Prêt pour l’extorsion? L’hôpital Navajo Nation ciblé par un piratage de ransomware à grande échelle
Lorsque Rehoboth McKinley Christian Health Care Services à Gallup, au Nouveau-Mexique, a été frappé par une cyberattaque plus tôt cette année, le personnel de l’hôpital a dû revenir au stylo et au papier pour que les choses fonctionnent.
Les détails publiquement disponibles sur le piratage sont rares, et l’hôpital a refusé de commenter au-delà de la confirmation que la faille de sécurité a brièvement forcé son personnel à quitter ses ordinateurs. Mais des fichiers d’employés sensibles publiés en ligne par un groupe de pirates informatiques connu pour ses attaques de ransomware et vus par NBC News indiquaient à quel point une attaque avait été subie par l’hôpital: des fichiers sur tout, des demandes d’emploi et des vérifications des antécédents aux rapports de blessures du personnel.
Les attaques de ransomwares, dans lesquelles des pirates ont accès à un système privé pour le garder en otage contre paiement, sont un problème pour les entreprises depuis plus de trois ans. Certains hôpitaux ont une mauvaise cybersécurité et des gangs sans scrupules les considèrent comme potentiellement débordants d’argent et facilement contraints par la menace de fuites de données sur les patients.
L’année dernière, au moins 560 établissements de santé ont été infectés par un ransomware, selon une enquête de la société de cybersécurité Emsisoft. En octobre, au milieu d’une vague d’attaques particulièrement brutale, plusieurs agences fédérales ont émis des avertissements « d’une menace accrue et imminente de cybercriminalité » contre les hôpitaux. Un avis de l’American Hospital Association a expliqué comment la pandémie de Covid-19 avait encouragé les cybercriminels «à exploiter, à victimiser et à tirer profit» des attaques de ransomwares.
Le groupe de pirates informatiques qui a violé Rehoboth a volé des fichiers d’employés sensibles, tels que des demandes d’emploi et des autorisations de vérification des antécédents comprenant des numéros de sécurité sociale, et les a affichés sur son site Web dans une tentative apparente d’extorquer l’hôpital pour paiement.
« On dirait qu’il y a toutes sortes de choses malheureuses qui se sont produites dans cet hôpital au cours de l’année dernière, avec la pandémie et tout », a déclaré le Dr Ravij Patel, un chirurgien qui a quitté l’hôpital à cause du bouleversement l’année dernière et qui a confirmé que ses informations étaient publiées en ligne. .
Rehoboth, un hôpital rural à but non lucratif qui dessert environ 20 000 patients par an – dont la majorité sont des membres de la nation Navajo – était déjà dans une position difficile. Seul grand hôpital non gouvernemental de sa région, Rehoboth a limogé son PDG l’année dernière après que des membres du personnel l’ont accusé de mauvaise gestion alors qu’il manquait de personnel et était débordé de cas de Covid-19.
Patel, ainsi que trois autres personnes qui avaient travaillé ou postulé à l’hôpital et dont les informations privées figuraient également parmi les fichiers que les pirates ont postés, ont tous déclaré à NBC News qu’ils n’avaient pas été alertés de l’incident ni reçu de notification de l’hôpital.
«L’idée est que si la victime ne paie pas pour déchiffrer ses fichiers, elle paiera pour éviter que ces fichiers ne soient largement partagés», a déclaré Allan Liska, analyste de ransomware au sein de la société de cybersécurité Recorded Future. « Certaines industries, comme les soins de santé, sont plus sensibles que d’autres à la divulgation de fichiers. »
Le groupe de hackers n’a pas répondu aux questions envoyées par e-mail. Plus tôt en février, le même gang a publié des dizaines de milliers de dossiers médicaux de patients de deux autres chaînes hospitalières américaines qu’il avait attaquées.
«La plupart des acteurs du ransomware volent désormais des fichiers», a déclaré Liska. «Lorsque la victime refuse de payer, le groupe de ransomware publie les fichiers volés sur son site d’extorsion, ce que l’on appelle communément la double extorsion.»
Il n’est pas clair si l’hôpital a payé la rançon, mais les pirates ont depuis supprimé les fichiers Rehoboth de leur site Web, ce qui indique que l’hôpital a peut-être répondu à leurs demandes, a-t-il déclaré.
«La récupération après une attaque de ransomware nécessite souvent des négociations avec les acteurs du ransomware», a déclaré Liska. « Habituellement, lorsque des fichiers apparaissent sur un site d’extorsion puis disparaissent, cela signifie qu’un paiement a été effectué. »
Ina Burmeister, directrice du développement de Rehoboth, a refusé de mettre des cadres à disposition pour des entretiens ou pour répondre à des détails sur l’attaque, y compris s’il avait payé la rançon ou comment l’hôpital traitait actuellement l’attaque.
«Avec les conseils d’experts externes en cybersécurité, nous avons depuis mis en place des mesures de sécurité supplémentaires», a-t-elle déclaré dans un e-mail. «Bien que certaines de ces mesures aient occasionné des ralentissements occasionnels de notre système, la sécurité des patients est restée notre priorité absolue pendant cette période.»
Certains des fichiers divulgués incluent des demandes d’emploi, dans lesquelles les infirmières partagent leurs antécédents et déclarent qu’elles aimeraient commencer à 13,25 $ de l’heure. Quelques-uns sont des rapports d’accidents du travail. L’un d’eux détaille un incident où une infirmière plus âgée a trébuché sur un câble d’alimentation sur le sol et s’est blessée au genou.
Et que l’hôpital ait payé les hackers du ransomware ou non, l’incident a été un autre coup dur pour un hôpital qui a déjà eu du mal à servir sa population d’Amérindiens. Patel a déclaré que l’hôpital avait grandement besoin d’une unité de soins intensifs modernisée.
«La nation Navajo dans son ensemble est de la taille d’un petit État, mais elle est terriblement insuffisante pour ses habitants en termes d’accès aux services spécialisés, y compris l’USI», a-t-il déclaré. «Toutes les ressources consacrées à la construction d’une unité de soins intensifs seraient probablement meilleures que de payer un groupe de pirates.»