Mardi, les systèmes informatiques et téléphoniques des hôpitaux McLaren Health Care ont été perturbés à la suite d’une attaque liée à l’opération de ransomware INC Ransom.

McLaren est un système de santé à but non lucratif avec des revenus annuels de plus de 6,5 milliards de dollars, qui exploite un réseau de 13 hôpitaux à travers le Michigan soutenus par une équipe de 640 médecins. Elle compte également plus de 28 000 employés et travaille avec 113 000 fournisseurs de réseaux dans le Michigan, l’Indiana et l’Ohio.

« Alors que McLaren Health Care continue d’enquêter sur une perturbation de notre système de technologie de l’information, nous voulons nous assurer que nos équipes sont aussi préparées que possible à prendre soin des patients à leur arrivée », indique un communiqué sur le site Web du système de santé.

« Les patients ayant des rendez-vous programmés doivent prévoir d’assister à ces rendez-vous à moins qu’ils ne soient contactés par un membre de notre équipe soignante.

McLaren a laissé entendre que les hôpitaux avaient perdu l’accès aux bases de données sur les patients lorsqu’ils conseillaient aux patients d’apporter des informations détaillées sur leurs médicaments actuels lors de leurs rendez-vous, y compris les ordonnances des médecins et les résultats imprimés des récents tests de laboratoire. Le système de santé a également déclaré qu’il pourrait devoir reporter certains rendez-vous et procédures non urgentes ou électives « par excès de prudence. »

« Nous comprenons que cette situation peut être frustrante pour nos patients – et pour les membres de notre équipe – et nous nous excusons profondément et sincèrement pour tout inconvénient que cela pourrait causer », a ajouté McLaren. « Nous vous demandons de bien vouloir patienter pendant que nos soignants et nos équipes de soutien travaillent avec autant de diligence que jamais pour fournir à nos communautés les soins dont elles ont besoin et qu’elles méritent. »

Même si McLaren n’a pas encore divulgué la nature de l’incident, les employés de l’hôpital de la région de McLaren Bay à Bay City ont partagé une note de rançon avertissant que les systèmes de l’hôpital ont été cryptés et que les données volées seront publiées sur le site de fuite du gang de rançongiciels INC RANSOM si une rançon n’est pas payée.

Note de rançon présumée de McLaren

​INC Ransom est une opération de ransomware en tant que service (RaaS) qui a fait surface en juillet 2023 et a depuis ciblé des organisations des secteurs public et privé.

La liste des victimes comprend des entités éducatives, sanitaires, gouvernementales et industrielles telles que Yamaha Motor Philippines, la division américaine de Xerox Business Solutions (XBS) et le National Health Service (NHS) d’Écosse.

En mai, un acteur de la menace connu sous le nom de « salfetka »a affirmé vendre le code source des versions de cryptage Windows et Linux/ESXi d’INC Ransom pour 300 000 $sur les forums de piratage Exploit et XSS.

Deux mois plus tard, en juillet, des analystes de logiciels malveillants ont déclaré que le code source avait peut-être été acheté par un groupe de ransomwares nouvellement apparu appelé Lynx ransomware. Cependant, cela pourrait également être un effort de changement de marque, permettant potentiellement à INC RANSOM de poursuivre ses opérations avec moins d’attention de la part des forces de l’ordre.

Breachtrace a effectué une analyse des chaînes entre les nouveaux chiffreurs Lynx ransomware et les récents chiffreurs INC, et à part de petits changements, peut confirmer qu’ils sont pour la plupart identiques.

Comparaison des chaînes de ransomware INC et Lynx

En novembre 2023, McLaren a informé près de 2,2 millions de personnes d’une violation de données qui a exposé leurs informations personnelles et de santé entre fin juillet et août 2023.

Les données compromises comprenaient les noms, les numéros de sécurité sociale, l’assurance maladie et les informations sur les médecins, ainsi que Medicare/Medicaid, les ordonnances/médicaments, les résultats de diagnostic et les informations sur le traitement.

Le groupe de ransomwares ALPHA/Black Cat a revendiqué l’attaque de juillet 2023 à l’origine de la violation de données du 4 octobre.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *