Cent hôpitaux roumains hors ligne après la cyberattaque du ransomware BackMyData
Alors qu’en France les sociétés Almerys et Viamedis sont en proie à une fuite de 33 millions de données d’utilisateur unique, la Roumanie voit cent de ses hôpitaux hors ligne. La faute incomberait au ransomware « BackMyData » sui s’est attaqué à la plateforme Hipocrate. L’attaque a eu lieu durant la nuit du 11 au 12 février 2024. Ils sont 21 hôpitaux directement touchés par l’attaque cybernétique, qui est passée à 25 le matin du 13 février 2024. Par précaution, 79 autres établissements de soins ont été mis hors ligne. En France l’hôpital d’Armentières subit aussi une cyberattaque.
C’est le système d’information utilisé par les hôpitaux roumains qui a été visé. Hipocrate (HIS) est le système de gestion des soins de santé. Les autorités déclaraient 21 centres touchés dans le sixième pays le plus peuplé en Europe. « Pendant la nuit du 11 au 12 février 2024, une cyberattaque de type ransomware visait les serveurs de production utilisant le système d’information HIS. À la suite de l’attaque, le système est en panne, les fichiers et les bases de données sont chiffrés », a déclaré le ministère roumain de la Santé.
Le ransomware BackMyData à l’origine de la cyberattaque
La direction nationale roumaine de la cybersécurité (DNSC) relate que les attaquants ont utilisé le rançongiciel Backmydata pour chiffrer les données des hôpitaux, une variante de ransomware de la famille Phobos.
BackMyData, explique PcRisk, désactive le pare-feu, supprime les points de restauration, sans avoir au préalable chiffré l’ensemble des dossiers.
Comme Phobos il exploite les vulnérabilités des services de protocole de bureau à distance (RDP) pour l’infection. Ils ciblent souvent la faiblesse des identifiants. C’est pour ça qu’il faut avoir une passphrase solide. Car il utilise l’attaque par brut force et des dictionnaires de mots de passe. Cet ensemble de combinaison permet un accès non autorisé à des systèmes d’information dont la sécurité n’est pas optimale.
(Crédits : PcRisk)
« La plupart des hôpitaux concernés ont des sauvegardes de données sur les serveurs concernés, avec des données sauvegardées relativement récemment (1-2 jour sauf une, dont les données ont été sauvegardées il y a 12 jours », a déclaré le DNSC le lendemain de l’attaque. Une rançon de 3,5 BTC, soit 157 000 dollars américains sont réclamés par les cybercriminels (167 828, 675 € le 14 février 2024).
L’hôpital pédiatrique de Pitesti touché le samedi 10 février
Selon le DNSC les autres centres de soins ont été touchés à partir du 11 et 12 février 2024. Les 79 autres unités mises hors ligne font l’objet de complément d’enquêtes afin de déterminer si elles étaient (ou non) la cible de l’attaque.
Les hôpitaux concernés ou non ont reçu une série de recommandations. Identifier les systèmes concernés, et les isoler du reste du réseau et bien sûr d’Internet. Ne pas les éteindre, ce qui supprimerait les preuves stockées dans la mémoire volatile (RAM). Conserver une copie du message de rançon et de toute communication. Collecter et conserver toutes les informations de journal pertinentes des équipements concernés, mais également des équipements réseau, pare-feu. Examiner les journaux système pour identifier le mécanisme par lequel l’infrastructure informatique a été compromise.
(Crédits : capture d’écran/Hôpital de Spitalului)
Mais il faut immédiatement informer, l’ensemble des employés, les clients, partenaires commerciaux concernés, de l’incident et de son étendue. Restaurez les systèmes concernés en fonction des sauvegardes de données après un nettoyage complet du système. Il est absolument nécessaire de s’assurer que les sauvegardes sont intactes, à jour et sécurisées contre les attaques. Auparavant (sur les smartphones, tablettes, ordinateurs personnels et professionnels), s’assurer que tous les programmes, applications et systèmes d’exploitation sont mis à jour.
Une rançon de 3, 5 Bitcoins exigé
L’institut d’Orthophonie et de Chirurgie fonctionnelle ORL de Bucarest, le Sanatorium de pneumophtisiologie Brad à Hunedoara, l’Hôpital de pneumophtisiologie Roșiori de Vede, et la Clinique privée de Sante Călărași font partie des quatre premiers centres de soins a être confirmés comme victimes de la cyberattaque. Aucune exfiltration n’a été confirmée par les autorités compétentes.
Si aucune exfiltration n’a été confirmée par les autorités compétentes, ces dernières recommandent de ne pas contacter ni de payer les attaquants.
« Après l’arrêt de 400 ordinateurs et serveurs, nous avons travaillé principalement sur le papier », a déclaré Mirela Grosu, responsable de l’Institut régional d’oncologie.
Le ministère roumain de la Santé, dont M. Alexandru Rafila est à la manœuvre a déclaré que : « l’incident fait l’objet d’une enquête menée par des informaticiens, y compris des experts en cybersécurité de la Direction nationale de la cybersécurité (DNSC), et les possibilités de reprise sont évaluées. Des mesures de précaution exceptionnelles ont également été activées pour les autres hôpitaux qui n’ont pas été touchés par l’attaque. »
(Crédits : Mohamed Hassan/Pixabay)
Depuis que les systèmes ont été mis hors ligne ou fermés, les médecins ont été contraints de revenir à la rédaction de prescriptions et à la tenue de registres sur papier. Il n’y a pas eu de mise à jour sur les informations depuis. Concernant la demande de rançon, chaque intervenant dans les sphères de l’État roumain, martèle de ne pas payer la demande. Comme la mésaventure que connaît l’hôpital d’Armentières survenue au cours du même week-end, les demandes de rançons sont sorties des imprimantes. L’ampleur des dégâts sera déterminée par l’enquête, en France comme en Roumanie.
