Ce n’est pas seulement Scripps. Les ransomwares sont devenus monnaie courante dans les soins de santé pendant la pandémie

cyber-attaque

Crédit: CC0 Public Domain

Au niveau local, l’attaque de ransomware qui a englouti Scripps Health la semaine dernière, paralysant les ressources numériques des hôpitaux aux cliniques externes, a été isolée. D’autres systèmes de soins de santé de la région n’ont pas été touchés et ont pu aider les patients détournés ayant des besoins graves et immédiats, notamment des crises cardiaques et des accidents vasculaires cérébraux.

Mais regardez autour de vous et il est évident que Scripps n’est pas seul.

Un rapport récent de la société de logiciels VMWare Carbon Black estime que ses clients du secteur de la santé ont connu une augmentation de 9 851% des tentatives de piratage en 2020 par rapport à l’année précédente. Et l’activité s’est intensifiée avec la pandémie de COVID-19, les tentatives atteignant 87% de septembre à octobre.

Beau Woods, conseiller principal de la Cybersecurity and Infrastructure Security Agency du gouvernement fédéral, a confirmé que des attaques comme celle qui se déroule encore à Scripps se sont simplement métastasées au cours de la dernière année.

«Les ransomwares sont de plus en plus sophistiqués, leur prévalence augmente», a déclaré Woods. «Les fournisseurs de ransomwares réinvestissent généralement les frais qu’ils perçoivent des entités qu’ils extorquent pour acquérir plus de capacités.

« Ils s’améliorent, ils sont de plus en plus fréquents, en particulier pendant la pandémie où nous avons ouvert plus de connectivité pour permettre plus de travail à distance. »

La situation difficile actuelle de Scripps, qui, selon plusieurs sources, n’a pas été en mesure d’offrir des traitements de radiothérapie à ses patients atteints de cancer jusqu’à ce que l’équipement approprié puisse enfin être remis en service vendredi, fait suite à une attaque encore plus généralisée à la fin de l’année dernière.

Le 27 septembre, ce que l’on pense être la plus grande attaque de ransomware dans le domaine des soins de santé, a frappé Universal Health Services Inc., un système de santé national de 400 hôpitaux avec des installations en Californie, y compris le Temecula Valley Hospital et le Inland Valley Medical Center à Wildomar.

Il a fallu trois semaines pour que toutes les installations UHS reviennent à leur plein fonctionnement, et la société cotée en bourse répertorie 67 millions de dollars d’impact financier négatif de l’attaque dans son rapport sur les résultats du quatrième trimestre, bien qu’elle n’ait pas dit si elle avait payé ou non la rançon des pirates. demanda.

Cet impact comprenait le détournement d’ambulances vers d’autres hôpitaux lorsque les dossiers médicaux électroniques étaient verrouillés et inaccessibles.

Les ransomwares, des logiciels malveillants qui, une fois accédés à un réseau numérique, peuvent crypter les informations et menacer de les supprimer ou pire si les espèces ne sont pas payées, sont de plus en plus ciblés sur le secteur de la santé, conclut une analyse récente du cabinet de conseil IBM Security X-Force.

La rédaction de Big Blue, basée sur son propre travail de conseil avec les entreprises concernées, a révélé que 28% des attaques contre les soins de santé en 2020 étaient des ransomwares, faisant de l’industrie le septième plus attaqué, contre la dixième place en 2019.

Et les attaques sont de plus en plus méchantes.

Comme indiqué dans un rapport du Bureau de la sécurité de l’information des États-Unis pour la santé et les services sociaux, les attaques de ransomwares à «double extorsion» ont explosé en 2020. Alors qu’il n’y avait qu’une seule plate-forme de ransomware offrant ce lamentable deux pour un en 2019, d’autres ont rapidement copié l’approche. Aujourd’hui, 18 types différents de ransomwares sont une double extorsion.

Le terme inquiétant fait référence à une tentative de rendre plus difficile pour les entreprises piratées de refuser de payer des rançons et de simplement restaurer leurs systèmes à partir de sauvegardes effectuées avant que le ransomware ne s’installe.

Les gangs de hackers opérant généralement à l’étranger ont riposté en téléchargeant des données sensibles à partir des réseaux dans lesquels ils pénètrent avant de demander une rançon.

Désormais, ces demandes incluent des menaces doubles pour payer ou risquer de perdre des données cryptées et également payer ou risquer que des informations privées de ses clients soient divulguées sur les sites Web qu’ils exploitent.

Un tel type de ransomware à double extorsion appelé Ryuk a été largement signalé comme étant le coupable de l’attaque UHS, bien que la société n’ait jamais officiellement divulgué le pathogène numérique impliqué.

On ne sait pas exactement quel type de ransomware est impliqué chez Scripps.

Le deuxième plus grand système de soins de santé de la région, avec quatre campus hospitaliers et un vaste réseau de cliniques, de centres de chirurgie ambulatoire et d’autres actifs, a déclaré jeudi qu’un « malware » avait été détecté sur ses systèmes. Un mémo interne obtenu par l’Union-Tribune dimanche impliquait clairement un ransomware mais ne mentionnait pas le type. Mardi, le ministère de la Santé publique de Californie a confirmé dans un e-mail que le ransomware était impliqué.

Il est clair, cependant, que l’attaque a frappé très, très durement Scripps à un moment où les travailleurs de la santé du pays commençaient tout juste à se remettre d’un an de lutte contre la pandémie de COVID-19.

L’attaque a provoqué un détournement généralisé d’ambulances de tous les hôpitaux de Scripps, les sortant du système d’intervention médicale d’urgence lorsqu’un bateau a chaviré dimanche à Point Loma. Les survivants ont été envoyés dans huit hôpitaux différents de la région, mais pas à l’hôpital Scripps Memorial La Jolla, le centre de traumatologie le plus proche, car ses systèmes étaient en panne.

Comme les ordinateurs sont restés hors ligne toute la semaine, la déjudiciarisation s’est atténuée, a déclaré le Dr Eric McDonald, récemment nommé en tant que médecin-chef du comté en l’absence du Dr Nick Yphantides qui a été mis en congé administratif au début de cette année pour des raisons encore inexpliquées. .

Bien que ne fonctionnant pas aux niveaux d’efficacité habituels, McDonald a déclaré que les hôpitaux de Scripps ont été en mesure de continuer à servir les patients, recevant du trafic ambulancier au besoin. La cruauté de ce genre d’attaques, a-t-il ajouté, incombe à ceux qui la méritent le moins.

« Il s’agit d’un autre stress important sur ce qui a été un niveau de stress de longue date sur l’ensemble de notre système hospitalier », a déclaré McDonald. «Vous devez vraiment féliciter et soutenir les médecins et les infirmières et de nombreux autres types de travailleurs qui continuent de dispenser des soins pendant cette période.»

Les patients ont généralement déclaré avoir trouvé les travailleurs de Scripps compétents et cordiaux au cours de la semaine dernière, bien que certains commencent à ressentir une frustration importante face à la situation, en particulier à propos du manque de communication concernant les rendez-vous préalablement programmés.

Kyle Long, un résident local et patient de Scripps, a déclaré qu’il avait eu une biopsie de la moelle osseuse prévue lundi retardée avec seulement des communications de dernière minute de Scripps.

« En ce qui me concerne, Scripps reçoit un F pour la façon dont ils ont géré cette violation », a déclaré Long dans un e-mail.

Scripps a fourni peu de détails sur exactement lesquels de ses systèmes, au-delà de son dossier médical électronique, ont été détruits par l’attaque. Et il n’a pas dit si une partie de ses dossiers sensibles de patients avait été détournée de ses systèmes et vers des serveurs cyber-terroristes sous la menace de divulgation ou de vente au plus offrant.

Cette incertitude a poussé de nombreux clients de Scripps à demander des réponses sur la page Facebook de l’entreprise. Beaucoup se sont demandé s’ils devraient geler leurs rapports de solvabilité et engager des services de protection de la réputation pour se protéger en cas de fuite d’informations.

Le Dr Christian Dameff, spécialiste en médecine d’urgence et chercheur en cybersécurité à l’UC San Diego Health, a déclaré la semaine dernière que, bien qu’il ne soit pas familier avec les détails de ce qui s’est exactement passé chez Scripps, se protéger de cette manière a généralement du sens même si un l’attaque n’est pas déjà en cours.

Il a déclaré qu’en général, il est difficile pour les entreprises de savoir immédiatement si et dans quelle mesure leurs informations privées ont quitté le bâtiment. Ce n’est pas comme s’il y avait une sorte de tableau de bord électronique capable de montrer ce qui est allé où. Les systèmes verrouillés ne sont pas faciles à analyser, et des experts extérieurs doivent généralement être amenés à effectuer des examens médico-légaux des systèmes touchés afin de déterminer à quel point les dommages vont.

