Un hôpital du Kentucky a déclaré qu’il fonctionnait dans un « état d’urgence interne » après qu’une attaque de ransomware s’est propagée à l’intérieur de ses réseaux, cryptant des fichiers sur des systèmes informatiques et conservant les données qu’ils contiennent en otage jusqu’à ce que l’hôpital paie.
Une bannière rouge en continu sur Methodisthospital.net avertit qu’une infection par un virus informatique a limité l’utilisation par l’hôpital des services électroniques basés sur le Web. Cliquez pour agrandir.
Basé à Henderson, Kentucky Hôpital méthodiste a placé une alerte rouge défilante sur sa page d’accueil cette semaine, indiquant que «l’hôpital méthodiste travaille actuellement dans un état d’urgence interne en raison d’un virus informatique qui a limité notre utilisation des services électroniques basés sur le Web. Nous travaillons actuellement à résoudre ce problème, d’ici là, nous aurons un accès limité aux services Web et aux communications électroniques.
Jaime Reiddirecteur des systèmes d’information de l’hôpital, a déclaré que le malware impliqué est connu sous le nom de « Locky” souche de ransomware, une contagion qui crypte tous les fichiers, documents et images importants sur un hôte infecté, puis supprime les originaux. Les victimes ne peuvent retrouver l’accès à leurs fichiers qu’en payant la rançon ou en restaurant à partir d’une sauvegarde qui, espérons-le, ne se trouve pas sur un réseau librement accessible à l’ordinateur compromis.
Dans le cas de l’hôpital méthodiste, le ransomware a tenté de se propager de l’infection initiale à l’ensemble du réseau interne et a réussi à compromettre plusieurs autres systèmes, a déclaré Reid. Cela a incité l’hôpital à fermer tous les ordinateurs de bureau de l’hôpital, remettant les systèmes en ligne un par un seulement après avoir scanné chacun d’eux pour détecter les signes d’infection.
«Nous avons un système d’intervention d’urgence assez robuste que nous avons développé il y a quelques années, et il nous a semblé que, comme tout le monde parle du problème informatique à l’hôpital, nous devrions peut-être simplement traiter cela comme une tornade, car nous fermons essentiellement notre système arrêté et rouvert ordinateur par ordinateur », a déclaré Parc Davidun avocat du centre de santé du Kentucky.
Les attaquants exigent seulement quatre bitcoins en échange d’une clé pour déverrouiller les fichiers cryptés ; c’est un peu plus de 1 600 $ US au taux de change d’aujourd’hui.
Park a déclaré que l’administration n’avait pas exclu de payer la rançon.
« Nous n’avons pas encore pris de décision à ce sujet, nous travaillons sur le processus », avec le FBI, a-t-il déclaré. « Je pense que notre position est que nous n’allons pas le payer à moins que nous ne le devions absolument. »
L’attaque contre Methodist survient quelques semaines seulement après qu’il a été révélé qu’un hôpital californien était également assiégé par un logiciel de rançon payé une rançon de 17 000 $ pour récupérer ses fichiers.
Park a déclaré que le principal effet de l’infection a été les temps d’arrêt, ce qui a obligé l’hôpital à tout traiter à la main sur papier. Il a refusé de dire quels systèmes étaient infectés, mais a déclaré qu’aucune donnée de patient n’avait été affectée.
« Nous avons de toute façon des procédures d’arrêt pour passer au système papier, alors nous sommes allés à ce système papier », a-t-il déclaré. « Mais nous n’avons pas l’impression que cela a eu un impact négatif sur les soins aux patients. Ils n’ont obtenu aucune information sur les patients ”
Les infections par rançongiciels sont en grande partie des attaques opportunistes qui s’attaquent principalement aux personnes qui naviguent sur le Web avec des navigateurs Web obsolètes et/ou des plug-ins de navigateur tels que Java et Adobe Flash et Reader. La plupart des attaques de rançongiciels tirent parti des kits d’exploit, un code malveillant qui, lorsqu’il est intégré à un site piraté, sonde les navigateurs visitant la présence de ces vulnérabilités.
L’attaque contre l’hôpital méthodiste était une autre forme d’attaque opportuniste qui est arrivée par courrier indésirable, dans des messages indiquant quelque chose sur les factures et que les destinataires devaient ouvrir un fichier joint (piégé).
Il y a fort à parier qu’à mesure que les attaques de rançongiciels et les attaquants mûriront, ces stratagèmes deviendront lentement plus ciblés. Je crains également que ces attaquants plus délibérés prennent un peu plus de temps pour discerner la valeur réelle des données qu’ils ont cryptées, et précisément combien la victime pourrait être prête à payer pour les récupérer.