Newsletter:
En octobre 2020, un groupe de pirates informatiques a fait la UNE des journaux en tentant de faire chanter des dizaines de milliers de citoyens finlandais après avoir hacké leurs dossiers médicaux. Dans le même temps, le FBI a alerté que les hôpitaux et autres organisations de santé allaient devoir faire face à des attaques similaires russes. La COVID-19 n'est donc pas la seule préoccupation des organisations de soins qui se débattent déjà avec des capacités limitées.
Le FBI et l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ont publié en octobre 2020 un bulletin mettant en garde les hôpitaux et autres établissements de santé contre des attaques imminentes de ransomware à grande échelle par des groupes de pirates informatiques russes. Le FBI rapport indique que les agences gouvernementales disposent « d’informations crédibles concernant une menace croissante et imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ». Le FBI et la CISA partagent ces informations pour inciter les prestataires médicaux à prendre des mesures pour protéger leurs réseaux contre ces menaces.
Une source fiable a indiqué sur l’influent blog de cybersécurité KrebsOnSecurity, qu'une bande de cybercriminels russes agressifs se préparait à perturber les systèmes logiciels de centaines d'hôpitaux, de cliniques et d'établissements de soins médicaux à travers les États-Unis.
« 400 hôpitaux américains concernés »
L’informateur de KrebsOnSecurity a déclaré avoir surpris des communications en ligne entre des cybercriminels affiliés à un groupe de hackers russophones connu sous le nom de Ryuk. Les membres échangeaient entre eux pour établir la manière dont ils projetaient de déployer un ransomware dans plus de 400 établissements de santé aux États-Unis. Des menaces sérieuses puisque le logiciel élaboré de Ryuk peut dormir plusieurs années dans les systèmes informatiques des hôpitaux avant d’être activé. Selon le FBI, les pirates informatiques affinent leur malware Trickbot depuis 2016 pour augmenter « sa facilité d’usage, sa vitesse et sa rentabilité ».
Ryuk et les groupes apparentés utilisent une approche unique pour chaque victime. Une façon de procédé méthodique qui rend plus difficile de détecter les systèmes infectés avec une simple analyse des caractéristiques générales. En cas d’infection réussie, le gang modifie les fichiers Windows sans laisser de trace et prend la main sur certains des systèmes hospitaliers qui peuvent être contrôlées par les serveurs de « commande et contrôle ». Cette fonction leur permet, entre autres, de voler des données dans les systèmes de manière cryptée.
Charles Carmakal, directeur de la société de sécurité Mandiant, a déclaré à l'agence de presse Reuters que le gang contre lequel le FBI met en garde est l'un des plus « brutaux, insensibles et perturbateurs » qu'il ait vu dans sa carrière. D’après lui, plusieurs hôpitaux ont été significativement affectés par le ransomware Ryuk et leurs réseaux ont été mis hors ligne. La chaîne 7 News de WWNY à New York a déjà rapporté qu'une attaque par ransomware de Ryuk contre le St. Lawrence Health System a entraîné des problèmes dans trois hôpitaux affiliés.
Le problème n'est pas nouveau, mais de plus en plus menaçant
Ces vagues d’attaques ne sont pas des phénomènes nouveaux. De nombreux établissements de soins de santé dans le monde entier ont été victimes de cybercriminels à grande échelle ces dernières années, et notamment durant la pandémie. « Les hôpitaux néerlandais sont vulnérables aux cyberattaques, a rapporté la NOS en 2017. Au moins quinze établissements du pays ont déjà été confrontés à des piratages organisés au cours des trois dernières années. Dans un centre de soin, ce ne sont pas moins de 75 ordinateurs qui ont été infectés, a révélé NOS dans une enquête menée auprès de vingt-cinq hôpitaux. Depuis 2017, les groupes de hackers sont de plus en plus actifs et efficaces. Ils sont de mieux en mieux préparés et leurs piratages sont très méticuleux.
Divulguer des séances de thérapie
Les groupes de hackers ne se contentent plus de verrouiller les systèmes à l'aide de logiciels de ransomware. Ils menacent désormais de rendre publiques des données sensibles sur Internet. En Finlande, un pirate informatique a fait grand bruit l’année dernière en faisant chanter des dizaines de milliers de citoyens finlandais après avoir eu accès à leurs dossiers médicaux qui contenaient les retranscriptions audios de leurs séances de thérapie. Plus de 40 000 patients ayant consulté dans l’un des centres de psychothérapie de Vastaamo étaient concernés !
Les victimes ont toutes reçu un e-mail dans lequel le pirate leur donnait 24 heures pour payer 200 euros en bitcoin. Une fois ce délai passé, la rançon exigée passait à 500 euros avec 48 heures pour effectuer la transaction. S'ils refusaient de payer, leurs coordonnées, y compris l'adresse de leur domicile, leur numéro de téléphone et les retranscriptions des séances de thérapie, seraient publiées en ligne. Les messages envoyés faisaient référence au numéro de sécurité sociale unique des victimes. Selon Mikko Hyppönen, responsable de la recherche au sein de la société finlandaise de cybersécurité F-Secure, il s'agit d'un nouveau type d'attaque assez inhabituel, même à l'échelle mondiale.
Le Premier ministre finlandais Sanna Marin a déclaré à l’époque que le ministère finlandais des Affaires sociales et de la Santé, en collaboration avec d'autres ministères, ont coordonné le soutien aux victimes du piratage.
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !