L’été 2020 aura vraiment été meurtrier pour les ransomwares. Une attaque menée probablement par erreur sur l’hôpital de Düsseldorf a provoqué la mort d’une patiente. Cette dernière n’a pas pu être traitée en urgence dans l’établissement de santé, car les données étaient bloquées. Elle a donc été réorientée vers un hôpital d’une autre ville (Wupertal en l’occurrence) à une trentaine de kilomètres, mais trop tard.

L’affaire débute le 10 septembre dernier, l’University Hospital Düsseldorf (UKD), subit une attaque par ransomware. Pour entrer dans le réseau, les attaquants ont visé « un add-on commercial largement utilisé » souligne l’établissement. Le BSI (équivalent de l’ANSSI) précise que les pirates se sont servis de la vulnérabilité CVE-2019-19781 sur l’ADC Citrix. Cette faille est connue depuis janvier 2020 et elle est une des préférées par les gangs de ransomware.

Une erreur de cible fatale

Une enquête a rapidement été menée par les autorités et le ministère de la Justice du land de Rhénanie du Nord-Westphalie. Selon l’agence de presse dpa, un rapport de ce dernier montre que 30 serveurs de l’hôpital ont été chiffrés et qu’un message de demande de rançon avait été laissé sur l’un des serveurs. Problème, le message était adressé à l’Université Heinrich Heine, affiliée à l’hôpital de Dusseldorf, mais pas à l’établissement de santé directement.

La police de Düsseldorf a alors établi le contact et a dit aux auteurs que c'était l'hôpital, et non l'université, qui avait été touché, mettant ainsi les patients en danger. Les attaquants ont alors retiré la tentative d'extorsion et ont fourni une clé numérique pour décrypter les données. Une erreur qui aura coûté une vie. La justice allemande continue l’enquête pour savoir si cette attaque doit être considérée comme un homicide par négligence.