-Raytheon Technologies), un géant de l’aérospatiale et de la défense*.
Déployé dans « plus de 100 aéroports » et utilisé par « plus de 300 compagnies aériennes », MUSE est, dans le jargon, un CUPPS (common-use passenger processing system). Il permet de mutualiser comptoirs d’enregistrement et portes d’embarquement. Plusieurs modules le composent : SelfServ pour l’enregistrement en self-service, SelfPass pour l’identification biométrique, SmartBag pour le suivi des bagages, AirVue pour la gestion des panneaux d’information, etc.). Le déploiement sur site reste possible, mais Collins Aerospace met généreusement en avant la « nouvelle génération » de MUSE, hébergée chez AWS.
Avec les déploiements cloud, l’interconnexion se fait grâce au service WAN AviNet, qui repose sur le réseau d’ARINC. Cette entreprise est le fournisseur historique – depuis près d’un siècle – des infrastructures de communication des aéroports. Elle fut détenue par les principales compagnies aériennes et divers constructeurs aéronautiques américains. Son activité communications (elle éditait par ailleurs des normes dans le domaine de l’avionique) fut vendue à Carlyle Group en 2007. Avant de tomber, en 2013, dans le giron de Rockwell Collins, qui allait lui-même fusionner en 2018 avec United Technologies pour donner naissance à Collins Aerospace.
Un ransomware au bout du compte
Ce réseau semble avoir été infiltré. Les attaquants sont possiblement remontés jusqu’à des contrôleurs de domaines dans l’environnement Windows de Collins Aerospace. Au bout de la chaîne, un ransomware a pu être diffusé, selon l’ENISA.
Lundi, Collins Aerospace a affirmé que le processus de reconstruction des systèmes impactés touchait à sa fin. Dans la même journée, on a appris qu’après une tentative de restauration à partir d’une sauvegarde, la menace avait persisté.
À Londres-Heathrow, plus d’un millier de terminaux auraient été corrompus, une restauration à distance n’étant pas envisageable pour la plupart. Sur place, Collins Aerospace a recommandé aux compagnies aériennes de ne pas éteindre de systèmes ni de se déconnecter des logiciels. La majorité des vols du dimanche et du lundi ont été maintenus, mais des compagnies enregistrent encore manuellement passagers et bagages.
Work continues to resolve and recover from the outage of a Collins Aerospace airline system that impacted check-in. We apologise to those who have faced delays, but by working together with airlines, the vast majority of flights have continued to operate.
Du côté de Berlin-Brandebourg, on a annoncé, pour dimanche, des retards « typiques d’une journée classique ». Lundi, l’aéroport s’est fécilité de perturbations restées « dans les limites acceptables » vu les circonstances et l’afflux lié au marathon de Berlin. Dans la soirée, il a évoqué une situation « stabilisée », mais la possibilité de temps d’attente allongés.
Der Betrieb am #BER läuft weitgehend stabil, dank des großen Einsatzes unserer Teams und Partner. Heute erhöhtes Passagieraufkommen – längere Wartezeiten möglich. Online-Check-in nutzen Self-Service-Automaten verwenden Fast-Bag-Drop für Gepäck
D’après les données d’Eurocontrol, 70 % des vols au départ de Berlin ont eu plus de 15 minutes de retard lundi. Le taux fut de 85 % à Bruxelles, où, de plus, 63 vols furent annulés (40 au départ, 23 à l’arrivée).
Limited disruption expected on 22 and 23 September, causing some flight delays and cancellations. Check the status of your flight before coming to the airport. More information on our website: https://t.co/CGtagAiP9Jpic.twitter.com/P0Z9Dec8Rd
Dimanche à la mi-journée, 13 vols avaient été annulés à l’aéroport de Dublin. Qui appelait les voyageurs à « prévoir du temps supplémentaires » en cas de bagages à enregistrer.
Passenger Update – Monday @ 07.15
The Dublin Airport team is continuing to support airlines today (Monday) as they manage ongoing disruption from a technical issue that is affecting check-in and boarding systems at several airports in Europe.
* Collins Aerospace a 4 sites en France, à Antony (Hauts-de-Seine ; systèmes antifeu pour hélicoptères), Blagnac (Garonne ; avionique pour hélicoptères civils), Figeac (Lot ; hélices) et Saint-Ouen-l’Aumône (Val-d’Oise ; actionneurs de vol et treuils pour hélicoptères et avions de transport militaires).
Une évacuation samedi à Dublin après une alerte à la bombe, des fermetures lundi à Oslo et Copenhague pour survol de drones… Ces derniers jours auront été mouvementés pour les aéroports de par l’Europe.
À cela s’est ajoutée une cyberattaque. Pas directement contre eux, mais contre le fournisseur d’un logiciel d’enregistrement des passagers et des bagages. Les premiers symptômes ont été constatés vendredi dans la soirée. La situation n’est pas encore pleinement revenue à la normale.
Un logiciel américain répandu dans les aéroports européens
Le logiciel en question s’appelle MUSE (Multi-User Systems Environment). Il est fourni par Collins Aerospace, filiale de RTX (ex-Raytheon Technologies), un géant de l’aérospatiale et de la défense*.
Déployé dans « plus de 100 aéroports » et utilisé par « plus de 300 compagnies aériennes », MUSE est, dans le jargon, un CUPPS (common-use passenger processing system). Il permet de mutualiser comptoirs d’enregistrement et portes d’embarquement. Plusieurs modules le composent : SelfServ pour l’enregistrement en self-service, SelfPass pour l’identification biométrique, SmartBag pour le suivi des bagages, AirVue pour la gestion des panneaux d’information, etc.). Le déploiement sur site reste possible, mais Collins Aerospace met généreusement en avant la « nouvelle génération » de MUSE, hébergée chez AWS.
Avec les déploiements cloud, l’interconnexion se fait grâce au service WAN AviNet, qui repose sur le réseau d’ARINC. Cette entreprise est le fournisseur historique – depuis près d’un siècle – des infrastructures de communication des aéroports. Elle fut détenue par les principales compagnies aériennes et divers constructeurs aéronautiques américains. Son activité communications (elle éditait par ailleurs des normes dans le domaine de l’avionique) fut vendue à Carlyle Group en 2007. Avant de tomber, en 2013, dans le giron de Rockwell Collins, qui allait lui-même fusionner en 2018 avec United Technologies pour donner naissance à Collins Aerospace.
Un ransomware au bout du compte
Ce réseau semble avoir été infiltré. Les attaquants sont possiblement remontés jusqu’à des contrôleurs de domaines dans l’environnement Windows de Collins Aerospace. Au bout de la chaîne, un ransomware a pu être diffusé, selon l’ENISA.
Lundi, Collins Aerospace a affirmé que le processus de reconstruction des systèmes impactés touchait à sa fin. Dans la même journée, on a appris qu’après une tentative de restauration à partir d’une sauvegarde, la menace avait persisté.
À Londres-Heathrow, plus d’un millier de terminaux auraient été corrompus, une restauration à distance n’étant pas envisageable pour la plupart. Sur place, Collins Aerospace a recommandé aux compagnies aériennes de ne pas éteindre de systèmes ni de se déconnecter des logiciels. La majorité des vols du dimanche et du lundi ont été maintenus, mais des compagnies enregistrent encore manuellement passagers et bagages.
Work continues to resolve and recover from the outage of a Collins Aerospace airline system that impacted check-in. We apologise to those who have faced delays, but by working together with airlines, the vast majority of flights have continued to operate.
Du côté de Berlin-Brandebourg, on a annoncé, pour dimanche, des retards « typiques d’une journée classique ». Lundi, l’aéroport s’est fécilité de perturbations restées « dans les limites acceptables » vu les circonstances et l’afflux lié au marathon de Berlin. Dans la soirée, il a évoqué une situation « stabilisée », mais la possibilité de temps d’attente allongés.
Der Betrieb am #BER läuft weitgehend stabil, dank des großen Einsatzes unserer Teams und Partner. Heute erhöhtes Passagieraufkommen – längere Wartezeiten möglich. 👉 Online-Check-in nutzen 👉 Self-Service-Automaten verwenden 👉 Fast-Bag-Drop für Gepäck
D’après les données d’Eurocontrol, 70 % des vols au départ de Berlin ont eu plus de 15 minutes de retard lundi. Le taux fut de 85 % à Bruxelles, où, de plus, 63 vols furent annulés (40 au départ, 23 à l’arrivée).
