Ransomware : le groupe hospitalier UHS touché par une attaque informatique basée sur Ryuk

C’est l’un des géants dans le secteur hospitalier.

Il est composé de près de 400 établissements de santé, reparti entre les États-Unis et la Grande-Bretagne, avec près de 90 000 employés. Ce géant de la santé réalise en moyenne près de 11 milliards de dollars en terme de revenu annuel. Le groupe Universal Health Services se compte dorénavant parmi les victimes actuellement des attaques au rançongiciel.

Cet article va aussi vous intéresser : En pleine crise de la pandémie du coronavirus, un hôpital Tchèque est victime d’une attaque informatique

L’attaque a débuté par des infections à travers des méthodes classiques de phishing. Les cybercriminels ont utilisé les chevaux de Troie Emotet et Trickbot pour amorcer leur technique.

Au Déclenchement de l’attaque, aucune solution antivirus ne fonctionnait. Toutes les mesures de protection ont littéralement été rendues inopérantes.

Encore une fois, le domaine de la santé est confronté à ce dangereux adversaire. Le groupe UHS qui avait jusque-là réussi à échapper à la menace s’est fait finalement avoir par les cybercriminels.  En l’espèce, c’est le rançongiciel Ryuk qui a été utilisé par les cybercriminels pour mettre à terre son réseau informatique mondiale. Depuis ce dimanche, plusieurs établissements hospitaliers sont devenus incapables de prendre en charge certains de leurs patients obligeant à les transférer vers d’autres sites.  Les établissements touchés se trouvent en Floride, en Californie, en Arizona, à Washington DC et au Texas. Leur système informatique et réseau téléphonique qui sont totalement inopérant. Certains systèmes nécessaires sont hors service tel que la cardiologie la radiologie. Même les laboratoires sont perturbés.

« Dimanche à environ 2 heures du matin, les systèmes de notre établissement ont commencé à s’arrêter. J’étais assis devant mon ordinateur lorsque tout cela a commencé. C’était surréaliste et semblait définitivement se propager sur le réseau », explique un dénommé graynova66 sur la plateforme Reddit. « Toutes les machines de mon département sont des systèmes Dell Win10. Lorsque l’attaque s’est produite, plusieurs programmes antivirus ont été désactivés par l’attaque et les disques durs se sont mis en veille. Après environ 1 minute, les ordinateurs se sont déconnectés et se sont éteints. Lorsque l’on essaie de rallumer les ordinateurs, ils s’éteignent automatiquement ». Ajoute-il.

Le problème a bel et bien été confirmé par le groupe hospitalier. Une source en interne interrogée par le média en ligne BleepingComputer que les cybercriminels ont durant l’attaque renommés tous les fichiers en y ajoutant l’extension .ryk. Une caractéristique propre au rançongiciel Ryuk. Un expert de la cybersécurité du nom de Vitali Kremez, de chez Advanced Intel nous explique que cette attaque informatique a été précédée par une autre mais de l’hameçonnage cette fois ci, comme nous l’avons mentionné plus haut. Cela a eu pour effet d’ouvrir un pont entre le système infecté et un serveur contrôler par les pirates informatiques. Ce qui leur a permis notamment de facilement disséminer des scripts malveillants En passant par PSExec ou de PowerShell Empire.

« Le réseau informatique des installations des services de santé universels (UHS) est actuellement hors ligne, en raison d’un problème de sécurité informatique », déclarait ce lundi UHS dans communiqué. « Nous mettons en œuvre des protocoles de sécurité informatique étendus et travaillons avec diligence avec nos partenaires de sécurité informatique pour restaurer les opérations informatiques le plus rapidement possible. En attendant, nos installations utilisent leurs processus de sauvegarde établis, y compris des méthodes de documentation hors ligne. Les soins aux patients continuent d’être dispensés de manière sûre et efficace. Aucune donnée de patient ou d’employé ne semble avoir été consultée, copiée ou autrement compromise ».

La panne informatique a entraîné le retard fatal de transmission d’analyses, avec les complications qui s’ensuivirent. Selon un dénommé u/SgtHaddix, 4 personnes auraient trouvé la mort au sein des établissements touchés du groupe hospitalier. Cependant aucune relation n’a été établie entre ces mort et la cyberattaque subit le dimanche. Cela rappelle automatiquement la mort d’une patiente hôpital allemand qui avait été touché lui aussi par une attaque au rançongiciel. La cyberattaque a ralenti une opération urgente qu’elle devait subir ce qui a été fatal pour cette dernière.

En outre, le risque demeure. Les établissements de santé sont toujours ciblés, et les conséquences sont de plus en plus graves. Si avant on ne pouvait dénombrer que des pertes financières, aujourd’hui c’est une question de vie humaine qui ont mise sur la sellette.

Accédez maintenant à un nombre illimité de mot de passe :