2 pièce(s) jointe(s)
Après avoir infecté un hôpital avec un ransomware, les pirates menacent de s'en prendre aux patients
Une patiente atteinte d'un cancer poursuit un hôpital
après qu'un gang de rançongiciels a divulgué ses photos de visites médicales nues
Une patiente atteinte d'un cancer dont les photos nues et les dossiers médicaux ont été publiés en ligne après avoir été volés par un gang de rançongiciels, a poursuivi son fournisseur de soins de santé pour avoir permis cette fuite « évitable » et « gravement dommageable ».
Le recours collectif proposé découle d'une intrusion en février au cours de laquelle l'équipe de logiciels malveillants BlackCat (également connu sous le nom d'ALPHV) a fait irruption dans l'un des réseaux de médecins du Lehigh Valley Health Network (LVHN), a volé des images de patients subissant un traitement de radio-oncologie ainsi que d'autres dossiers de soins de santé sensibles appartenant à plus de 75 000 personnes, puis a exigé le paiement d'une rançon pour déchiffrer les fichiers et l'empêcher de publier les données de santé en ligne. LVHN a refusé de payer la rançon, et plus tôt ce mois-ci, BlackCat a commencé à divulguer des informations sur les patients, y compris des images d'au moins deux patientes atteintes d'un cancer du sein, nues à partir de la taille.
Dans ce que l'on pense être une première, le gang de rançongiciels BlackCat a publié des images nues de patients qui ont été volés lors de l'une de ses attaques contre un organisme de santé dans le but de faire pression sur la victime pour contraindre l'organisme à payer la rançon. Lehigh Valley Health Network (LVHN) avait alors annoncé qu'il faisait face à une attaque de ransomware qui a été détectée le 6 février 2023. Le groupe de soins de santé de Pennsylvanie, l'un des plus importants de l'État américain, supervise 13 hôpitaux, 28 centres de santé et des dizaines d'autres cliniques médicales, pharmacies, centres de réadaptation, services d'imagerie et de laboratoire.
LVHN a confirmé que le groupe de ransomware BlackCat était derrière l'attaque et avait émis une demande de rançon, dont le paiement verrait les clés de déchiffrement fournies et empêcherait la divulgation des données volées lors de l'attaque. Brian A. Nester, président et chef de la direction de LVHN, a confirmé que LVHN avait refusé de payer la rançon et que les opérations n'avaient pas été affectées.
Nester a déclaré que l'attaque concernait le réseau soutenant un cabinet médical dans le comté de Lackawanna et que le système informatique impliqué stockait des images de patients cliniquement appropriées pour le traitement par radio-oncologie et d'autres informations sensibles sur les patients. « Des attaques comme celle-ci sont répréhensibles et nous consacrons les ressources appropriées pour répondre à cet incident », a déclaré Nester.
Dans une tentative de faire pression sur LVHN pour qu'il paie la rançon, BlackCat a commencé à divulguer certaines des données volées sur son site de fuite de données. Alors que les fuites de données sont désormais courantes lorsque les victimes d'attaques de rançongiciels refusent de payer la rançon, BlackCat est allé plus loin et a publié des images de patients volées lors de l'attaque. Des images de trois patientes atteintes d'un cancer du sein, nues à partir de la taille, ont été publiées sur le site de fuite de données, ainsi que des captures d'écran des données des patientes montrant les diagnostics. « Cet acte criminel inadmissible profite des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement méprisable », a déclaré le porte-parole de LVHN, Brian Downs.
« Cet acte criminel inadmissible tire profit des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement méprisable », a déclaré à l'époque le porte-parole de LVHN, Brian Downs.
La plainte
Selon la plainte déposée cette semaine, voici comment l'une des patientes, identifiée comme « Jane Doe » (Madame X en français), a découvert la violation de données (mais aussi que LVHN avait stocké des images nues d'elle sur son réseau en premier lieu).
Le 6 mars, la vice-présidente de la conformité de LVHN, Mary Ann LaRock, a appelé Doe et lui a dit que ses photos nues avaient été publiées sur le site de fuite des pirates. « Mme LaRock a présenté au plaignant des excuses et, avec un petit rire, deux ans de surveillance du crédit », indiquent les documents judiciaires.
