Une patiente atteinte d'un cancer poursuit un hôpital après qu'un gang de rançongiciels a divulgué ses photos de visites médicales nues

Dénonçant une fuite « évitable » et « gravement dommageable »

Une patiente atteinte d'un cancer dont les photos nues et les dossiers médicaux ont été publiés en ligne après avoir été volés par un gang de rançongiciels, a poursuivi son fournisseur de soins de santé pour avoir permis cette fuite « évitable » et « gravement dommageable ».

Le recours collectif proposé découle d'une intrusion en février au cours de laquelle l'équipe de logiciels malveillants BlackCat (également connu sous le nom d'ALPHV) a fait irruption dans l'un des réseaux de médecins du Lehigh Valley Health Network (LVHN), a volé des images de patients subissant un traitement de radio-oncologie ainsi que d'autres dossiers de soins de santé sensibles appartenant à plus de 75 000 personnes, puis a exigé le paiement d'une rançon pour déchiffrer les fichiers et l'empêcher de publier les données de santé en ligne. LVHN a refusé de payer la rançon, et plus tôt ce mois-ci, BlackCat a commencé à divulguer des informations sur les patients, y compris des images d'au moins deux patientes atteintes d'un cancer du sein, nues à partir de la taille.

Dans ce que l'on pense être une première, le gang de rançongiciels BlackCat a publié des images nues de patients qui ont été volés lors de l'une de ses attaques contre un organisme de santé dans le but de faire pression sur la victime pour contraindre l'organisme à payer la rançon. Lehigh Valley Health Network (LVHN) avait alors annoncé qu'il faisait face à une attaque de ransomware qui a été détectée le 6 février 2023. Le groupe de soins de santé de Pennsylvanie, l'un des plus importants de l'État américain, supervise 13 hôpitaux, 28 centres de santé et des dizaines d'autres cliniques médicales, pharmacies, centres de réadaptation, services d'imagerie et de laboratoire.

LVHN a confirmé que le groupe de ransomware BlackCat était derrière l'attaque et avait émis une demande de rançon, dont le paiement verrait les clés de déchiffrement fournies et empêcherait la divulgation des données volées lors de l'attaque. Brian A. Nester, président et chef de la direction de LVHN, a confirmé que LVHN avait refusé de payer la rançon et que les opérations n'avaient pas été affectées.

Nester a déclaré que l'attaque concernait le réseau soutenant un cabinet médical dans le comté de Lackawanna et que le système informatique impliqué stockait des images de patients cliniquement appropriées pour le traitement par radio-oncologie et d'autres informations sensibles sur les patients. « Des attaques comme celle-ci sont répréhensibles et nous consacrons les ressources appropriées pour répondre à cet incident », a déclaré Nester.

Dans une tentative de faire pression sur LVHN pour qu'il paie la rançon, BlackCat a commencé à divulguer certaines des données volées sur son site de fuite de données. Alors que les fuites de données sont désormais courantes lorsque les victimes d'attaques de rançongiciels refusent de payer la rançon, BlackCat est allé plus loin et a publié des images de patients volées lors de l'attaque. Des images de trois patientes atteintes d'un cancer du sein, nues à partir de la taille, ont été publiées sur le site de fuite de données, ainsi que des captures d'écran des données des patientes montrant les diagnostics. « Cet acte criminel inadmissible profite des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement méprisable », a déclaré le porte-parole de LVHN, Brian Downs.

« Cet acte criminel inadmissible tire profit des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement méprisable », a déclaré à l'époque le porte-parole de LVHN, Brian Downs.

La plainte

Selon la plainte déposée cette semaine, voici comment l'une des patientes, identifiée comme « Jane Doe » (Madame X en français), a découvert la violation de données (mais aussi que LVHN avait stocké des images nues d'elle sur son réseau en premier lieu).

Le 6 mars, la vice-présidente de la conformité de LVHN, Mary Ann LaRock, a appelé Doe et lui a dit que ses photos nues avaient été publiées sur le site de fuite des pirates. « Mme LaRock a...