Limited disruption expected on 22 and 23 September, causing some flight delays and cancellations. Check the status of your flight before coming to the airport. More information on our website: https://t.co/CGtagAiP9Jpic.twitter.com/P0Z9Dec8Rd
Dimanche à la mi-journée, 13 vols avaient été annulés à l’aéroport de Dublin. Qui appelait les voyageurs à « prévoir du temps supplémentaires » en cas de bagages à enregistrer.
Passenger Update – Monday @ 07.15
The Dublin Airport team is continuing to support airlines today (Monday) as they manage ongoing disruption from a technical issue that is affecting check-in and boarding systems at several airports in Europe.
* Collins Aerospace a 4 sites en France, à Antony (Hauts-de-Seine ; systèmes antifeu pour hélicoptères), Blagnac (Garonne ; avionique pour hélicoptères civils), Figeac (Lot ; hélices) et Saint-Ouen-l’Aumône (Val-d’Oise ; actionneurs de vol et treuils pour hélicoptères et avions de transport militaires).
Mais siiiii, cette saloperie de malware qui a paralysé la planète en 2017 et qui s’est révélée être en fait un programme destructeur déguisé en ransomware. Eh bien, tenez-vous bien :
selon les équipes d’ESET
, un petit nouveau vient d’arriver sur la scène, et il s’appelle HybridPetya. Et ce petit gars a appris des nouveaux tours que son grand-père NotPetya ne maîtrisait pas à l’époque.
Martin Smolár, le chercheur d’ESET qui a découvert cette petite merveille, explique que HybridPetya combine le pire des deux mondes : les capacités destructrices de NotPetya ET la récupération possible des données de Petya. Mais surtout, et c’est là que ça devient technique, ce truc est capable de contourner Secure Boot sur les systèmes UEFI.
Pour ceux qui auraient oublié l’enfer de 2017, je vous fais un petit rappel historique. Petya, c’était le ransomware “gentil” qui chiffrait vos données mais vous permettait théoriquement de les récupérer si vous payiez la rançon. NotPetya, son cousin maléfique, c’était le faux ransomware qui détruisait tout sur son passage. Cette saloperie a causé plus de 10 milliards de dollars de dégâts dans le monde, principalement en Ukraine où elle a été initialement déployée via une mise à jour piégée du logiciel de comptabilité M.E.Doc.
Maintenant, là où HybridPetya innove, c’est qu’il récupère le meilleur (ou le pire, selon le point de vue) des deux. Il peut détruire comme NotPetya, mais aussi permettre la récupération des données comme Petya. Une sorte de ransomware à géométrie variable, quoi.
Sauf que ce n’est pas le plus inquiétant…
Le truc vraiment flippant avec HybridPetya, c’est sa capacité à s’installer directement dans le firmware UEFI de votre machine. Pour les non-initiés, UEFI c’est le système qui s’occupe du démarrage de votre ordinateur, avant même que Windows ne se réveille. En gros, si un malware réussit à s’installer là-dedans, il survit à tout : formatage du disque dur, réinstallation complète du système, et même changement de disque dur. C’est un niveau persistance maximale.
Alors, comment il fait ça, ce HybridPetya ? Eh bien, il utilise deux méthodes d’attaque. La première, c’est l’installation directe de charges utiles malveillantes sur la partition système EFI. Une fois là-dedans, il chiffre la Master File Table (MFT) de votre système NTFS, ce qui rend tous vos fichiers complètement inaccessibles. Et surtout, il sait exploiter
la vulnérabilité CVE-2024-7344
pour contourner Secure Boot.
Cette faille, découverte également par les équipes d’ESET, se trouve dans l’application Howyar Reloader UEFI. En gros, cette application, qui est normalement signée par Microsoft et donc considérée comme fiable, contient une vulnérabilité qui permet de charger du code non-signé pendant le processus de démarrage. C’est comme si vous donniez les clés de votre maison à quelqu’un en lui disant “tu peux faire rentrer qui tu veux, je te fais confiance”.
Après pas de panique les amis, car il faut préciser que pour l’instant, HybridPetya n’a été repéré que sur VirusTotal, la plateforme d’analyse de malwares. Aucune autre infection dans la nature n’a été détectée par les télémétries d’ESET. Il s’agit donc probablement d’un proof-of-concept développé par un chercheur en sécurité ou un groupe de hackers pour démontrer que c’était possible. Mais le fait que ça existe, ça veut surtout dire que d’autres peuvent s’en inspirer.