En plus de récupérer les photos très sensibles, les escrocs ont également emporté tout le nécessaire pour une usurpation d'identité.
Selon la plainte, LaRock a également déclaré à Doe que ses adresses physique et électronique, ainsi que sa date de naissance, son numéro de sécurité sociale, son fournisseur d'assurance maladie, ses diagnostics médicaux et ses informations sur le traitement, ainsi que les résultats de laboratoire, avaient également probablement été volés lors de la violation.
« Étant donné que LVHN stocke et stockait les informations sensibles du demandeur et du recours, y compris des photographies nues du demandeur recevant un traitement sensible contre le cancer, LVHN savait ou aurait dû savoir du risque grave et des dommages pouvant résulter d'une violation de données », indique la plainte. Elle affirme que LVHN a fait preuve de négligence dans son devoir de protéger les informations sensibles des patients et demande le statut de recours collectif pour tous ceux dont les données ont été exposées avec des dommages-intérêts à déterminer.
L'avocat de Pennsylvanie Patrick Howard, qui représente Doe et le reste des plaignants dans le recours collectif proposé, a déclaré qu'il s'attend à ce que le nombre de patients touchés par la violation se situe dans les « centaines, voire des milliers ».
« L'hôpital invite les patients dans son établissement et prend possession de ces données », a déclaré Howard. « L'hôpital doit s'assurer que les données qu'il prend sont correctement sauvegardées, y compris ces photographies très sensibles. Vous attendez la sûreté et la sécurité, si vous agissez par négligence en assurant cette sûreté/sécurité, vous pouvez être tenu responsable quelle que soit la conduite d'une tierce partie ».
Selon les avocats, il s'agit de la deuxième violation de données affectant les patients du groupe de soins de santé de Pennsylvanie au cours des dernières années. En 2021, LVHN a admis que les informations personnelles des patients avaient été volées à l'un de ses fournisseurs.
Les organisations du secteur de la santé et de la santé publique activement ciblées
Le Département de la Santé et des Services sociaux des États-Unis a publié un avis de sécurité concernant le groupe de rançongiciels Blackcat qui cible activement les organisations du secteur de la santé et de la santé publique et a averti que le groupe se livrait à des tactiques agressives de triple extorsion. Alors que de nombreux groupes de rançongiciels utilisent une double extorsion impliquant le vol de données et des menaces pour divulguer des données volées en plus du chiffrement de fichiers, BlackCat utilise une troisième tactique : menacer de mener des attaques par déni de service distribué (DDoS) sur les victimes jusqu'à ce qu'elles paient.
BlackCat n'est pas le seul gang de rançongiciels à essayer de nouvelles tactiques pour faire payer les victimes. Le gang de rançongiciels Medusa a récemment attaqué le district des écoles publiques de Minneapolis (MPS), a volé des données sensibles, puis a chiffré les fichiers. Lorsque le paiement n'a pas été effectué, MPS a été ajouté au site de fuite de données du groupe et une menace a été émise pour publier l'ensemble des données volées lors de l'attaque. Le groupe a émis une demande de rançon de 1 million de dollars, le site de fuite de données offrant également les données volées à toute personne disposée à payer le même montant. Dans une nouvelle tournure, le groupe a également publié une vidéo montrant les données volées lors de l'attaque. La vidéo, d'une durée de 51 minutes, a été ajoutée comme preuve de l'étendue des données exfiltrées des systèmes de MPS.
Les gangs de rançongiciels ont dû adopter des tactiques plus agressives, car moins de victimes paient des demandes de rançon. Selon Coveware, au quatrième trimestre 2022, seulement 37 % des victimes ont payé une rançon suite à une attaque de ransomware, contre 76 % des victimes en 2019. Coveware affirme que plusieurs facteurs entraînent la réduction de la rentabilité des attaques de ransomware. Un investissement accru dans la planification de la sécurité et de la réponse aux incidents signifie que les organisations sont mieux préparées aux attaques et sont moins susceptibles de subir un impact matériel d'une attaque réussie. Le FBI et d'autres organismes chargés de l'application de la loi poursuivent toujours les auteurs de ces attaques, mais ils consacrent également davantage de ressources à aider les victimes à se rétablir. Coveware souligne également qu'à mesure que les revenus baissent, les coûts d'exploitation pour mener des attaques augmentent, ce qui signifie que moins d'acteurs de ransomwares peuvent vivre de la distribution de ransomwares et même les grands groupes de ransomwares en ressentent les effets, d'où la nécessité d'adopter de nouvelles tactiques pour faire pression sur les victimes et les contraindre à payer, améliorant ainsi la rentabilité des attaques.
Source : plainte
Et vous ?
:fleche: En général, êtes-vous pour ou contre le paiement des rançons pour récupérer les fichiers et empêcher la divulgation des données sensibles ?
:fleche: Qu'en est-il de ce cas particulier ?
:fleche: Que pensez-vous de la plainte qui cible le fournisseur des soins de santé ?
:fleche: À la lumière du fait qu' il s'agit de la deuxième violation de données affectant les patients du groupe de soins de santé de Pennsylvanie au cours des dernières années et du fait que la patiente n'avait même pas idée du fait que ses photos étaient conservées sur le réseau du groupe, que pensez-vous ?
:fleche: La stratégie de la triple extorsion est-elle susceptible de porter plus des fruits selon vous ? Pourquoi ?
Après avoir infecté un hôpital avec un ransomware, les pirates menacent de s'en prendre aux patients
Après avoir infecté un hôpital de cancérologie avec un ransomware, les pirates menacent de s'en prendre aux patients
afin de forcer l'hôpital à payer la rançon
Des hôpitaux américains ont été victimes de cyberattaques ces derniers mois et les pirates ont volé des dossiers médicaux comportant les données sensibles des patients, dont des numéros de sécurité sociale, des diagnostics et des résultats de laboratoire. Les responsables de ces hôpitaux ont refusé de payer les rançons, mais les pirates auraient commencé à s'en prendre directement aux patients eux-mêmes. Selon les témoignages, ils menaceraient de lancer des alertes à la bombe ou d'autres fausses alertes à la police pour que des agents lourdement armés se présentent au domicile des patients si les centres médicaux ne paient pas les rançons qu'ils ont demandées.
Les pirates informatiques s'adonnent de plus en plus à des méthodes extrêmes et semblent prêts à tout pour toucher une rançon. De nombreux centres de santés sont confrontés depuis quelques mois à une série de cyberattaques au cours desquelles les cybercriminels exfiltrent les données sensibles des patients. Bien que ce type de cyberattaque ne soit pas nouveau, les pirates menacent désormais de s'en prendre directement aux patients après que les hôpitaux concernés ont refusé de payer les rançons demandées. Non seulement les hôpitaux sont devenus une cible de choix pour les pirates, mais les patients sont aussi exposés à des risques importants.
En novembre, des pirates se sont introduits dans le réseau informatique du Fred Hutchinson Cancer Center de Seattle, dans l'État de Washington, et ont volé des dossiers médicaux. Ces dossiers comprennent des informations telles que des numéros de sécurité sociale, des diagnostics et des résultats de laboratoire. Le centre de cancérologie gère plus de 10 cliniques dans la région du Puget Sound, dans l'État de Washington. Integris Health, un autre réseau de centres de santé de l'Oklahoma, qui gère 15 hôpitaux et 43 cliniques, a également informé ses patients qu'il a subi une cyberattaque et que les données personnelles ont peut-être été violées.
Dans les deux cas, Fred Hutchinson Cancer Center et Integris Health ont refusé de payer les rançons demandées par les pirates. Mais ces derniers menacent désormais de s'en prendre directement aux patients eux-mêmes. L'idée est, semble-t-il, qu'en assaillant les patients, ces derniers et la couverture médiatique de l'opération feront pression sur les hôpitaux pour qu'ils paient et mettent fin à l'extorsion. D'autres cybercriminels agissent de la même manière lorsqu'ils s'attaquent à des fournisseurs de services informatiques : ils ne se contentent pas d'extorquer les fournisseurs, ils menacent aussi les clients de ces fournisseurs ou les extorquent encore plus.
Fin décembre, le site DataBreaches affirmait avoir contacté l'une des personnes impliquées dans le piratage d'Integris Health. Cette personne aurait affirmé qu'Integris Health n'avait pas entamé de discussions ou de négociations avec les pirates, bien que le centre médical savait que les pirates avaient acquis les informations de santé des patients. « Ils savent exactement ce que nous avons pris pendant des mois », a déclaré le pirate, ajoutant qu'avant que les acteurs de la menace ne commencent à contacter les patients, Integris Health ne disait pas aux patients ce qui avait été exfiltré. Il aurait reconnu le piratage après les premières plaintes des patients.
« Ce n'est qu'après avoir commencé à contacter directement les patients qu'Integris Health a admis que des données de patients avaient été acquises. L'équipe a été un peu négligente, nous avons laissé des CSV pour qu'ils sachent, et nous leur avons dit dans de nombreux courriels exactement ce que nous avions acquis », affirme la personne. Cette dernière a reconnu que les pirates d'Integris Health collaborent avec le groupe de pirates Hunters International qui serait à l'origine du piratage du Fred Hutchinson Cancer Center en novembre. Lors de sa correspondance avec le pirate, DataBreaches lui a demandé : « vous êtes donc Hunters International ? ».
La réponse du contact serait : « nous travaillons avec eux », et il a été plus direct en disant : « je ne fais pas partie des Hunters ». Le pirate aurait ensuite ajouté que, contrairement à Integris Health, Fred Hutchinson Cancer Center a discuté avec eux depuis longtemps et qu'il ne s'agissait pas d'une simple manœuvre dilatoire. « Ils ont parlé », a répété le contact, ajoutant qu'ils "s'énervent quand nous menaçons d'envoyer la police chez les patients". La suite de la conversation a été comme suit :
« Des patients du Swat ? », répète DataBreaches.
« Swat », a répété le contact.
« Envisagez-vous sérieusement le swat ? », demande DataBreaches.
Leur réponse fut immédiate et quelque peu glaçante : « pourquoi pas ? »
« C'est un niveau supérieur de mal… swatting cancer patients », a répondu DataBreaches.
« Nous ne l'avons pas fait », ont-ils répondu.
Le swatting est l'action ou la pratique consistant à lancer un canular auprès des services d'urgence dans le but de provoquer l'envoi d'un grand nombre d'officiers de police armés à une adresse donnée. Les auteurs de ces fausses alertes pensent faire un canular, mais cela peut avoir des conséquences graves. Le swatting occupe les équipes d'intervention des forces de l'ordre, les rendant indisponibles pour répondre aux vraies urgences. Il y a même eu des incidents de swatting au cours desquels des agents des forces de l'ordre ont été abattus et, dans un cas, la victime du swatting a été abattue par les forces de l'ordre.
À l'époque, DataBreaches a déclaré qu'il ignorait si la menace des pirates d'envoyer des policiers armés chez les patients a effectivement été proférée. DataBreaches a contacté Fred Hutchinson Cancer Center pour savoir s'ils avaient négocié avec les acteurs de la menace et si la menace avait été proférée ou mentionnée, mais n'avait obtenu aucune réponse. Mais de nouveaux rapports sur le sujet suggèrent que les acteurs de la menace aient mis leurs menaces à exécution. Selon ces rapports, et les déclarations de certains patients et de personnes liées aux centres médicaux qui ont été victimes de piratage, les pirates ont commencé à contacter les patients.
« Le Fred Hutchinson Cancer Center a été informé que des cybercriminels avaient proféré des menaces de swatting et a immédiatement prévenu le FBI et la police de Seattle, qui a prévenu la police locale. Le FBI, dans le cadre de son enquête sur l'incident de cybersécurité, a également enquêté sur ces menaces », explique un porte-parole du centre médical. Certains patients d'Integris Health auraient déclaré avoir reçu des courriels de malfaiteurs menaçant de vendre leurs informations sur le dark Web. Certains experts craignent que la tentative d'extorsion directe des patients après une violation de données dans les hôpitaux devienne la "nouvelle norme".
« Alors que nous travaillons avec des spécialistes tiers pour enquêter sur cette affaire et déterminer l'étendue des données affectées et à qui elles se rapportent, nous fournissons ici les dernières informations aux patients et au public. Au fur et à mesure que nous confirmons les personnes concernées, nous les contactons pour les informer et les aider, notamment en leur donnant accès pendant 24 mois à des services gratuits de surveillance du crédit et de protection de l'identité. Notre enquête étant en cours, nous ne sommes pas en mesure de fournir des informations supplémentaires pour l'instant », a déclaré un porte-parole d'Integris Health à The Register.
