Une patiente atteinte d'un cancer dont les photos nues et les dossiers médicaux ont été publiés en ligne après avoir été volés par un gang de rançongiciels, a poursuivi son fournisseur de soins de santé pour avoir permis cette fuite « évitable » et « gravement dommageable ».Le recours collectif proposé découle d'une intrusion en février au cours de laquelle l'équipe de logiciels malveillants BlackCat (également connu sous le nom d'ALPHV) a fait irruption dans l'un des réseaux de médecins du Lehigh Valley Health Network (LVHN), a volé des images de patients subissant un traitement de radio-oncologie ainsi que d'autres dossiers de soins de santé sensibles appartenant à plus de 75 000 personnes, puis a exigé le paiement d'une rançon pour déchiffrer les fichiers et l'empêcher de publier les données de santé en ligne. LVHN a refusé de payer la rançon, et plus tôt ce mois-ci, BlackCat a commencé à divulguer des informations sur les patients, y compris des images d'au moins deux patientes atteintes d'un cancer du sein, nues à partir de la taille.
Dans ce que l'on pense être une première, le gang de rançongiciels BlackCat a publié des images nues de patients qui ont été volés lors de l'une de ses attaques contre un organisme de santé dans le but de faire pression sur la victime pour contraindre l'organisme à payer la rançon. Lehigh Valley Health Network (LVHN) avait alors annoncé qu'il faisait face à une attaque de ransomware qui a été détectée le 6 février 2023. Le groupe de soins de santé de Pennsylvanie, l'un des plus importants de l'État américain, supervise 13 hôpitaux, 28 centres de santé et des dizaines d'autres cliniques médicales, pharmacies, centres de réadaptation, services d'imagerie et de laboratoire.
LVHN a confirmé que le groupe de ransomware BlackCat était derrière l'attaque et avait émis une demande de rançon, dont le paiement verrait les clés de déchiffrement fournies et empêcherait la divulgation des données volées lors de l'attaque. Brian A. Nester, président et chef de la direction de LVHN, a confirmé que LVHN avait refusé de payer la rançon et que les opérations n'avaient pas été affectées.
Nester a déclaré que l'attaque concernait le réseau soutenant un cabinet médical dans le comté de Lackawanna et que le système informatique impliqué stockait des images de patients cliniquement appropriées pour le traitement par radio-oncologie et d'autres informations sensibles sur les patients. « Des attaques comme celle-ci sont répréhensibles et nous consacrons les ressources appropriées pour répondre à cet incident », a déclaré Nester.
Dans une tentative de faire pression sur LVHN pour qu'il paie la rançon, BlackCat a commencé à divulguer certaines des données volées sur son site de fuite de données. Alors que les fuites de données sont désormais courantes lorsque les victimes d'attaques de rançongiciels refusent de payer la rançon, BlackCat est allé plus loin et a publié des images de patients volées lors de l'attaque. Des images de trois patientes atteintes d'un cancer du sein, nues à partir de la taille, ont été publiées sur le site de fuite de données, ainsi que des captures d'écran des données des patientes montrant les diagnostics. « Cet acte criminel inadmissible profite des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement méprisable », a déclaré le porte-parole de LVHN, Brian Downs.
« Cet acte criminel inadmissible tire profit des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement méprisable », a déclaré à l'époque le porte-parole de LVHN, Brian Downs.
La plainte
Selon la plainte déposée cette semaine, voici comment l'une des patientes, identifiée comme « Jane Doe » (Madame X en français), a découvert la violation de données (mais aussi que LVHN avait stocké des images nues d'elle sur son réseau en premier lieu).
Le 6 mars, la vice-présidente de la conformité de LVHN, Mary Ann LaRock, a appelé Doe et lui a dit que ses photos nues avaient été publiées sur le site de fuite des pirates. « Mme LaRock a présenté au plaignant des excuses et, avec un petit rire, deux ans de surveillance du crédit », indiquent les documents judiciaires.
En plus de récupérer les photos très sensibles, les escrocs ont également emporté tout le nécessaire pour une usurpation d'identité.
Selon la plainte, LaRock a également déclaré à Doe que ses adresses physique et électronique, ainsi que sa date de naissance, son numéro de sécurité sociale, son fournisseur d'assurance maladie, ses diagnostics médicaux et ses informations sur le traitement, ainsi que les résultats de laboratoire, avaient également probablement été volés lors de la violation.
