Le mois dernier, l’hôpital de Cannes – Simone Veil a été victime d’une cyberattaque. L’attaque a complètement paralysé l’établissement. Selon les responsables de l’hôpital, « l’activité programmée non urgente » et les « consultations non-urgentes » ont été reportées. L’établissement a aussi été forcé de mettre tous ses ordinateurs hors ligne.
À lire aussi : Les hackers de Lockbit font face à une armée d’imitateurs
Lockbit réclame une rançon
Il y a quelques jours, les cybercriminels de Lockbit ont finalement revendiqué l’attaque. Le gang, récemment fragilisé par une vaste opération de police contre ses infrastructures, a évidemment réclamé une rançon à l’hôpital de Cannes. Les pirates ont donné jusqu’au 1ᵉʳ mai à minuit aux responsables pour verser l’argent. Ceux-ci ont fermement refusé de plier aux exigences des hackers, conformément aux recommandations des experts et des autorités.
« Les établissements publics de santé ne paient jamais de rançon face à ce type d’attaque », déclare l’hôpital Simone Veil dans un communiqué publié sur X.
L’établissement précise que la revendication de Lockbit a été « transmise à la Gendarmerie » et que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été alertée. Les autorités et les experts en sécurité poursuivent leurs « investigations techniques », ajoute la publication.
REVENDICATION DE LA CYBERATTAQUE PAR LE GROUPE LOCKBIT3.0
Le 16 avril 2024, le CH Cannes a fait l’objet d’une cyber-attaque visant son système d’information.
Ce jour, l’établissement a pris connaissance d’une demande de rançon du groupe de hackers Lockbit3.0.
— Hôpital de Cannes Simone Veil CHC-SV (@hopitaldecannes) April 30, 2024
Les hackers n’ont pas tardé à mettre leurs menaces à exécution. Peu après minuit, Lockbit a diffusé une base de données de 61 Go sur son portail sur le dark web. Le répertoire comprend des « données sensibles sur les patients, le personnel ou encore le fonctionnement de l’hôpital », rapporte l’expert en cybersécurité Mr SaxX sur X (ex-Twitter).
Ces informations vont se retrouver sur des marchés noirs du dark web dans un avenir proche :
« Les données publiées cette nuit vont se retrouver dans les prochaines semaines hélas dans différents forums du darkweb à la revente. D’autres “petites” mains de la cybercriminalité vont prendre le relais. Ils vont collecter, trier, ré-assembler, simplifier les données exfiltrées initialement par lockbit dans la cyberattaque de Cannes et les remettre à la vente ».
Ces données vont être exploitées pour « entretenir la redoutable machine du phishing, des phishing ciblés et autres arnaques en ligne », regrette Pascal Le Digol, le directeur de WatchGuard en France dans un communiqué adressé à 01Net. Les pirates vont pouvoir orchestrer des attaques visant à s’emparer de données encore plus sensibles, comme des identifiants et des mots de passe, ou des coordonnées bancaires. Combinées à d’autres données en fuite, comme celles volées à France Travail, Almerys ou encore Viamedis, ces informations peuvent aussi servir à des usurpations d’identité.
« Un gros coup de communication » : le retour en force de Lockbit
En s’attaquant à l’hôpital de Cannes, Lockbit confirme son grand retour sur le devant de la scène. Le gang est apparemment parvenu à se remettre de l’offensive des forces de l’ordre. Contrairement aux assertions du FBI, Lockbit est loin d’être hors d’état de nuire. Comme l’indique Luis Delabarre, responsable du centre opérationnel de sécurité de Nomios, « l’infrastructure de ce groupe criminel a été reconstruite » suite à l’opération Cronos. Le directeur de WatchGuard France abonde dans le même sens :
« Faire tomber une partie d’infrastructure sans couper les têtes de l’hydre, ça n’a jamais tué définitivement un groupe d’attaquants. LockBit a certes connu une baisse d’activité suite à l’opération Cronos mais il a cumulé des centaines de millions de revenus donc il a les moyens, le temps et la compétence pour remonter une infrastructure forte. »
Selon lui, l’offensive contre le centre hospitalier cannois « ressemble finalement à un gros coup de communication pour redorer le blason du groupe qui démontre ainsi qu’il a survécu à une opération mondiale de police dont il ressort même grandi ». Les cybercriminels cherchent vraisemblablement à rassurer leurs affiliés, qui paient un abonnement pour utiliser leur ransomware, par le biais d’attaques de grande ampleur. Depuis la tentative de démantèlement diligentée par le FBI, les pirates orchestrent d’ailleurs de nombreuses cyberattaques, dont « des tentatives de compromission de postes de travail » à l’aide d’outils détournés comme Teamviewer, explique Luis Delabarre dans un communiqué partagé avec 01Net.
« S’attendre à la dissolution complète et définitive des groupes cybercriminels est une posture très incertaine », déclare Stéphanie Ledoux, PDG et fondatrice d’Alcyconie.
La santé dans le viseur des hackers
La cyberattaque s’inscrit dans le cadre d’un changement de stratégie pour les criminels spécialisés dans l’extorsion. Face à des entreprises de plus en plus récalcitrantes, les grands groupes criminels ciblent de plus en plus les acteurs du secteur de la santé. Celui-ci est perçu comme une nouvelle poule aux œufs d’or. Le hack de Change Healthcare, une entreprise clé du système de santé américain, a corroboré les ambitions des pirates. La société a été victime d’une attaque des pirates de BlackCat. Pour protéger les données des patients, la firme a en effet accepté de verser une rançon colossale de 22 millions de dollars.
Malgré l’argent envoyé, BlackCat a divulgué les données sur le dark web. Selon Andrew Witty, PDG d’UnitedHealth, le groupe derrière Change Healthcare, les données d’un tiers des Américains ont été exposées. Quoi qu’il en soit, la décision de Change Healthcare risque d’encourager les pirates à s’en prendre aux établissements dédiés aux soins de santé dans un avenir proche.
En France, plusieurs hôpitaux ont d’ailleurs été victimes des hackers. C’est aussi le cas du centre hospitalier d’Armentières (Nord). En février, un ransomware a paralysé l’infrastructure de l’hôpital et les urgences ont été temporairement fermées. Durant l’opération, les données de 300 000 patients ont été piratées.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.