Passer au contenu

Ransomware : les États-Unis offrent dix millions de dollars pour débusquer les pirates de BlackCat

Les États-Unis déclarent la guerre aux cybercriminels de BlackCat. Après la cyberattaque d’envergure visant le système de santé américain, Washington a décidé de sévir contre les pirates russes.

UnitedHealth Group, une importante compagnie d’assurance américaine spécialisée dans la santé, a été victime d’une cyberattaque. Des cybercriminels sont parvenus à déployer un ransomware sur le système informatique de Change Healthcare, une division d’UnitedHealth Group qui propose des services financiers à des dizaines de milliers de fournisseurs de soins de santé aux États-Unis, y compris les médecins, les dentistes, les hôpitaux et les pharmacies.

À lire aussi : ces deux spécialistes du ransomware ont noué un partenariat

Une cyberattaque historique

Au terme de l’attaque, les pirates ont dérobé les données confidentielles des patients et chiffré les données de l’entreprise. Les informations de millions d’Américains ont été exposées. Les fournisseurs de soins de santé partenaires de Change Healthcare ont rencontré de sérieux problèmes de fonctionnement. En effet, la cyberattaque a paralysé leurs logiciels de prescription électronique et tous les outils pour la gestion des paiements. Pour Rick Pollack, président de l’American Hospital Association, un groupe professionnel qui comprend près de 5 000 hôpitaux et prestataires de soins de santé, il s’agit de « l’incident le plus important et le plus conséquent du genre contre le système de santé américain de l’histoire » :

« Cette attaque a rendu plus difficile pour les hôpitaux de fournir des soins aux patients, de remplir des ordonnances, de soumettre des réclamations d’assurance et de recevoir le paiement pour les services de soins de santé essentiels qu’ils fournissent ». 

Plus d’un mois après l’attaque, survenue fin février, une partie des services touchés sont toujours inopérants. Le PDG de UnitedHealth, Andrew Witty, se veut rassurant et affirme que le groupe fait « des progrès significatifs dans la restauration des services touchés par cette cyberattaque ». Le groupe a été contraint de redémarrer 99 % de ses services proposés aux pharmacies et de mettre à disposition dans l’urgence un logiciel de préparation des demandes médicales.

Une rançon de 22 millions de dollars

Change Healthcare a rapidement été contacté par BlackCat, un gang de hackers russes spécialisés dans l’extorsion. Sans surprise, les cybercriminels ont exigé une rançon en échange des données récupérées. Face à l’ampleur des dégâts, la maison mère UnitedHealth Group a décidé de se plier à la demande des pirates.

Comme on peut le lire sur des forums dédiés aux hackers, le groupe américain a versé 22 millions de dollars en cryptomonnaies à BlackCat. La rançon a été payée avec des bitcoins. C’est pourquoi les chercheurs de TRM Labs ont pu confirmer le paiement de la rançon en consultant la blockchain. On ignore par contre si BlackCat a accepté de communiquer la clé de déchiffrement des données en échange.

L’attaque s’inscrit dans le cadre d’une véritable explosion des attaques par ransomware. Une récente étude réalisée par Thalès a constaté une hausse de 27 % des entreprises victimes d’extorsion au cours de l’année écoulée.

Une prime de dix millions de dollars

Suite à cette cyberattaque d’ampleur, les États-Unis ont décidé de prendre des mesures fortes pour mettre la main sur les criminels de BlackCat. Le département d’État vient d’annoncer une prime de dix millions de dollars pour toute personne qui détient des informations sur le gang. Ce n’est pas la première fois que Washington offre des primes pour obtenir des informations sur BlackCat. Par le passé, les États-Unis ont offert une prime allant jusqu’à 15 millions de dollars.

Actif depuis novembre 2021, BlackCat s’est rapidement imposé parmi les gangs les plus prolifiques du secteur des ransomwares. Le groupe russe s’appuie sur le modèle RaaS (Ransomware-as-a-Service) pour dégager des bénéfices. Tout en ciblant des organisations de toutes tailles, y compris des grandes entreprises, des institutions gouvernementales et des hôpitaux, BlackCat gagne de l’argent en proposant son logiciel malveillant par le biais d’un abonnement. Plus de 650 attaques ont été recensées depuis fin 2021.

Fin de l’année dernière, le gang a essuyé un sérieux revers. Avec l’appui d’Europol et de plusieurs polices internationales, le FBI est parvenu à faire tomber une partie de l’infrastructure du collectif russe. L’un des sites du gang a été saisi. Surtout, le FBI s’est emparé des clés de déchiffrement permettant d’accéder aux données volées sans verser une rançon. BlackCat n’a pas tardé à revenir en force en s’attaquant notamment à UnitedHealth Group. En miroir de LockBit, BlackCat a pu mettre en ligne une nouvelle plateforme en un temps record après l’opération de police.

Et une mort simulée

Notez que le gang a simulé sa mort peu après avoir extorqué la compagnie d’assurance américaine. Début mars, BlackCat a voulu faire croire que le FBI avait réussi à mettre un terme à ses activités. Dans un message publié à destination de ses affiliés, le groupe russe assurait avoir décidé de « fermer le projet » à cause « des fédéraux ». En vérité, BlackCat cherchait à disparaître en emportant les gains dégagés par ses abonnés, explique le chercheur Will Thomas, interrogé par Reuters. Le groupe a ensuite mis en vente le code source de son ransomware pour la somme de cinq millions de dollars. Néanmoins, « ce ne serait pas une surprise s’ils revenaient une fois de plus dans un avenir pas trop lointain », indique l’expert.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Reuters


Florian Bayard