La dernière cyberattaque orchestrée par BlackCat a fait trembler le monde de la santé aux États-Unis. Cette attaque d’envergure illustre à merveille pourquoi il ne faut surtout pas payer la rançon exigée par les cybercriminels. On fait le point sur l’affaire.
En février 2024, les hackers russes de BlackCat se sont attaqués à Change Healthcare, une division d’UnitedHealth Group, une compagnie d’assurance américaine spécialisée dans la santé. Les cybercriminels ont volé les informations confidentielles des patients et chiffré une grande partie des données de l’entreprise, paralysant le fonctionnement des fournisseurs de soins de santé. Fidèle à son mode opératoire, BlackCat a réclamé une rançon aux dirigeants de Change Healthcare. Les pirates exigeaient la somme de 22 millions de dollars en cryptomonnaies.
Des données divulguées malgré la rançon
Dos au mur, le groupe américain a accepté de régler la rançon. Dans un communiqué de presse, Change Healthcare indique qu’une « rançon a été versée dans le cadre de l’engagement de l’entreprise à faire tout ce qui était en son pouvoir pour protéger les données des patients ». En examinant les données visibles sur la blockchain, les experts de Recorded Future, une firme de sécurité, et de TRM Labs, une société d’analyse de la chaîne de blocs, avaient déjà découvert que l’entreprise avait versé 350 bitcoins sur une adresse détenue par BlackCat. Comme l’explique le chercheur en cybersécurité Jon DiMaggio à Wired, c’est une très mauvaise nouvelle :
« Cela encourage à 100 % d’autres acteurs à cibler les organisations de soins de santé. Et c’est l’une des industries que nous ne voulons pas que les acteurs derrière les rançongiciels ciblent, surtout lorsque ça affecte les hôpitaux ».
En effet, la décision de Change Healthcare indique aux cybercriminels que le secteur de la santé est prêt à payer des montants faramineux pour protéger leurs données. C’est d’autant plus vrai que le montant versé par Change Healthcare est particulièrement élevé. Pour Brett Callow, un chercheur en sécurité spécialisé dans les ransomwares, « ce n’est pas sans précédent, mais c’est certainement très inhabituel ». De facto, d’autres gangs devraient emboîter le pas à BlackCat et s’attaquer aux organismes du secteur sanitaire.
En dépit de la rançon versée, BlackCat n’aurait pas hésité à divulguer les données personnelles dérobées lors de la cyberattaque. Sur le dark web, deux gangs de cybercriminels prétendent détenir les informations des patients exfiltrées par BlackCat. Nos confrères de Wired ont pu obtenir un échantillon des données, comprenant des dossiers médicaux de patients. Il semble bien que les pirates russes ont partagé les informations avec autrui, même si Change Healthcare a choisi de coopérer.
Sur son site web, Change Healthcare confirme craindre une divulgation des données médicales sur le web à l’avenir. La firme explique « surveiller Internet et le dark web pour déterminer si des données ont été publiées » avec l’appui d’experts en sécurité. La société précise d’ailleurs que 22 captures d’écran montrant « des informations de santé protégées ou des informations personnelles identifiables » ont brièvement été mises en ligne par un gang de cybercriminels.
Payer la rançon, c’est toujours une mauvaise idée
C’est pourquoi il ne faut jamais accéder aux requêtes des cybercriminels spécialisés dans l’extorsion. Dans de nombreux cas, les pirates partagent quand même les données volées avec des tiers. Une étude de Cybereason révèle que seulement la moitié des victimes qui coopèrent récupèrent leurs informations. De plus, les entreprises qui plient sont susceptibles de se retrouver à nouveau dans le collimateur des cybercriminels à l’avenir. Les pirates ont en effet tendance à se concentrer sur les cibles dont la politique consiste à coopérer avec leurs attaquants. Pour un hacker, c’est un indicateur que sa prochaine victime va accepter de verser la rançon sans faire d’histoire. L’étude de Cybereason montre que 80 % des victimes qui coopèrent sont ensuite la cible d’une seconde attaque.
À l’inverse de Change Healthcare, de plus en plus de victimes d’un ransomware refusent de payer la rançon exigée par les pirates. Selon une étude de Coveware, seulement 28 % des entreprises touchées acceptent de donner de l’argent. C’est en partie pourquoi le nombre d’attaques basées sur l’extorsion est en chute libre.
source : 01net