Associés vétérinaires nationaux (NVA), une société californienne qui possède plus de 700 établissements de soins pour animaux dans le monde, s’efforce toujours de se remettre d’une attaque de ransomware à la fin du mois dernier qui a touché plus de la moitié de ces propriétés, séparant de nombreux cabinets vétérinaires de leurs dossiers patients, paiement systèmes et logiciels de gestion de cabinet. La NVA dit qu’elle s’attend à ce que toutes les installations soient entièrement restaurées et fonctionnent normalement au cours de la semaine prochaine.
La NVA, basée à Agoura Hills, en Californie, se présente comme le plus grand propriétaire privé d’hôpitaux vétérinaires indépendants aux États-Unis. De la société Site Internet dit qu’il possède actuellement environ 700 hôpitaux vétérinaires et pensions pour animaux aux États-Unis, au Canada, en Australie et en Nouvelle-Zélande.
La NVA a déclaré avoir découvert l’épidémie de ransomware dans la matinée du dimanche 27 octobre et peu de temps après avoir embauché deux sociétés de sécurité extérieures pour enquêter et remédier à l’attaque. Une source proche de l’enquête a déclaré à BreachTrace que NVA avait été touché par Ryûkune souche de rançongiciel repérée pour la première fois en août 2018 qui cible principalement les grandes organisations pour un rendement élevé.
La NVA a refusé de répondre aux questions sur le logiciel malveillant ou si la NVA avait payé la demande de rançon.
« C’était un ransomware, mais nous l’avons qualifié d’incident de malware », a déclaré Laura Koesterdirecteur marketing de NVA.
Koester a déclaré que parce que chaque hôpital NVA gère ses opérations informatiques comme bon lui semble, tous n’ont pas été affectés. Plus important encore, a-t-elle déclaré, tous les hôpitaux de la NVA sont restés ouverts et capables de voir des clients (animaux nécessitant des soins), et l’accès aux dossiers des patients a été entièrement rétabli dans tous les hôpitaux concernés.
« Depuis quelques jours, certains [pet owners] ne pouvait pas faire de réservations en ligne, et certains hôpitaux devaient consulter différents dossiers pour leurs patients », a déclaré Koester. «Mais tout au long de cette histoire, s’il y avait un animal malade, nous le voyions. Personne n’a fermé ses portes. »
La source proche de l’enquête a brossé un tableau un peu moins rose de la situation chez NVA et a déclaré que la réponse de l’entreprise avait été compliquée par les effets des incendies de forêt entourant son siège social dans le comté de Los Angeles : il y a un an, un incendie de forêt destructeur dans les comtés de Los Angeles et de Ventura a brûlé près de 100 00 acres, détruit plus de 1 600 structures, tué trois personnes et provoqué l’évacuation de près de 300 000 personnes, dont tous les habitants d’Agoura Hills.
« Le centre d’assistance devait être fermé le vendredi 25 octobre 2019 en raison de la mauvaise qualité de l’air causée par les incendies de forêt dans le nord », a déclaré la source, qui a demandé à rester anonyme. « Vers 2 heures du matin PT [Oct. 27]le virus Ryuk s’est déchaîné à NVA. Environ 400 emplacements ont été infectés. [Microsoft] Les serveurs Active Directory et Exchange ont été infectés. De nombreux sites infectés ont immédiatement perdu l’accès à leurs systèmes de gestion des informations sur les patients (PIM). Ces emplacements ont été immédiatement incapables de fournir des soins.
La source a partagé des communications internes de différents dirigeants de la NVA avec leurs hôpitaux concernant l’étendue des efforts de remédiation et la source possible du compromis, ce qui semblait suggérer qu’au moins certaines propriétés de la NVA avaient du mal à accueillir les patients.
Une missive de NVA Directeur des opérations Robert Hill le 30 octobre a reconnu que « nous continuons à être confrontés à un effort monumental pour restaurer le service informatique [to] près de 400 de nos hôpitaux.
« Cela m’a vraiment frappé samedi », a écrit Hill. « Un de mes meilleurs amis a dû emmener son laboratoire jaune dans la vallée de Conejo pour des soins d’urgence. Heureusement, CV a pu fournir des soins alors que leur [systems] étaient opérationnels, mais bon nombre de nos hôpitaux ne sont pas en aussi bon état.
Dans une mise à jour envoyée aux hôpitaux NVA le 6 novembre, le nouveau responsable de la technologie de l’entreprise Greg Hartman a déclaré que son système de sécurité avait réussi à empêcher le ransomware d’infiltrer ses systèmes – du moins au début.
