Conti ransomware syndicate derrière l’attaque contre le service de santé irlandais
4 min read
Le dévastateur attaque de ransomware contre le Irish Health Service Executive (HSE), était l’œuvre du gang de ransomware Conti, également connu sous le nom de Wizard Spider, selon les rapports.
Le Centre national irlandais de cybersécurité (NCSC), qui mène au triage et à l’enquête, a déclaré avoir activé ses procédures de réponse aux incidents et fournir un soutien continu au HSE. Il a déclaré qu’il avait également détecté une activité suspecte sur le réseau du ministère de la Santé (DoH) mais qu’il avait pu arrêter cette attaque avant l’exécution du ransomware. Il pense que la tentative d’attaque faisait partie de la même campagne.
«Il y a de graves impacts sur les opérations de santé et certaines procédures non urgentes sont reportées à mesure que les hôpitaux mettent en œuvre leurs plans de continuité des activités», a déclaré le NCSC dans un communiqué.
Plus de détails sur l’incident ont commencé à apparaître au cours du week-end des 15 et 16 mai 2021, alors que les hôpitaux du pays ont signalé des perturbations massives des services aux patients, après l’annonce de l’attaque initiale le vendredi 14 mai au matin. Une ventilation complète des perturbations actuelles peut être trouvé ici, notez que le programme de vaccination contre le Covid-19 en Irlande se déroule normalement.
Une prétendue capture d’écran de la note de rançon reçue par le HSE – qui était publié par Bleeping Computer – suggère que le gang du crime Conti (qui a retourné le détaillant britannique FatFace plus tôt cette année) ont accédé aux réseaux de HSE à la fin du mois d’avril.
La note indiquait que le gang avait des serveurs de fichiers cryptés et des serveurs SQL et téléchargé plus de 700 Go d’informations personnelles identifiables (PII), y compris, entre autres, les adresses et les numéros de téléphone des patients, des médecins et des infirmières, les informations de paie et les contrats de travail. Le gang exigerait une rançon de 19 999 000 $.
Le ransomware Conti est apparu pour la première fois il y a environ 12 mois et partage des similitudes avec d’autres familles de ransomwares qui ont été largement utilisées contre les organisations de soins de santé, comme Ryuk – en effet, la recherche Cybereason met en évidence un lien clair entre Ryuk et Conti, Wizard Spider étant passé avec enthousiasme de Ryuk à Conti comme son ransomware de choix.
Comme c’est maintenant presque la pratique courante, le gang utilise une double tactique d’extorsion, nommant et humiliant ses victimes et divulguant leurs données sur le Web sombre s’ils ne jouent pas au ballon.
Peter Mackenzie, directeur de l’équipe de réponse rapide de Sophos, a déclaré: «Réponse rapide de Sophos a été impliqué dans 10 incidents de ransomware Conti jusqu’à présent et, d’après nos enquêtes, il est clair que le ransomware Conti a connu un développement rapide au cours des 12 derniers mois.
«Conti est un ransomware« mains-sur-clavier »dirigé par l’homme qui crypte les données et se propage sur un système cible à grande vitesse. C’est aussi ce que l’on appelle un ransomware «double extorsion» qui vole et menace d’exposer des informations ainsi que de les chiffrer. Le site Conti News a publié à ce jour des données volées à au moins 180 victimes.
«Malheureusement, le secteur de la santé est une cible de choix pour les adversaires, car la fiabilité des services et des soins peut, littéralement, être une question de vie ou de mort. Le secteur détient également de vastes quantités d’informations personnelles, confidentielles et très sensibles », a déclaré Mackenzie.
Le plus récent de Sophos État du ransomware rapport a révélé que 34% des établissements de santé avaient subi une forme d’attaque de ransomware depuis le début de la pandémie de Covid-19, et qu’un tiers de ceux-ci avait payé une rançon. Parmi ceux qui n’ont pas été touchés, 41% se sont résignés à ce que ce ne soit «qu’une question de temps» avant de l’être, et 55% pensaient que les attaques de ransomwares étaient désormais trop sophistiquées pour être arrêtées.
«Les adversaires ciblant les soins de santé savent qu’ils frappent là où ça fait mal, espérant un paiement important, car leurs victimes veulent donner la priorité à la vie privée et aux soins des patients», a déclaré Mackenzie.
