Posté le août 30, 2023 à 5:13
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Récemment, Prospect Medical Holdings a été victime d’une cyberattaque massive qui aurait permis de voler environ 500 000 numéros de sécurité sociale. En outre, les hackers ont également réussi à s’enfuir avec des dossiers de patients et même certains documents d’entreprise. Depuis lors, un groupe de ransomware appelé Rhysida a revendiqué la responsabilité de la violation.
Détails de l’attaque
Les chercheurs pensent que l’attaque s’est produite au début du mois, le 3 août. À cette époque, les employés de l’entreprise ont commencé à trouver des notes de rançon sur leurs écrans. Ces notes indiquaient que leur réseau avait été piraté et que tous les appareils qui y étaient connectés étaient cryptés.
Voici comment fonctionne une attaque typique de ransomware : les hackers identifient un réseau, violent sa sécurité et cryptent les appareils, tout en essayant de voler les informations jugées précieuses et de les vendre à d’autres personnes susceptibles d’en avoir l’utilité. Pendant ce temps, les propriétaires du réseau ciblé sont informés qu’ils doivent payer une certaine somme pour obtenir la clé de décryptage et débloquer leurs fichiers.
Prospect Medical Holdings est une entreprise de soins de santé basée aux États-Unis, qui exploite 16 hôpitaux dans différents États, dont la Californie, la Pennsylvanie, le Rhode Island et le Connecticut. Outre ces 16 établissements, l’entreprise dispose également d’un réseau de 166 centres et cliniques ambulatoires.
Les hôpitaux ont fermé leurs réseaux pour mettre fin à l’attaque
Après l’attaque, la plupart de ces hôpitaux ont fini par fermer leurs réseaux informatiques. Leur objectif était d’essayer d’empêcher l’attaque de se propager davantage. Cependant, en fermant leurs propres réseaux, ils ont été contraints de revenir à l’utilisation de dossiers papier.
Dans un premier temps, Prospect Medical Holdings n’a pas commenté l’événement. Cependant, les chercheurs ont appris que le groupe à l’origine de l’attaque était le gang Rhysida ransomware. Près d’un mois s’est écoulé depuis l’attaque, et des progrès ont été réalisés dans la restauration des réseaux.
Par exemple, CharterCare, qui est l’un des réseaux d’hôpitaux, affirme aujourd’hui que les systèmes sont à nouveau opérationnels. Cependant, ils travaillent toujours à la restauration des dossiers des patients. Un avis publié sur CharterCare.org se lit comme suit : « Les travaux visant à introduire dans notre système de dossier médical électronique (DME) les dossiers papier des patients utilisés par nos soignants pendant que nos systèmes étaient hors service se poursuivent. »
Jusqu’à présent, les employés n’ont toutefois pas pu savoir si des données avaient été dérobées lors de la violation.
À propos de Rhysida
L’attaque a été menée par un groupe de ransomware se faisant appeler Rhysida. Le gang a lancé son opération en mai 2023 et s’est rapidement rendu célèbre en attaquant l’armée Chilienne. L’attaque a réussi et les hackers ont fini par faire fuir les données volées, ce qui leur a valu une sacrée réputation dans le monde de la sécurité en ligne.
Au début du mois d’août, le ministère Américain de la santé et des services sociaux (HHS) a lancé une mise en garde contre le gang, affirmant que Rhysida était responsable des récentes attaques contre des organismes de soins de santé. Le gang l’a confirmé en revendiquant ouvertement la responsabilité de Prospect Medical Holdings. En outre, il menace de vendre les données volées, qui consisteraient en 1 To de documents et une base de données SQL de 1,3 To contenant les numéros de sécurité sociale, les permis de conduire, les passeports, les données médicales des patients, les documents d’entreprise et d’autres données sensibles.
Le gang veut 50 bitcoins (BTC) en retour, ce qui représente environ 1,35 million de dollars, selon le cours de la pièce au moment de la rédaction (27 170 dollars).
Les hackers ont fourni eux-mêmes le contenu des données volées sur leur site de fuite de données, en précisant : « Ils ont aimablement fourni : plus de 500000 SSN, les passeports de leurs clients et employés, les permis de conduire, les dossiers des patients (profil, antécédents médicaux), les documents financiers et juridiques !!! »
En outre, le site web de fuite de données du groupe a aussi partagé des captures d’écran de plusieurs permis de conduire et d’autres documents volés au cours de l’attaque. Certaines de ces captures d’écran contiennent également du papier à en-tête de l’Eastern Connecticut Health Network, l’un des réseaux hospitaliers appartenant à PMH.
Malgré de nombreuses demandes d’informations et de commentaires, PMH n’a répondu à aucune de ces demandes pour le moment.