«Je suis sûr que le travail est en cours chez Scripps, mais c’est un travail compliqué et fastidieux qui nécessite une expertise très spécialisée pour déterminer exactement ce qu’ils ont pris et quand ils l’ont pris, puis pour donner des recommandations sur ce que les patients devraient faire pour aller de l’avant, « Dit Dameff.

Beaucoup, cependant, se demandent sûrement comment cela aurait pu arriver à une organisation dotée d’un budget de plusieurs milliards de dollars, l’une des organisations les plus branchées des soins de santé américains en 2019.

Le rapport d’IBM X-Force indique que les attaques récentes, qu’elles livrent des ransomwares ou facilitent le vol de disques, ont exploité une faille dans le logiciel que les serveurs exécutés par Citrix Systems Inc. La société revendique que 100% des 10 plus grands soins de santé du pays Les organisations utilisent sa technologie, en particulier pour héberger des systèmes de dossiers médicaux électroniques tels que le logiciel Epic utilisé par Scripps et bien d’autres dans la région.

En 2019, la société a publié un bulletin de sécurité sur une vulnérabilité dans l’un de ses produits appelé contrôleur de livraison d’application qu’elle appelait auparavant NetScaler. Une étude de cas publiée sur le site Web de Citrix indique spécifiquement que le produit a été utilisé chez Scripps.

Citrix fournit des instructions sur la façon de corriger la vulnérabilité, mais il semble clair que de nombreuses organisations n’effectuent pas ce travail de maintenance critique avant que les pirates l’utilisent pour y accéder. Le rapport X-Force d’IBM estime que 8% de tous les incidents que son équipe X-Force a traités l’année dernière étaient liés à la vulnérabilité Citrix.

Est-ce ainsi que les pirates ont trouvé leur chemin sur le réseau Scripps? L’entreprise ne le dit pas.

« Parce qu’il s’agit d’une enquête en cours, nous sommes limités dans ce que nous pouvons dire. Nous partagerons plus d’informations autant que nous le pourrons », a déclaré le porte-parole de Scripps Keith Darce dans un courrier électronique vendredi.

Mais rechercher et exploiter les vulnérabilités des équipements n’est qu’un moyen parmi tant d’autres que les pirates informatiques obtiennent l’accès dont ils ont besoin pour déclencher la destruction numérique.

Duper les employés qui y ont déjà accès fait partie des méthodes les plus courantes. Un processus appelé hameçonnage est souvent utilisé pour amener les employés à partager des identifiants et des mots de passe sur des sites Web factices qui ressemblent à ceux gérés par leur entreprise ou pour ouvrir des pièces jointes aux e-mails qui proviendraient de sources fiables qui s’avèrent être des programmes malveillants. Une fois à l’intérieur des défenses numériques d’une entreprise, il est plus facile pour les logiciels d’atteindre des serveurs distants et de télécharger une charge utile plus dommageable.

Bien sûr, dit Dameff, il existe de nombreux très bons moyens de réduire les chances de réussite des attaques de phishing. L’authentification à deux facteurs, un processus qui oblige les employés à vérifier leurs connexions non seulement avec des mots de passe, mais aussi avec un programme qui s’exécute sur leurs smartphones, peut beaucoup aider. Mais deux facteurs peuvent être encombrants dans les situations où la vie et la mort sont littéralement en jeu jour après jour. Personne ne veut créer une situation où une infirmière qui répond à un patient mourant ne peut pas accéder aux informations critiques du dossier de santé électronique parce qu’elle a oublié son téléphone intelligent.

« L’authentification multifacteur, les gestionnaires de mots de passe et les bonnes pratiques de mot de passe comme le choix de mots de passe complexes, l’analyse des pièces jointes aux e-mails, la sécurité des terminaux, je suis sûr qu’ils avaient tout cela », a déclaré Dameff. « Il suffit qu’une personne de l’entreprise clique sur un lien pour que quelque chose de ce genre se produise, quels que soient les contrôles de sécurité que vous avez mis en place. »


Les autorités américaines mettent en garde contre une cyber-menace «  imminente  » pour les hôpitaux


© 2021 Union-Tribune de San Diego
Distribué par Tribune Content Agency, LLC.

Citation: Il n’y a pas que Scripps. Les ransomwares sont devenus monnaie courante dans les soins de santé pendant la pandémie (2021, 10 mai) récupéré le 10 mai 2021 sur https://techxplore.com/news/2021-05-scripps-ransomware-rampant-health-pandemic.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.