Les pirates informatiques s'adonnent de plus en plus à des méthodes extrêmes et semblent prêts à tout pour toucher une rançon. De nombreux centres de santés sont confrontés depuis quelques mois à une série de cyberattaques au cours desquelles les cybercriminels exfiltrent les données sensibles des patients. Bien que ce type de cyberattaque ne soit pas nouveau, les pirates menacent désormais de s'en prendre directement aux patients après que les hôpitaux concernés ont refusé de payer les rançons demandées. Non seulement les hôpitaux sont devenus une cible de choix pour les pirates, mais les patients sont aussi exposés à des risques importants.
En novembre, des pirates se sont introduits dans le réseau informatique du Fred Hutchinson Cancer Center de Seattle, dans l'État de Washington, et ont volé des dossiers médicaux. Ces dossiers comprennent des informations telles que des numéros de sécurité sociale, des diagnostics et des résultats de laboratoire. Le centre de cancérologie gère plus de 10 cliniques dans la région du Puget Sound, dans l'État de Washington. Integris Health, un autre réseau de centres de santé de l'Oklahoma, qui gère 15 hôpitaux et 43 cliniques, a également informé ses patients qu'il a subi une cyberattaque et que les données personnelles ont peut-être été violées.
Dans les deux cas, Fred Hutchinson Cancer Center et Integris Health ont refusé de payer les rançons demandées par les pirates. Mais ces derniers menacent désormais de s'en prendre directement aux patients eux-mêmes. L'idée est, semble-t-il, qu'en assaillant les patients, ces derniers et la couverture médiatique de l'opération feront pression sur les hôpitaux pour qu'ils paient et mettent fin à l'extorsion. D'autres cybercriminels agissent de la même manière lorsqu'ils s'attaquent à des fournisseurs de services informatiques : ils ne se contentent pas d'extorquer les fournisseurs, ils menacent aussi les clients de ces fournisseurs ou les extorquent encore plus.
Fin décembre, le site DataBreaches affirmait avoir contacté l'une des personnes impliquées dans le piratage d'Integris Health. Cette personne aurait affirmé qu'Integris Health n'avait pas entamé de discussions ou de négociations avec les pirates, bien que le centre médical savait que les pirates avaient acquis les informations de santé des patients. « Ils savent exactement ce que nous avons pris pendant des mois », a déclaré le pirate, ajoutant qu'avant que les acteurs de la menace ne commencent à contacter les patients, Integris Health ne disait pas aux patients ce qui avait été exfiltré. Il aurait reconnu le piratage après les premières plaintes des patients.
« Ce n'est qu'après avoir commencé à contacter directement les patients qu'Integris Health a admis que des données de patients avaient été acquises. L'équipe a été un peu négligente, nous avons laissé des CSV pour qu'ils sachent, et nous leur avons dit dans de nombreux courriels exactement ce que nous avions acquis », affirme la personne. Cette dernière a reconnu que les pirates d'Integris Health collaborent avec le groupe de pirates Hunters International qui serait à l'origine du piratage du Fred Hutchinson Cancer Center en novembre. Lors de sa correspondance avec le pirate, DataBreaches lui a demandé : « vous êtes donc Hunters International ? ».
La réponse du contact serait : « nous travaillons avec eux », et il a été plus direct en disant : « je ne fais pas partie des Hunters ». Le pirate aurait ensuite ajouté que, contrairement à Integris Health, Fred Hutchinson Cancer Center a discuté avec eux depuis longtemps et qu'il ne s'agissait pas d'une simple manœuvre dilatoire. « Ils ont parlé », a répété le contact, ajoutant qu'ils "s'énervent quand nous menaçons d'envoyer la police chez les patients". La suite de la conversation a été comme suit :
« Des patients du Swat ? », répète DataBreaches.
« Swat », a répété le contact.
« Envisagez-vous sérieusement le swat ? », demande DataBreaches.
Leur réponse fut immédiate et quelque peu glaçante : « pourquoi pas ? »
« C'est un niveau supérieur de mal… swatting cancer patients », a répondu DataBreaches.
« Nous ne l'avons pas fait », ont-ils répondu.
Le swatting est l'action ou la pratique consistant à lancer un canular auprès des services d'urgence dans le but de provoquer l'envoi d'un grand nombre d'officiers de police armés à une adresse donnée. Les auteurs de ces fausses alertes pensent faire un canular, mais cela peut avoir des conséquences graves. Le swatting occupe les équipes d'intervention des forces de l'ordre, les rendant indisponibles pour répondre aux vraies urgences. Il y a même eu des incidents de swatting au cours desquels des agents des forces de l'ordre ont été abattus et, dans un cas, la victime du swatting a été abattue par les forces de l'ordre.
À l'époque, DataBreaches a déclaré qu'il ignorait si la menace des pirates d'envoyer des policiers armés chez les patients a effectivement été proférée. DataBreaches a contacté Fred Hutchinson Cancer Center pour savoir s'ils avaient négocié avec les acteurs de la menace et si la menace avait été proférée ou mentionnée, mais n'avait obtenu aucune réponse. Mais de nouveaux rapports sur le sujet suggèrent que les acteurs de la menace aient mis leurs menaces à exécution. Selon ces rapports, et les déclarations de certains patients et de personnes liées aux centres médicaux qui ont été victimes de piratage, les pirates ont commencé à contacter les patients.
« Le Fred Hutchinson Cancer Center a été informé que des cybercriminels avaient proféré des menaces de swatting et a immédiatement prévenu le FBI et la police de Seattle, qui a prévenu la police locale. Le FBI, dans le cadre de son enquête sur l'incident de cybersécurité, a également enquêté sur ces menaces », explique un porte-parole du centre médical. Certains patients d'Integris Health auraient déclaré avoir reçu des courriels de malfaiteurs menaçant de vendre leurs informations sur le dark Web. Certains experts craignent que la tentative d'extorsion directe des patients après une violation de données dans les hôpitaux devienne la "nouvelle norme".
Well sure as shit I got my email confirming what I already suspected with Integris. pic.twitter.com/3m9blkl5Hi
— Jonathan (@hackdba) December 26, 2023
« Alors que nous travaillons avec des spécialistes tiers pour enquêter sur cette affaire et déterminer l'étendue des données affectées et à qui elles se rapportent, nous fournissons ici les dernières informations aux patients et au public. Au fur et à mesure que nous confirmons les personnes concernées, nous les contactons pour les informer et les aider, notamment en leur donnant accès pendant 24 mois à des services gratuits de surveillance du crédit et de protection de l'identité. Notre enquête étant en cours, nous ne sommes pas en mesure de fournir des informations supplémentaires pour l'instant », a déclaré un porte-parole d'Integris Health à The Register.
Ce type de réponses passe-partout n'est peut-être pas aussi rassurant que le pensent certaines entreprises. Cette dernière menace de swatting soulève des questions inquiétantes quant à la frontière que les criminels sont prêts à franchir dans leur quête de butin. « Les rançons ont été autorisées à atteindre les niveaux du jackpot de la loterie, et le résultat prévisible est que les gens sont prêts à utiliser des mesures de plus en plus extrêmes pour obtenir un paiement », affirme Brett Callow, analyste des menaces chez l'entreprise de sécurité néo-zélandaise Emsisoft. La semaine dernière, l'entreprise a appelé à une interdiction totale des paiements de rançons.
Elle a déclaré que les tactiques d'extorsion devenaient de plus en plus extrêmes et incluaient désormais des menaces de swatting. « Malheureusement, je pense que ce n'est qu'une question de temps avant que les cybercriminels ne commencent à utiliser la violence du monde réel pour soutenir la cyberextorsion. En supposant qu'ils ne l'aient pas déjà fait », affirme Callow. D'un autre côté, Sam Rubin, vice-président de l'unité 42 Consulting chez Palo Alto Networks, a déclaré que son équipe n'avait pas vu de tentatives de swatting par des équipes d'extorsion en 2023, mais il a déclaré qu'il n'est pas surpris et que le changement de tactique semble probable.
« Je ne suis pas du tout surpris. Au cours des deux dernières années, nous avons assisté à une évolution constante des tactiques d'extorsion dans le cyberespace. Si l'on remonte dans le temps, il ne s'agissait que de chiffrement », a-t-il ajouté, à propos des rapports sur les patients cancéreux de Seattle susceptibles de recevoir ce type de menaces. Dans le même temps, les analystes affirment que les attaques de ransomware contre les infrastructures critiques, y compris les hôpitaux, sont de plus en plus fréquentes. Emsisoft a signalé 46 infections contre des réseaux hospitaliers américains rien que l'année dernière, contre 25 en 2022.
Au total, au moins 141 hôpitaux ont été infectés et au moins 32 des 46 réseaux se sont fait voler des données, y compris des informations de santé protégées. Il est déjà assez grave que ces attaques aient détourné des ambulances et reporté des soins critiques pour des patients, et maintenant les criminels infligent encore plus de souffrance aux gens. L'année dernière, ils ont notamment divulgué des nus de patientes atteintes d'un cancer du sein. Le swatting semble être la prochaine étape, bien que détestable. Selon les analystes, il s'agit d'une attaque critique dirigée contre des patients sans défense et qui comprend des risques pour le système médical.
Sources : Fred Hutchinson Cancer Center, Integris Health, DataBreaches
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l'augmentation du nombre de cyberattaques contre les hôpitaux ?
Selon vous, qu'est-ce qui pourrait expliquer cela ? Ces réseaux critiques sont-ils mal protégés ?
Que pensez-vous de la tactique qui consiste à menacer les patients pour faire pression sur les hôpitaux ?
Comment peut-on lutter contre ce phénomène qui tend à devenir une norme dans l'univers des cybercriminels ?
Voir aussi
Nouvelle loi américaine : les cyberattaques doivent être signalées dans les 72 heures, et tout paiement après une attaque de ransomware devra être signalé dans les 24 heures
Les cyberattaques mondiales ont augmenté de 38 % en 2022, celles en Europe ont augmenté de 26 %, la France a connu une augmentation de 19 % des cyberattaques, selon Checkpoint
L'un des programmes d'espionnage américains les plus controversés vient d'être renouvelé discrètement, malgré les abus documentés du FBI et une tentative pour y mettre un terme