« En raison de l’ampleur de l’attaque, le virus a finalement trouvé trois points d’entrée plus petits via des comptes non affiliés à NVA, mais malheureusement ouverts au sein de notre réseau », a déclaré Hartmann. « Dès la découverte de l’incident, notre équipe technologique a immédiatement mis en place des procédures pour empêcher la propagation du logiciel malveillant ; cependant, de nombreux systèmes locaux ont été touchés. Pourtant, nous avons de nombreux hôpitaux dont les systèmes ne sont pas récupérés. L’équipe technologique continue de mettre en place des postes de travail provisoires dans chaque hôpital concerné pendant qu’elle se prépare à reconstruire les serveurs. »
La source a déclaré à BreachTrace que NVA avait subi une infestation de rançongiciels distincte plus tôt cet été qui impliquait également Ryuk, et ils ont exprimé leur inquiétude quant au fait que le premier incident n’ait peut-être pas été entièrement résolu, laissant potentiellement les attaquants garder un pied au sein de l’organisation.
« C’est la deuxième fois cette année que Ryuk frappe NVA », a déclaré la source. « La première fois, NVA était plutôt ouvert à toutes les installations sur ce qui s’était passé. Cette fois, cependant, ils y font simplement référence en tant que « panne du système ».
Un ensemble de points de discussion NVA distribués au personnel le 27 octobre, le jour où quelque 400 hôpitaux vétérinaires ont été touchés par le rançongiciel Ryuk.
Koester a déclaré que certaines installations de la NVA avaient été touchées par un incident de logiciel malveillant plus tôt cette année, mais qu’elle ne pensait pas que le rançongiciel était impliqué dans cette intrusion.
Le rançongiciel Ryuk s’est fait un nom en s’attaquant aux entreprises qui fournissent des services à d’autres entreprises – en particulier les entreprises de données en nuage – les demandes de rançon étant fixées en fonction de la capacité perçue de la victime à payer. En février, fournisseur de logiciels de paie Apex Gestion du capital humain a choisi de payer la demande de rançon après qu’une infection Ryuk ait interrompu les services de gestion de la paie pour des centaines de clients de l’entreprise. Et la veille de Noël 2018, le fournisseur d’hébergement cloud Dataresolution.net a subi une panne de plusieurs semaines après une attaque Ryuk.
Selon un bulletin publié par le FBI en mai, les cybercriminels avaient ciblé plus de 100 entreprises américaines et internationales avec Ryuk depuis août 2018. La société de sécurité CrowdStrike a estimé que les attaquants déployant Ryuk avait rapporté plus de 3,7 millions de dollars en paiements de rançon en bitcoins entre août 2018 et janvier 2019.
De nombreuses personnes et organisations peuvent avoir l’impression que des attaques de rançongiciels comme Ryuk peuvent apparaître à tout moment simplement par quelqu’un cliquant sur un lien malveillant ou ouvrant une pièce jointe piégée. Alors que ce dernier semble être le vecteur le plus courant des infestations de ransomwares, un avis publié en septembre par le Royaume-Uni Centre national de cybersécurité suggère que la plupart des victimes de Ryuk sont compromises des semaines ou des mois avant que le ransomware ne soit réellement déployé dans le réseau de la victime.
« Le rançongiciel Ryuk n’est souvent pas observé avant une période de temps après l’infection initiale – allant de quelques jours à plusieurs mois – ce qui laisse à l’acteur le temps d’effectuer
reconnaissance à l’intérieur d’un réseau infecté, identifiant et ciblant les systèmes réseau critiques et maximisant ainsi l’impact de l’attaque », lit l’avis du NCSC, qui comprend des conseils pour repérer les signes d’une infection Ryuk. « Mais cela peut également offrir la possibilité d’atténuer une attaque de ransomware avant qu’elle ne se produise, si l’infection initiale est détectée et corrigée. »
En ce qui concerne les changements que NVA apportera pour empêcher une nouvelle épidémie de ransomware, une mise à jour interne du 7 novembre du directeur de l’information de NVA Joe Leggio a déclaré que NVA investissait dans des logiciels de Noir carboneune solution de sécurité basée sur le cloud qui sera installée sur tous les ordinateurs de la propriété NVA.
« Tout au long de ma carrière, j’ai été témoin d’incroyables progrès technologiques qui améliorent nos vies », a écrit Leggio. « A peu près au même rythme, les méchants ont augmenté l’agressivité et la sophistication de leurs attaques. Alors que nous reconstruisons, nous pensons aussi à l’avenir. C’est pourquoi nous investissons dans les talents en cybersécurité, dans de nouvelles infrastructures et dans de meilleurs logiciels.