Toutefois, HybridPetya rejoint désormais un club très fermé car il est maintenant le quatrième malware connu capable de contourner UEFI Secure Boot, après BlackLotus (qui exploite
CVE-2022-21894
),
Bootkitty
(qui cible Linux), et le PoC Hyper-V Backdoor. Comme le souligne Martin Smolár : “Cela montre que les contournements de Secure Boot ne sont pas seulement possibles… ils deviennent plus courants et attractifs pour les chercheurs comme pour les attaquants”.
BlackLotus, pour rappel, c’était déjà du lourd.
Découvert en 2023
, ce malware était vendu 5 000 dollars sur le dark web et était capable de tourner sur des systèmes Windows 11 entièrement à jour avec Secure Boot activé. Il pouvait désactiver BitLocker, HVCI, et Windows Defender, et installer des pilotes malveillants au niveau kernel. Du grand art, dans le mauvais sens du terme.
Maintenant concrètement, comment on se protège contre ce genre de menaces ? Parce que bon, c’est bien beau de faire peur aux gens, mais il faut aussi donner les solutions.
Et bien première chose, maintenez vos systèmes à jour. Microsoft a corrigé la vulnérabilité CVE-2024-7344 dans le Patch Tuesday de janvier 2025 donc si vous avez appliqué cette mise à jour ou une version ultérieure, vous êtes protégés contre HybridPetya. C’est la base, mais c’est crucial.
Deuxième chose, activez et configurez correctement UEFI Secure Boot. Même si des contournements existent, Secure Boot reste une barrière importante. Assurez-vous qu’il soit activé et que vos listes de révocation soient à jour. Microsoft révoque régulièrement les certificats compromis, et ces révocations sont normalement appliquées automatiquement sur Windows.
Troisième conseil, surveillez votre partition système EFI.
Selon les recommandations de CISA
, les équipes de sécurité devraient être capables d’auditer, gérer et mettre à jour les composants UEFI, et surveiller les logs d’activité UEFI pour détecter toute modification suspecte. Utilisez des solutions de sécurité capables de détecter les modifications au niveau UEFI… Certains antivirus modernes incluent des fonctionnalités de protection du firmware. Ce n’est pas infaillible, mais ça ajoute une couche de protection. En gros, il faut traiter ce firmware comme n’importe quel autre logiciel avec une surveillance et des mises à jour régulières.
Quatrième point, et c’est important, limitez les privilèges administrateur. Pour déployer HybridPetya, il faut des droits d’administrateur local sur Windows ou root sur Linux pour accéder à la partition système EFI. Moins il y a d’utilisateurs avec ces privilèges, mieux c’est.
Et puis, il y a les bonnes pratiques classiques qui restent valables telles que les sauvegardes régulières (et déconnectées !), la formation des utilisateurs, de la surveillance réseau, et une restriction des droits d’accès. Parce qu’au final, même le malware le plus sophistiqué a besoin d’un vecteur d’infection initial.
Quoiqu’il en soit, ces bootkits UEFI représentent une escalade significative dans la sophistication des malwares car ils opèrent à un niveau si bas qu’ils sont extrêmement difficiles à détecter et à supprimer pour les solutions de sécurité traditionnelles.
C’est intéressant également de noter que HybridPetya ne semble pas avoir les capacités de propagation réseau agressives du NotPetya original. Rappelez-vous, NotPetya utilisait l’exploit EternalBlue (développé initialement par la NSA) pour se propager de machine en machine sur les réseaux et c’est cette capacité de ver informatique qui avait permis à NotPetya de causer autant de dégâts en si peu de temps.
De son côté HybridPetya semble plus axé sur la persistance que sur la propagation massive. C’est probablement un choix tactique car plutôt que de faire du bruit et d’alerter tout le monde, mieux vaut s’installer discrètement et durablement sur les systèmes ciblés.
Depuis quelques années, les groupes APT (Advanced Persistent Threat) privilégient de plus en plus la furtivité et la persistance plutôt que l’impact immédiat visible, car un malware qui survit silencieusement pendant des mois ou des années peut collecter bien plus d’informations sensibles qu’un ransomware qui chiffre tout en quelques heures.
Bref, gardez vos systèmes à jour, surveillez vos logs, et surtout, ne sous-estimez jamais l’ingéniosité des types qui passent leurs journées à trouver des moyens créatifs de péter vos systèmes….
Connexion
