Un ransomware Bitcoin paralyse des maisons de retraites aux États-Unis
Dans une interview accordée à KrebsOnSecurity, une société informatique basée au Wisconsin, Virtual Care Provider Inc. (VCPI), a confirmé que des hackers se sont servis du redoutable logiciel de rançon - ransomware - connu sous le nom de Ryuk pour chiffrer toutes les données des clients des maisons de retraite. La société fournit des services de sauvegarde de données à divers clients, dont 110 maisons de retraite.
Le secteur médical touché
Le ransomware Ryuk fonctionne par le biais de campagnes de phising par mails dans lesquelles les ordinateurs sont infectés par une forme unique de logiciel malveillant connu sous le nom de Trickbot. Cela permet aux hackers de prendre le contrôle des appareils infectés et ensuite de chiffrer les données de ces derniers. D'importantes sommes en Bitcoin (BTC) sont alors exigées pour que le propriétaire de l'ordinateur infecté en retrouve le contrôle. Au total, une rançon de 14 millions de dollars qui doit être versée en bitcoins est demandée par les hackers.
D'après Karen Christianson, CEO et fondatrice de KrebsonSecurity, l'objectif principal de l'attaque est d'empêcher les centres de soins d'accéder aux dossiers médicaux essentiels de leurs patients. Elle affirme que Ryuk a touché la globalité des services de base utilisés par les maisons de retraite :
“ Nous avons des installations où les infirmières ne peuvent pas mettre à jour les médicaments et passer les commandes pour que les médicaments arrivent à temps. Dans un autre cas, nous avons ce petit logement avec assistance qui n'est qu'une seule unité reliée à la facturation. Et s'ils n'ont pas leur facture dans Medicaid (programme d'assurance maladie) d'ici le 5 décembre, ils seront obligés de fermer leurs portes. Les personnes âgées qui n'ont pas de famille à qui s'adresser sont alors abandonnées. Nous avons beaucoup de clients en ce moment qui nous disent : « Donnez-moi juste mes données. », mais nous ne pouvons pas. ”
Un ransomware tristement efficace
Ryuk est une forme de malware particulièrement puissante qui a déjà atteint certaines organisations gouvernementales depuis l'année dernière. À l'origine, il était suspecté le virus provenait de Corée du Nord, mais McAfee Labs et Crowdstrike ont suggéré que la Russie était la source la plus probable. Selon ces sociétés de cybersécurité, Ryuk pourrait en fait provenir du groupe russe GRIM SPIDER. Ce dernier est le groupe de cybercriminalité derrière l'exploitation de Ryuk depuis août 2018, ciblant ces importantes structures pour maximiser les retours sur rançon.
Les cas où Ryuk a déjà été utilisé sont malheureusement déjà nombreux et ont rapporté des sommes conséquentes à leurs utilisateurs. Aux États-Unis, l'administration publique du comté de La Porte, en Indiana, a payé une rançon de 130 000 dollars pour se débarrasser du virus. À Lake City, en Floride, le gouvernement local a versé une rançon de 460 000 dollars après que Ryuk eut infecté les systèmes informatiques de la ville.
Une étude réalisée en janvier 2019 avait estimé que la somme totale que Ryuk avait subtilisée durant les 5 premiers mois de son existence représentait 3,7 millions de dollars. Une somme qui doit aujourd'hui être bien plus importante après 10 mois supplémentaires d'exploitation à travers le monde.
Au courant de cette année, les attaques informatiques de ce type se sont multipliées et touchent des municipalités, des écoles et désormais même des organismes liés aux soins des personnes. Selon un rapport d'une société spécialisée dans des outils de sécurité informatique Emisoft, les hackers qui ont recours à des logiciels de rançon pour soutirer du Bitcoin auraient fait plus de 230 000 victimes, et cela seulement durant le 2e et 3e trimestre 2019.