Le lundi 26 octobre, BreachTrace a commencé à donner suite à une information d’une source fiable selon laquelle un gang de cybercriminels russe agressif connu pour déployer des rançongiciels se préparait à perturber les systèmes informatiques de centaines d’hôpitaux, de cliniques et d’établissements de soins médicaux à travers les États-Unis. Aujourd’hui, les responsables de la FBI et le Département américain de la sécurité intérieure a organisé à la hâte une conférence téléphonique avec des dirigeants de l’industrie de la santé avertissant d’une « menace imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ».
Les agences participant à la conférence téléphonique, qui comprenait le Département américain de la santé et des services sociaux (HHS), a mis en garde les participants contre « des informations crédibles sur une menace de cybercriminalité accrue et imminente pour les hôpitaux et les prestataires de soins de santé américains ».
Les agences ont déclaré qu’elles partageaient les informations « pour avertir les prestataires de soins de santé afin de s’assurer qu’ils prennent des précautions opportunes et raisonnables pour protéger leurs réseaux contre ces menaces ».
L’avertissement est venu moins de deux jours après que cet auteur a reçu un pourboire de Alex Holdenfondateur de la société de cyber-intelligence basée à Milwaukee Garder la sécurité. Holden a déclaré avoir vu cette semaine des communications en ligne entre des cybercriminels affiliés à un groupe de rançongiciels russophone connu sous le nom de Ryuk, dans lesquelles les membres du groupe ont discuté des plans de déploiement de rançongiciels dans plus de 400 établissements de santé aux États-Unis.
Un participant à la conférence téléphonique du gouvernement a déclaré aujourd’hui que les agences avaient fourni peu de détails concrets sur la manière dont les organisations de soins de santé pourraient mieux se protéger contre cet acteur menaçant ou cette prétendue campagne de logiciels malveillants.
« Ils n’ont partagé aucun IoC [indicators of compromise]donc il s’agit simplement de « corriger vos systèmes et de signaler tout élément suspect » », a déclaré un vétéran de l’industrie de la santé qui a participé à la discussion.
Cependant, d’autres participants à l’appel ont déclaré que les IoC pourraient être de peu d’aide pour les hôpitaux qui ont déjà été infiltrés par Ryuk. En effet, l’infrastructure de logiciels malveillants utilisée par le gang Ryuk est souvent unique pour chaque victime, y compris tout, des fichiers exécutables Microsoft Windows qui sont déposés sur les hôtes infectés aux soi-disant serveurs de « commande et contrôle » utilisés pour transmettre des données entre et parmi systèmes compromis.
Néanmoins, la société de réponse aux incidents de cybersécurité Mandiant aujourd’hui a publié une liste de domaines et d’adresses Internet utilisés par Ryuk lors d’attaques précédentes tout au long de 2020 et jusqu’à aujourd’hui. Mandiant fait référence au groupe par la classification d’acteur menaçant « UNC1878 » et a diffusé un webcast aujourd’hui détaillant certaines des dernières tactiques d’exploitation de Ryuk.
Charles Carmakalvice-président senior de Mandiant, a déclaré à Reuters qu’UNC1878 est l’un des acteurs de la menace les plus effrontés, sans cœur et perturbateurs qu’il ait observés au cours de sa carrière.
« Plusieurs hôpitaux ont déjà été considérablement touchés par le rançongiciel Ryuk et leurs réseaux ont été mis hors ligne », a déclaré Carmakal.
Un vétéran de l’industrie de la santé qui a participé à l’appel aujourd’hui et qui s’est entretenu avec BreachTrace sous couvert d’anonymat a déclaré que s’il y avait vraiment des centaines d’établissements médicaux à risque imminent ici, cela semblerait dépasser le cadre d’un groupe hospitalier et pourrait impliquer certains type de fournisseur de dossiers de santé électroniques qui s’intègre à de nombreux établissements de soins.
Jusqu’à présent, cependant, rien de tel que des centaines d’installations n’ont signalé publiquement des incidents de ransomware. Mais il y a eu une poignée d’hôpitaux confrontés à des attaques de ransomwares ces derniers jours.
–Examen de l’hôpital de Becker rapporté aujourd’hui qu’une attaque de ransomware a frappé les systèmes informatiques du Sky Lakes Medical Center, basé à Klamath Falls, en Oregon.
–Nouvelles de la chaîne 7 de WWNY à New York rapporté hier qu’une attaque de rançongiciel Ryuk sur le système de santé du Saint-Laurent a entraîné des infections informatiques dans les hôpitaux Caton-Potsdam, Messena et Gouverneur.
–SWNewsMedia.com signalé lundi sur une « activité de réseau non identifiée » qui a perturbé certaines opérations au Ridgeview Medical Center à Waconia, dans le Minnesota. SWNews indique que le système de Ridgeview comprend le Two Twelve Medical Center de Chaska, trois hôpitaux, des cliniques et d’autres sites d’urgence et de soins de longue durée dans la région métropolitaine.
–CNB5 rapports Le réseau de santé de l’Université du Vermont fait face à un « problème de réseau important et continu à l’échelle du système » qui pourrait être une cyberattaque malveillante.
-UNE récit à Breachtrace.com dit que l’hôpital Wyckoff de New York a subi une attaque de rançongiciel Ryuk le 28 octobre.
Ceci est une histoire en développement. Restez à l’écoute pour d’autres mises à jour.
Mise à jour, 22 h 11 HE : Le FBI, le DHS et le HHS viennent de publier conjointement une alerte à ce sujet, disponible ici.
Mise à jour, 30 octobre, 11 h 14 HE : Ajout de la mention du compromis Ryuk de l’hôpital Wyckoff.