Une épidémie de ransomware a assiégé une société informatique basée au Wisconsin qui fournit l’hébergement de données en nuage, la sécurité et la gestion des accès à plus de 100 maisons de soins infirmiers à travers les États-Unis. L’attaque en cours empêche ces centres de soins d’accéder aux dossiers médicaux cruciaux des patients, et la propriétaire de la société informatique dit qu’elle craint que cet incident ne conduise bientôt non seulement à la fermeture de son entreprise, mais aussi à la mort prématurée de certains patients.
Milwaukee, Wisc. basé Fournisseur de soins virtuels Inc. (VCPI) fournit des services de conseil informatique, d’accès à Internet, de stockage de données et de sécurité à quelque 110 maisons de soins infirmiers et établissements de soins aigus dans 45 États. Au total, VCPI est responsable de la maintenance d’environ 80 000 ordinateurs et serveurs qui assistent ces installations.
Vers 1 h 30 CT le 17 novembre, des attaquants inconnus ont lancé une souche de ransomware connue sous le nom de Ryûk à l’intérieur des réseaux de VCPI, cryptant toutes les données que l’entreprise héberge pour ses clients et exigeant une énorme rançon de 14 millions de dollars en échange d’une clé numérique nécessaire pour déverrouiller l’accès aux fichiers. Ryuk s’est fait un nom en ciblant les entreprises qui fournissent des services à d’autres entreprises – en particulier les entreprises de données en nuage – les demandes de rançon étant fixées en fonction de la capacité de paiement perçue de la victime.
Dans une interview avec BreachTrace aujourd’hui, le directeur général et propriétaire de VCPI Karen Christianson a déclaré que l’attaque avait affecté pratiquement toutes leurs offres de base, y compris le service Internet et le courrier électronique, l’accès aux dossiers des patients, la facturation des clients et les systèmes téléphoniques, et même les propres opérations de paie de VCPI qui desservent près de 150 employés de l’entreprise.
Les établissements de soins desservis par VCPI accèdent à leurs dossiers et à d’autres systèmes sous-traités à VCPI en utilisant un Basé sur Citrix réseau privé virtuel (VPN), et Christianson a déclaré que la restauration de l’accès des clients à cette fonctionnalité est actuellement la priorité absolue de l’entreprise.
« Nous avons des employés qui demandent quand nous allons faire la paie », a déclaré Christianson. « Mais pour le moment, tout ce dont nous nous occupons, c’est de sauvegarder les dossiers médicaux électroniques et de traiter en premier les situations mettant la vie en danger. »
Christianson a déclaré que son entreprise ne pouvait pas se permettre de payer le montant de la rançon demandée – environ 14 millions de dollars de Bitcoin – et a déclaré que certains clients risqueraient bientôt de devoir fermer leurs portes si VCPI ne pouvait pas se remettre de l’attaque.
« Nous avons des installations où les infirmières ne peuvent pas mettre à jour les médicaments et passer la commande afin que les médicaments puissent arriver à temps », a-t-elle déclaré. « Dans un autre cas, nous avons ce petit lieu de vie assistée qui n’est qu’une seule unité qui se connecte à la facturation. Et s’ils n’obtiennent pas leur facturation à Medicaid d’ici le 5 décembre, ils ferment leurs portes. Les personnes âgées qui n’ont pas de famille à qui s’adresser ont alors fini. Nous avons beaucoup de [clients] en ce moment qui sont comme, ‘Donnez-moi simplement mes données’, mais nous ne pouvons pas.
L’incident en cours chez VCPI n’est que le dernier d’une série d’attaques de rançongiciels contre les organisations de santé, qui fonctionnent généralement avec des marges bénéficiaires extrêmement minces et ont relativement peu de fonds à investir dans la maintenance et la sécurisation de leurs systèmes informatiques.
En début de semaine, un Un hôpital de 1 300 lits en France a été touché par un ransomware qui a mis ses systèmes informatiques hors ligne, provoquant « de très longs délais de prise en charge » et obligeant le personnel à recourir au stylo et au papier.
