R1 RCM inc. [NASDAQ:RCM]l’une des plus grandes sociétés de recouvrement de créances médicales du pays, a été touchée par une attaque de ransomware.
Anciennement connu sous le nom Santé relutive inc.R1 RCM, basée à Chicago, a généré des revenus de 1,18 milliard de dollars en 2019. L’entreprise compte plus de 19 000 employés et des contrats avec au moins 750 organisations de soins de santé à l’échelle nationale.
R1 RCM a reconnu avoir mis hors service ses systèmes en réponse à une attaque de ransomware, mais a par ailleurs refusé de commenter cette histoire.
La partie « RCM » de son nom fait référence à la « gestion du cycle de revenus », une industrie qui suit les bénéfices tout au long du cycle de vie de chaque patient, y compris l’enregistrement des patients, la vérification des assurances et des prestations, la documentation des traitements médicaux, ainsi que la préparation et le recouvrement des factures des patients.
La société a accès à une multitude d’informations personnelles, financières et médicales sur des dizaines de millions de patients, notamment des noms, des dates de naissance, des numéros de sécurité sociale, des informations de facturation et des données de diagnostic médical.
On ne sait pas quand les intrus ont pénétré pour la première fois dans les réseaux de R1, mais le ransomware a été lancé il y a plus d’une semaine, à peu près au moment où l’entreprise était s’apprête à publier ses résultats financiers du 2e trimestre 2020.
R1 RCM a refusé de discuter de la souche de rançongiciels contre laquelle il se bat ou de la manière dont il a été compromis. Des sources proches de l’enquête disent à BreachTrace que le malware est connu sous le nom de Payer.
Defray a été repéré pour la première fois en 2017, et ses fournisseurs ont l’habitude de cibler spécifiquement les entreprises du secteur de la santé. Selon Trend MicroDefray se propage généralement via piégé Microsoft Office documents envoyés par e-mail.
« Les e-mails de phishing utilisés par les auteurs sont bien conçus », a écrit Trend Micro. Par exemple, lors d’une attaque ciblant un hôpital, l’e-mail de phishing a été conçu pour donner l’impression qu’il provenait d’un responsable informatique de l’hôpital, les fichiers malveillants étant déguisés en rapports de patients.
Société de sécurité des e-mails Point de preuve dit le rançongiciel Defray est quelque peu inhabituel dans la mesure où il est généralement déployé dans de petites attaques ciblées, par opposition aux campagnes de logiciels malveillants par e-mail « pulvériser et prier » à grande échelle.
« Il semble que Defray puisse être destiné à l’usage personnel d’acteurs malveillants spécifiques, ce qui rend plus probable sa distribution continue dans de petites attaques ciblées », a observé Proofpoint.
Une récente rapport (PDF) de Assurance Corvus note que les attaques de rançongiciels contre les entreprises du secteur de la santé ont ralenti ces derniers mois, certains groupes de logiciels malveillants s’engageant même de manière douteuse à s’abstenir de cibler ces entreprises pendant la pandémie de COVID-19. Mais Corvus dit que la tendance est susceptibles de s’inverser dans la seconde moitié de 2020 alors que les États-Unis se dirigent prudemment vers la réouverture.
Corvus a constaté que si les services qui analysent et filtrent les e-mails entrants à la recherche de menaces malveillantes peuvent détecter de nombreux leurres de ransomwares, on estime que 75 % des entreprises de soins de santé n’utilisent pas cette technologie.