Une entreprise du Colorado spécialisée dans la fourniture de services informatiques aux cabinets dentaires a subi une attaque de ransomware qui perturbe les opérations de plus de 100 cabinets dentaires, a appris BreachTrace.
Plusieurs sources concernées disent que leur fournisseur informatique, basé à Englewood, Colorado Solutions technologiques complètes (CTS), a été piraté, permettant à une puissante souche de ransomware connue sous le nom de « Sodinokibi » ou « rEvil » d’être installée sur les ordinateurs de plus de 100 entreprises dentaires qui dépendent de l’entreprise pour une gamme de services – y compris la sécurité du réseau, la sauvegarde des données et un service de téléphonie voix sur IP.
Joint par téléphone vendredi soir, le président de la CTS Mineur d’herbes a refusé de répondre aux questions sur l’incident. Interrogé sur les informations faisant état d’une attaque de ransomware contre son entreprise, Miner a simplement répondu que ce n’était pas le bon moment et a raccroché.
L’attaque contre CTS, qui a apparemment commencé le 25 novembre et affecte toujours bon nombre de ses clients, survient un peu plus de deux mois après que Sodinokibi a frappé le fournisseur d’informatique dentaire PerCSoft, basé au Wisconsin, une intrusion qui a chiffré les fichiers d’environ 400 cabinets dentaires.
Après avoir discuté avec plusieurs entreprises touchées et avec des sociétés de sécurité tierces appelées pour aider à restaurer les systèmes, il semble que CTS ait refusé de payer une demande de rançon initiale de 700 000 $ pour une clé permettant de déverrouiller les systèmes infectés sur tous les sites des clients.
Thomas TerronezPDG de l’Iowa Médix Dentairea déclaré avoir parlé avec plusieurs pratiques qui ont été mises à l’écart par l’attaque du rançongiciel, et que certains clients de CTS avaient des sauvegardes utilisables de leurs données disponibles hors site, tandis que d’autres ont travaillé avec des experts externes pour négocier et payer de manière indépendante la rançon pour leur pratique seulement.
De nombreux clients de CTS se sont mis à publier des informations sur l’attaque contre un groupe Facebook privé pour les dentistes, discutant des mesures qu’ils ont prises ou tenté de prendre pour récupérer leurs fichiers.
« Je recommanderais à chacun de contacter son assureur », a déclaré un dentiste basé à Denver. « CTS m’a dit que je devrais payer la rançon pour récupérer mes fichiers corrompus. »
« Mon expérience a été très différente », a répondu un dentiste basé à Las Vegas. « Pas d’aide de mon assurance. Toujours pas de travail, grande perte de revenus, les patients sont fous, le personnel encore pire.
Il y a un aspect de cette attaque qui a massivement compliqué les efforts de restauration, même chez les pratiques qui ont négocié le paiement de la demande de rançon : Plus précisément, deux sources ont déclaré que plusieurs bureaux de la victime se sont retrouvés avec plusieurs notes de rançon et extensions de fichiers cryptées.
En conséquence, la clé de déchiffrement fournie par les attaquants n’a déverrouillé que quelque des fichiers brouillés, obligeant les cabinets dentaires concernés à consacrer davantage de temps, d’efforts et de dépenses pour obtenir toutes les clés nécessaires pour restaurer complètement l’accès à leurs systèmes.
Gary Salman est PDG de Sécurité de la Serre noire, une société de cybersécurité basée à New York qui a aidé plusieurs clients de CTS dans le processus de récupération. Salmon a déclaré qu’il n’était pas certain de la raison pour laquelle les attaquants avaient choisi d’opérer de cette façon, mais que l’explication la plus probable est que les attaquants en tireraient plus d’argent.
« Pour un réseau que nous avons récupéré qui comptait 50 appareils au total, ils ont dû remettre plus de 20 demandes de rançon pour récupérer complètement », a déclaré Salman, ajoutant que les attaquants pourraient simplement se prémunir contre la possibilité que différentes pratiques affectées puissent économiser de l’argent en partageant la même clé de déchiffrement. « À la fin, [the attackers] vont repartir avec beaucoup plus d’argent qu’ils n’en auraient eu [CTS] vient de payer les 700 000 $.
Salman a déclaré que les intrus semblaient avoir compromis un outil d’administration à distance utilisé par CTS pour configurer et dépanner à distance les systèmes des cabinets dentaires clients, et que cette fonctionnalité ne nécessitait pas d’authentification supplémentaire de la part du client avant que cette connexion puisse être établie.
« Ce que font beaucoup de ces sociétés de services informatiques, c’est avoir des sessions actives sur chaque ordinateur client, de sorte que lorsque quelqu’un d’un client appelle, le fournisseur informatique peut se connecter directement et résoudre n’importe lequel de ces problèmes », a-t-il déclaré.
« De nombreux fournisseurs informatiques utiliseront des services d’administration à distance qui nécessitent un [one-time code] que le client doit taper avant que cette session à distance ne soit lancée », a poursuivi Salman. « Mais d’autres [IT providers] ne veulent pas le faire car il leur est alors plus difficile de gérer ces systèmes après les heures de travail ou lorsque l’utilisateur est absent de leur système. Mais en fin de compte, cela se résume à la sécurité par rapport à la facilité d’utilisation, et beaucoup de ces petites entreprises ont tendance à se tourner vers cette dernière.
Terronez de Medix a déclaré que l’industrie dentaire en général a des pratiques de sécurité assez atroces et que relativement peu de cabinets sont prêts à dépenser ce qui est nécessaire pour repousser les attaquants sophistiqués. Il a dit qu’il est courant de voir des serveurs qui n’ont pas été corrigés depuis plus d’un an, des sauvegardes qui n’ont pas fonctionné depuis un certain temps, Windows Defender comme seul point de détection, des réseaux sans fil non segmentés et l’ensemble du personnel ayant un accès administrateur à les ordinateurs — utilisant parfois tous les mêmes mots de passe ou des mots de passe simples.
« Beaucoup d’entre eux [practices] sont contraints de fixer un prix en fonction de ce qu’ils sont prêts à dépenser », a déclaré Terronez, dont la société propose également des services informatiques aux fournisseurs de soins dentaires. « La chose la plus importante pour ces bureaux est la rapidité avec laquelle vous pouvez résoudre leurs problèmes, et pas nécessairement les éléments de sécurité en coulisse jusqu’à ce que cela compte vraiment. »
Mise à jour, 8 décembre, 13 h 21 HE : Ajout d’une perspective et de détails supplémentaires recueillis par Black Talon Security. En outre, une version antérieure de cette histoire indiquait à tort que l’attaque par ransomware avait commencé la semaine dernière. Plusieurs sources confirment maintenant que le rançongiciel Sodinokibi a été initialement déployé aux petites heures du matin du lundi 25 novembre et que de nombreux cabinets dentaires victimes refusent toujours des patients en raison de pannes continues du système.