Ce type de réponses passe-partout n'est peut-être pas aussi rassurant que le pensent certaines entreprises. Cette dernière menace de swatting soulève des questions inquiétantes quant à la frontière que les criminels sont prêts à franchir dans leur quête de butin. « Les rançons ont été autorisées à atteindre les niveaux du jackpot de la loterie, et le résultat prévisible est que les gens sont prêts à utiliser des mesures de plus en plus extrêmes pour obtenir un paiement », affirme Brett Callow, analyste des menaces chez l'entreprise de sécurité néo-zélandaise Emsisoft. La semaine dernière, l'entreprise a appelé à une interdiction totale des paiements de rançons.
Elle a déclaré que les tactiques d'extorsion devenaient de plus en plus extrêmes et incluaient désormais des menaces de swatting. « Malheureusement, je pense que ce n'est qu'une question de temps avant que les cybercriminels ne commencent à utiliser la violence du monde réel pour soutenir la cyberextorsion. En supposant qu'ils ne l'aient pas déjà fait », affirme Callow. D'un autre côté, Sam Rubin, vice-président de l'unité 42 Consulting chez Palo Alto Networks, a déclaré que son équipe n'avait pas vu de tentatives de swatting par des équipes d'extorsion en 2023, mais il a déclaré qu'il n'est pas surpris et que le changement de tactique semble probable.
« Je ne suis pas du tout surpris. Au cours des deux dernières années, nous avons assisté à une évolution constante des tactiques d'extorsion dans le cyberespace. Si l'on remonte dans le temps, il ne s'agissait que de chiffrement », a-t-il ajouté, à propos des rapports sur les patients cancéreux de Seattle susceptibles de recevoir ce type de menaces. Dans le même temps, les analystes affirment que les attaques de ransomware contre les infrastructures critiques, y compris les hôpitaux, sont de plus en plus fréquentes. Emsisoft a signalé 46 infections contre des réseaux hospitaliers américains rien que l'année dernière, contre 25 en 2022.
Au total, au moins 141 hôpitaux ont été infectés et au moins 32 des 46 réseaux se sont fait voler des données, y compris des informations de santé protégées. Il est déjà assez grave que ces attaques aient détourné des ambulances et reporté des soins critiques pour des patients, et maintenant les criminels infligent encore plus de souffrance aux gens. L'année dernière, ils ont notamment divulgué des nus de patientes atteintes d'un cancer du sein. Le swatting semble être la prochaine étape, bien que détestable. Selon les analystes, il s'agit d'une attaque critique dirigée contre des patients sans défense et qui comprend des risques pour le système médical.
Sources : Fred Hutchinson Cancer Center, Integris Health, DataBreaches
Et vous ?
:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous de l'augmentation du nombre de cyberattaques contre les hôpitaux ?
:fleche: Selon vous, qu'est-ce qui pourrait expliquer cela ? Ces réseaux critiques sont-ils mal protégés ?
:fleche: Que pensez-vous de la tactique qui consiste à menacer les patients pour faire pression sur les hôpitaux ?
:fleche: Comment peut-on lutter contre ce phénomène qui tend à devenir une norme dans l'univers des cybercriminels ?
Voir aussi
:fleche: Nouvelle loi américaine : les cyberattaques doivent être signalées dans les 72 heures, et tout paiement après une attaque de ransomware devra être signalé dans les 24 heures
:fleche: Les cyberattaques mondiales ont augmenté de 38 % en 2022, celles en Europe ont augmenté de 26 %, la France a connu une augmentation de 19 % des cyberattaques, selon Checkpoint
:fleche: L'un des programmes d'espionnage américains les plus controversés vient d'être renouvelé discrètement, malgré les abus documentés du FBI et une tentative pour y mettre un terme
Peine de mort contre les auteurs de ransomwares
Peine de mort obligatoire contre les auteurs de ransomwares. On ne discute plus.
On me dira qu'il est très difficile de les débusquer. OK, mais dès qu'on en chope un, il paiera pour les autres. Lui et sa famille (notion de 'responsabilité collective: S**T)
