Le gang de rançongiciels Hunters International a affirmé être à l’origine d’une cyberattaque contre le Fred Hutchinson Cancer Center (Fred Hutch) qui a entraîné des menaces d’extorsion personnalisées pour les patients.
Fred Hutch est un centre de recherche sur le cancer et de soins et de traitement des patients basé à Seattle qui exploite un réseau de plus de dix sites cliniques dans la région.
Au début du mois, l’hôpital a divulgué un incident de cybersécurité survenu le 19 novembre 2023, impliquant un accès non autorisé à ses réseaux.
L’organisation de santé a mis en quarantaine les serveurs affectés, mis son réseau clinique hors ligne pour empêcher la propagation de la menace et a informé les autorités fédérales chargées de l’application de la loi de l’attaque.
L’enquête menée avec l’aide d’un expert médico-légal de premier plan n’a pas permis de prouver que les attaquants avaient volé les données des patients, selon l’avis publié sur le site Web de Fred Hutch. Cependant, les enquêtes sur ce front ne sont pas encore terminées.
Aujourd’hui, le groupe de ransomwares Hunters International a ajouté Fred Hutchinson à son portail d’extorsion sur le dark Web, menaçant l’organisation de soins de santé de divulguer 533,1 Go de données prétendument volées de ses réseaux.
Les acteurs de la menace n’ont publié que des vignettes de certains documents qu’ils prétendent avoir exfiltrés des réseaux de Fred Hutch, de sorte que le chantage est toujours en cours.
Patients menacés
La semaine dernière, il a été rapporté que les acteurs de la menace responsables de l’attaque contre Fred Hutch envoyaient des courriels aux patients individuellement, les menaçant de divulguer publiquement leurs données sensibles.
Tel que rapporté par le Seattle Times, les attaquants ont envoyé un e-mail à de nombreux patients indiquant qu’ils avaient les noms, les numéros de sécurité sociale, les numéros de téléphone, les antécédents médicaux, les résultats de laboratoire et les antécédents d’assurance de plus de 800 000 patients.
« Si vous lisez ceci, vos données ont été volées et seront bientôt vendues à divers courtiers en données et marchés noirs pour être utilisées dans la fraude et d’autres activités criminelles », lit – on dans les courriels consultés par le Seattle Times.
Ces courriels contiendraient les informations personnelles des destinataires comme preuve, y compris l’adresse, le numéro de téléphone et le numéro de dossier médical d’un patient, ainsi qu’un lien vers un site où ils pourraient payer 50 $pour empêcher la vente des données.
Fred Hutch a émis un avertissement concernant les courriels et a informé les forces de l’ordre. En outre, ils ont dit aux patients qui avaient reçu les courriels de ne pas payer les auteurs de menaces et de bloquer l’expéditeur et de supprimer le courriel.
Appeler ou envoyer un e-mail aux clients, sous-traitants et partenaires d’une organisation piratée pour faire pression sur la victime n’est pas nouveau pour les ransomwares. Cependant, il n’est pas courant que les acteurs de la menace offrent aux personnes exposées un moyen d’empêcher la divulgation de leurs données.
Hunters International est une opération relativement nouvelle de Ransomware en tant que service (RaaS) qui serait un changement de nom de l’opération de ransomware Hive en raison des similitudes dans le code du chiffreur.
Cependant, Hunters International a nié tout lien avec Hive, affirmant qu’ils avaient acheté le logiciel et le site Web de la défunte opération de ransomware.
Les acteurs de la menace ciblent des entreprises de toutes tailles, avec des demandes de rançon vues par Breachtrace allant de centaines de milliers à des millions de dollars.
La semaine dernière, le groupe de menaces a revendiqué une attaque contre Austal USA, un important entrepreneur en construction navale pour le gouvernement américain.