Les agences fédérales ont averti que les cybercriminels déclenchent une vague de tentatives d'extorsion de données contre le système de santé américain visant à verrouiller les systèmes d'information des hôpitaux, ce qui pourrait nuire aux soins des patients, tout comme les cas de COVID-19 à l'échelle nationale augmentent.
Dans une alerte conjointe mercredi, le FBI et deux agences fédérales ont averti qu'ils avaient «des informations crédibles sur une menace de cybercriminalité accrue et imminente pour les hôpitaux et les prestataires de soins de santé américains». L'alerte indique que des groupes malveillants ciblent le secteur avec des attaques qui produisent «le vol de données et la perturbation des services de santé».
Les cyberattaques impliquent un ransomware, qui transforme les données en charabia qui ne peut être déverrouillé qu'avec des clés logicielles fournies une fois que les cibles ont payé. Des experts en sécurité indépendants affirment qu'il a déjà entravé au moins cinq hôpitaux américains cette semaine et qu'il pourrait potentiellement en affecter des centaines d'autres.
L'offensive d'un gang criminel russophone coïncide avec l'élection présidentielle américaine, bien que rien n'indique immédiatement qu'ils étaient motivés par autre chose que le profit. «Nous sommes confrontés à la menace de cybersécurité la plus importante que nous ayons jamais vue aux États-Unis», a déclaré Charles Carmakal, directeur technique de la société de cybersécurité Mandiant, dans un communiqué.
Alex Holden, PDG de Hold Security, qui suit de près le ransomware en question depuis plus d'un an, a convenu que l'offensive en cours était d'une ampleur sans précédent pour les États-Unis, compte tenu de son timing dans le feu de l'action présidentielle et de la pire des élections présidentielles au monde. pandémie en un siècle.
L'alerte fédérale a été co-rédigée par le Département de la sécurité intérieure et le Département de la santé et des services sociaux.
Les cybercriminels qui lancent les attaques utilisent une souche de ransomware connue sous le nom de Ryuk, qui est amorcée via un réseau d'ordinateurs zombies appelé Trickbot que Microsoft a commencé à essayer de contrer plus tôt en octobre. Le Cyber Command américain aurait également pris des mesures contre Trickbot. Alors que Microsoft a eu un succès considérable en mettant hors ligne ses serveurs de commande et de contrôle grâce à une action en justice, les analystes affirment que les criminels ont toujours trouvé des moyens de propager Ryuk.
Les États-Unis ont été témoins d'un fléau de ransomwares au cours des 18 derniers mois environ, les grandes villes de Baltimore à Atlanta touchées et les gouvernements locaux et les écoles particulièrement touchés.
En septembre, une attaque de ransomware a entravé les 250 installations américaines de la chaîne hospitalière Universal Health Services, obligeant les médecins et les infirmières à se fier au papier et au crayon pour la tenue de registres et ralentir les travaux de laboratoire. Les employés ont décrit des conditions chaotiques entravant les soins aux patients, y compris l'augmentation des attentes dans les salles d'urgence et la défaillance de l'équipement de surveillance des signes vitaux sans fil.
Toujours en septembre, le premier décès connu lié à un ransomware s'est produit à Düsseldorf, en Allemagne, lorsqu'une défaillance du système informatique a forcé un patient gravement malade à être acheminé vers un hôpital d'une autre ville.
Holden a déclaré avoir alerté les forces de l'ordre fédérales vendredi après avoir surveillé les tentatives d'infection dans un certain nombre d'hôpitaux, dont certains pourraient avoir repoussé les infections. Le FBI n'a pas immédiatement répondu à une demande de commentaire.
Il a déclaré que le groupe exigeait des rançons bien supérieures à 10 millions de dollars par cible et que les criminels impliqués sur le dark web discutaient de plans pour tenter d'infecter plus de 400 hôpitaux, cliniques et autres établissements médicaux.
« L'un des commentaires des méchants est qu'ils s'attendent à provoquer la panique et, non, ils ne frappent pas les systèmes électoraux », a déclaré Holden. «Ils frappent encore plus là où ça fait mal et ils le savent.» Les responsables américains ont exprimé à plusieurs reprises leur inquiétude face aux principales attaques de ransomwares affectant l'élection présidentielle, même si les criminels sont principalement motivés par le profit.
Carmakal de Mandiant a identifié le gang criminel comme UNC1878, affirmant qu ' »il cible et perturbe délibérément les hôpitaux américains, les forçant à détourner les patients vers d'autres prestataires de soins de santé » et entraîne des retards prolongés dans les soins intensifs.
Il a qualifié le groupe d'Europe de l'Est de «l'un des acteurs de la menace les plus effrontés, les plus cruels et les plus perturbateurs que j'ai observés au cours de ma carrière».
Bien que personne n'ait prouvé des liens présumés entre le gouvernement russe et les gangs qui utilisent la plate-forme Trickbot, Holden a déclaré qu'il n'avait « aucun doute que le gouvernement russe était au courant de cette opération – du terrorisme, en fait. » Il a déclaré que des dizaines de groupes criminels différents utilisent Ryuk, payant une coupe à ses architectes.
Dmitri Alperovitch, co-fondateur et ancien directeur technique de la société de cybersécurité Crowdstrike, a déclaré qu'il existe «certainement de nombreux liens entre les cybercriminels russes et l'État», les pirates employés du Kremlin se faisant parfois passer pour des cybercriminels.
Ni Holden ni Carmakal n'ont pu identifier les hôpitaux concernés. Jusqu'à présent cette semaine, quatre établissements de santé ont été touchés par des ransomwares, trois appartenant au système de santé du comté de St. Lawrence dans le nord de l'État de New York et au Sky Lakes Medical Center à Klamath Falls, Oregon.
Sky Lakes a reconnu l'attaque du ransomware dans une déclaration en ligne, affirmant qu'il ne disposait d'aucune preuve que les informations du patient avaient été compromises. Il a déclaré que les soins d'urgence et les soins d'urgence «restent disponibles». Le réseau du Saint-Laurent n'a pas immédiatement renvoyé les appels téléphoniques demandant des commentaires.
De plus en plus, les criminels de ransomware volent les données de leurs cibles avant de crypter les réseaux, les utilisant à des fins d'extorsion. Ils sèment souvent les logiciels malveillants des semaines avant de les activer, attendant les moments où ils pensent pouvoir extraire les paiements les plus élevés, a déclaré Brett Callow, analyste de la société de cybersécurité Emsisoft.
Un total de 59 fournisseurs / systèmes de santé américains ont été touchés par les ransomwares en 2020, perturbant les soins aux patients dans jusqu'à 510 établissements, a déclaré Callow.
Carmakal a déclaré que Mandiant avait fourni à Microsoft mercredi autant de détails que possible sur le problème afin de pouvoir en distribuer les détails à ses clients. Un porte-parole de Microsoft n'a fait aucun commentaire immédiat.
Les rédacteurs de l'Associated Press Eric Tucker à Washington, D.C., Lisa Baumann à Seattle et Deepti Hajela à New York ont contribué à ce rapport.