Le 20 novembre, Cape Girardeau, Mo. Système de santé Saint-François a commencé à informer les patients d’une attaque par ransomware qui a empêché les médecins d’accéder aux dossiers médicaux avant le 1er janvier.
Tragiquement, il existe des preuves suggérant que les résultats pour les patients peuvent souffrir même après que la poussière se soit retombée d’une infestation de ransomware chez un fournisseur de soins de santé. De nouvelles recherches indiquent que les hôpitaux et autres établissements de soins qui ont été touchés par une violation de données ou une attaque de ransomware peuvent s’attendre à voir une augmentation du taux de mortalité chez certains patients dans les mois ou les années à venir en raison des efforts de remédiation de la cybersécurité.
Des chercheurs de l’Owen Graduate School of Management de l’Université Vanderbilt ont pris la liste des violations de données de santé du ministère de la Santé et des Services sociaux (HHS) et l’ont utilisée pour approfondir les données sur les taux de mortalité des patients dans plus de 3 000 hôpitaux certifiés Medicare, soit environ 10 % des qui avait subi une violation de données.
Leurs conclusions suggèrent qu’après des violations de données, jusqu’à 36 décès supplémentaires pour 10 000 crises cardiaques se sont produits chaque année dans les centaines d’hôpitaux examinés. Les chercheurs ont conclu que pour les centres de soins qui ont subi une brèche, il a fallu 2,7 minutes supplémentaires pour que les patients suspects de crise cardiaque reçoivent un électrocardiogramme.
Les entreprises touchées par le rançongiciel Ryuk sont trop souvent compromises pendant des mois, voire des années, avant que les intrus ne parviennent à cartographier les réseaux internes de la cible et à compromettre les ressources clés et les systèmes de sauvegarde des données. En règle générale, l’infection initiale provient d’une pièce jointe piégée qui est utilisée pour télécharger des logiciels malveillants supplémentaires, tels que Trickbot et émoticône.
Dans ce cas, il existe des preuves suggérant que VCPI a été compromis par l’une (ou les deux) de ces souches de logiciels malveillants à plusieurs reprises au cours de l’année écoulée. Alex Holdenfondateur de la société de cyber-intelligence basée à Milwaukee Garder la sécuritéa montré les informations de BreachTrace obtenues à partir de la surveillance des communications du dark web, suggérant que l’intrusion initiale pourrait avoir commencé dès septembre 2018.
Holden a dit tL’attaque était évitable jusqu’à la toute fin, lorsque le ransomware a été déployé, et que cette attaque montre une fois de plus que même après l’infection initiale par Trickbot ou Emotet, les entreprises peuvent toujours empêcher une attaque par ransomware. C’est, bien sûr, en supposant qu’ils ont l’habitude de rechercher régulièrement des signes d’intrusion.
« Bien qu’il soit clair que la violation initiale s’est produite il y a 14 mois, l’escalade du compromis n’a commencé que vers le 15 novembre de cette année », a déclaré Holden. « Lorsque nous avons examiné cela rétrospectivement, au cours de ces trois jours, les cybercriminels ont lentement compromis l’ensemble du réseau, désactivant l’antivirus, exécutant des scripts personnalisés et déployant des rançongiciels. Ils n’ont même pas réussi au début, mais ils ont continué d’essayer.
Le PDG de VCPI a déclaré que son organisation prévoyait de documenter publiquement tout ce qui s’est passé jusqu’à présent quand (et si) cette attaque est maîtrisée, mais pour l’instant, l’entreprise se concentre entièrement sur la reconstruction des systèmes et la restauration des opérations, et sur informer les clients à chaque étape du chemin.
« Nous allons intégrer à notre stratégie de partager tout ce que nous traversons », a déclaré Christianson, ajoutant que lorsque l’entreprise a initialement tenté plusieurs efforts pour éviter les intrus, leurs systèmes téléphoniques ont fait l’objet d’attaques concertées. « Mais nous sommes toujours attaqués, et dès que nous pourrons ouvrir, nous allons tout documenter. »