Le fournisseur de services de santé à but non lucratif Group Health Cooperative of South Central Wisconsin (GHC-SCW) a révélé qu’un gang de rançongiciels avait violé son réseau en janvier et volé des documents contenant les informations personnelles et médicales de plus de 500 000 personnes.

Cependant, les attaquants n’ont pas pu chiffrer les appareils compromis, ce qui a permis à GHC-SCW de sécuriser ses systèmes avec l’aide d’experts externes en réponse aux incidents cybernétiques et de les remettre en ligne après leur isolement pour contenir la violation.

« Tôt le matin du 25 janvier 2024, GHC-SCW a identifié un accès non autorisé à son réseau. Leur service informatique a délibérément isolé et sécurisé leur réseau, rendant temporairement indisponibles plusieurs de leurs systèmes », a déclaré l’organisation de soins de santé dans un communiqué de presse publié mardi.

« Le 9 février 2024, au cours de notre enquête, nous avons découvert des indications selon lesquelles l’attaquant avait copié certaines des données de GHC-SCW, qui comprenaient des informations de santé protégées (PHI). Notre découverte a été confirmée lorsque l’attaquant, un gang de ransomware étranger, a contacté GHC-SCW pour revendiquer la responsabilité de l’attaque et voler nos données. »

Les données de santé volées lors de l’attaque de ransomware de janvier comprennent les noms, adresses, numéros de téléphone, adresses e-mail, dates de naissance et/ou de décès, numéros de sécurité sociale, numéros de membre et numéros Medicare et/ou Medicaid des personnes concernées.

Bien qu’il n’ait pas fourni le nombre exact de personnes touchées, des informations supplémentaires partagées avec le département américain de la Santé et des Services sociaux montrent que la violation de données a touché 533 809 personnes.

Violation du GHC-SCW sur le portail du HHS

En réponse à l’incident, GHC-SCW a déclaré avoir pris des mesures de sécurité pour empêcher que de telles violations ne se reproduisent, notamment en renforçant les contrôles existants, la sauvegarde des données et la formation des utilisateurs.

Il est conseillé aux personnes concernées de surveiller toutes les communications des prestataires de soins de santé, y compris les messages électroniques, les relevés de facturation et autres communications, et de signaler immédiatement toute activité suspecte à GHC-SCW.

GHC-SCW n’a pas encore trouvé de preuves de l’utilisation des informations volées à des fins malveillantes.

Revendiqué par Black Suit ransomware
Alors que l’organisation à but non lucratif de soins de santé basée au Wisconsin n’a pas révélé le nom du groupe de menaces à l’origine de la violation de janvier, le gang de ransomware BlackSuit a revendiqué l’attaque en mars.

Selon les affirmations des attaquants, les fichiers volés contiennent également les informations financières des patients concernés, les données des employés, les contrats commerciaux et la correspondance par courrier électronique.

Entrée GHC-SCW sur le site de fuite de la combinaison noire

​Même si le site de fuite du dark Web de BlackSuit a été repéré pour la première fois en mai dernier et a depuis été mis à jour avec des dizaines de nouvelles victimes, on sait peu de choses sur le groupe derrière cette opération de ransomware.

En juin, le très actif gang Royal ransomware-considéré comme le successeur direct du célèbre groupe de cybercriminalité Conti—a commencé à tester un nouveau chiffreur appelé BlackSuit après que des rumeurs de changement de marque aient commencé à faire surface en avril.

Depuis lors, Royal a changé de nom en Costume noir et s’est réorganisé en une opération plus centralisée, similaire au modèle qu’ils utilisaient lorsqu’ils faisaient partie du syndicat Conti en tant qu’équipe 2 (Conti2).

Le FBI et la CISA ont révélé dans un avis conjoint de novembre que le gang Royal ransomware avait violé les réseaux d’au moins 350 organisations dans le monde depuis septembre 2022 et lié l’opération à plus de 275 millions de dollars de demandes de rançon.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *