Une attaque de ransomware a frappé une grande chaîne hospitalière américaine

Services de santé universels, un réseau d’hôpitaux et de soins de santé avec plus de 400 établissements aux États-Unis, à Porto Rico et au Royaume-Uni, a été victime d’une attaque de ransomware tôt dimanche matin qui a détruit ses réseaux numériques dans des endroits aux États-Unis. Alors que la situation s’est aggravée, certains patients auraient été redirigés vers d’autres salles et installations d’urgence et se seraient vu retarder les rendez-vous et les résultats des tests en raison de l’attaque.

Un technicien de la salle d’urgence dans un établissement appartenant à l’UHS dit à WIRED que son hôpital est passé à des systèmes entièrement papier à la suite de l’attaque. Ordinateur Bleeping, qui a annoncé la nouvelle pour la première fois, s’est entretenu avec des employés de l’UHS qui ont déclaré que le ransomware avait les caractéristiques de Ryuk, apparu pour la première fois en 2018 et largement lié aux cybercriminels russes. Ryuk est généralement utilisé dans les attaques dites de «chasse au gros gibier» dans lesquelles des pirates tentent d’extorquer des rançons importantes aux victimes d’entreprises. UHS dit qu’elle compte 90 000 employés et traite environ 3,5 millions de patients chaque année, ce qui en fait l’un des plus grands réseaux d’hôpitaux et de soins de santé aux États-Unis.

« Nous utilisons du papier pour tout. Tous les ordinateurs sont complètement éteints », a déclaré l’employé de l’UHS à WIRED. «Le papier est réalisable, il y a juste beaucoup plus de documentation à faire pour que les choses ne se perdent pas – commandes, médicaments, etc. la visite commence. Il y a des inquiétudes pour les patients qui se trouvaient déjà dans les parages lorsque cela s’est produit, mais tout le monde intensifie son jeu en grand. « 

«Nos installations utilisent leurs processus de sauvegarde établis, y compris des méthodes de documentation hors ligne», a déclaré UHS dans un communiqué. La société n’a pas renvoyé de demande de commentaires supplémentaires de WIRED et n’a pas confirmé qu’il s’agissait d’une attaque par ransomware. La déclaration de la société a confirmé que «le réseau informatique des installations des services de santé universels est actuellement hors ligne, en raison d’un problème de sécurité informatique», et que les données des patients et des employés ne semblent pas avoir été compromises par l’attaque.

Les attaques de ransomwares contre les grandes organisations sont courantes depuis le milieu des années 2010, mais le rythme des agressions semble s’être accéléré ces derniers mois. Les hôpitaux, en particulier, sont depuis longtemps une cible de choix, car la sécurité des patients est en jeu lorsque le réseau d’un hôpital tombe en panne. En plus de l’UHS, le centre médical du comté d’Ashtabula dans l’Ohio et Médecine du Nebraska ont tous deux subi des attaques de ransomwares ces derniers jours qui ont provoqué des pannes du système et menacé les services aux patients.

Et plus tôt ce mois-ci, une patiente atteinte d’une maladie potentiellement mortelle est décédée à Düsseldorf, en Allemagne, après qu’une attaque de ransomware dans un hôpital voisin l’a forcée à être emmenée dans un établissement plus éloigné. L’épisode a peut-être été le premier exemple d’un patient décédé à cause des retombées d’une attaque de ransomware.

«Ces incidents sont extrêmement préoccupants; ils pourraient avoir des conséquences fatales», déclare Brett Callow, analyste des menaces au sein de la société d’antivirus Emsisoft. « Je dirais que les choses sont aussi mauvaises qu’elles ne l’ont jamais été – pires en fait. »

Le ransomware Ryuk a été attribué à des acteurs nord-coréens lors de son apparition, mais de nombreux chercheurs maintenant liez-le aux cybercriminels russes. Il est souvent précédé d’une attaque de phishing qui infecte une cible avec un cheval de Troie, puis exfiltre les données de la victime et déclenche une infection Ryuk. Le ransomware semble être utilisé par quelques groupes dissidents en plus de ses auteurs, ce qui rend difficile le traçage et la corrélation de l’activité à partir de la seule présence du malware. L’acteur qui l’a utilisé pour la première fois en 2018 et 2019 semblait être devenu sombre en avril, mais a récemment réapparu.