« Étant donné que LVHN stocke et stockait les informations sensibles du demandeur et du recours, y compris des photographies nues du demandeur recevant un traitement sensible contre le cancer, LVHN savait ou aurait dû savoir du risque grave et des dommages pouvant résulter d'une violation de données », indique la plainte. Elle affirme que LVHN a fait preuve de négligence dans son devoir de protéger les informations sensibles des patients et demande le statut de recours collectif pour tous ceux dont les données ont été exposées avec des dommages-intérêts à déterminer.
L'avocat de Pennsylvanie Patrick Howard, qui représente Doe et le reste des plaignants dans le recours collectif proposé, a déclaré qu'il s'attend à ce que le nombre de patients touchés par la violation se situe dans les « centaines, voire des milliers ».
« L'hôpital invite les patients dans son établissement et prend possession de ces données », a déclaré Howard. « L'hôpital doit s'assurer que les données qu'il prend sont correctement sauvegardées, y compris ces photographies très sensibles. Vous attendez la sûreté et la sécurité, si vous agissez par négligence en assurant cette sûreté/sécurité, vous pouvez être tenu responsable quelle que soit la conduite d'une tierce partie ».
Selon les avocats, il s'agit de la deuxième violation de données affectant les patients du groupe de soins de santé de Pennsylvanie au cours des dernières années. En 2021, LVHN a admis que les informations personnelles des patients avaient été volées à l'un de ses fournisseurs.
Les organisations du secteur de la santé et de la santé publique activement ciblées
Le Département de la Santé et des Services sociaux des États-Unis a publié un avis de sécurité concernant le groupe de rançongiciels Blackcat qui cible activement les organisations du secteur de la santé et de la santé publique et a averti que le groupe se livrait à des tactiques agressives de triple extorsion. Alors que de nombreux groupes de rançongiciels utilisent une double extorsion impliquant le vol de données et des menaces pour divulguer des données volées en plus du chiffrement de fichiers, BlackCat utilise une troisième tactique : menacer de mener des attaques par déni de service distribué (DDoS) sur les victimes jusqu'à ce qu'elles paient.
BlackCat n'est pas le seul gang de rançongiciels à essayer de nouvelles tactiques pour faire payer les victimes. Le gang de rançongiciels Medusa a récemment attaqué le district des écoles publiques de Minneapolis (MPS), a volé des données sensibles, puis a chiffré les fichiers. Lorsque le paiement n'a pas été effectué, MPS a été ajouté au site de fuite de données du groupe et une menace a été émise pour publier l'ensemble des données volées lors de l'attaque. Le groupe a émis une demande de rançon de 1 million de dollars, le site de fuite de données offrant également les données volées à toute personne disposée à payer le même montant. Dans une nouvelle tournure, le groupe a également publié une vidéo montrant les données volées lors de l'attaque. La vidéo, d'une durée de 51 minutes, a été ajoutée comme preuve de l'étendue des données exfiltrées des systèmes de MPS.
Les gangs de rançongiciels ont dû adopter des tactiques plus agressives, car moins de victimes paient des demandes de rançon. Selon Coveware, au quatrième trimestre 2022, seulement 37 % des victimes ont payé une rançon suite à une attaque de ransomware, contre 76 % des victimes en 2019. Coveware affirme que plusieurs facteurs entraînent la réduction de la rentabilité des attaques de ransomware. Un investissement accru dans la planification de la sécurité et de la réponse aux incidents signifie que les organisations sont mieux préparées aux attaques et sont moins susceptibles de subir un impact matériel d'une attaque réussie. Le FBI et d'autres organismes chargés de l'application de la loi poursuivent toujours les auteurs de ces attaques, mais ils consacrent également davantage de ressources à aider les victimes à se rétablir. Coveware souligne également qu'à mesure que les revenus baissent, les coûts d'exploitation pour mener des attaques augmentent, ce qui signifie que moins d'acteurs de ransomwares peuvent vivre de la distribution de ransomwares et même les grands groupes de ransomwares en ressentent les effets, d'où la nécessité d'adopter de nouvelles tactiques pour faire pression sur les victimes et les contraindre à payer, améliorant ainsi la rentabilité des attaques.
Source : plainte
Et vous ?
En général, êtes-vous pour ou contre le paiement des rançons pour récupérer les fichiers et empêcher la divulgation des données sensibles ? Qu'en est-il de ce cas particulier ? Que pensez-vous de la plainte qui cible le fournisseur des soins de santé ? À la lumière du fait qu' il s'agit de la deuxième violation de données affectant les patients du groupe de soins de santé de Pennsylvanie au cours des dernières années et du fait que la patiente n'avait même pas idée du fait que ses photos étaient conservées sur le réseau du groupe, que pensez-vous ? La stratégie de la triple extorsion est-elle susceptible de porter plus des fruits selon vous ? Pourquoi ? 
Envoyé par JP CASSOU
