Hôpitaux londoniens touchés par une cyberattaque
Une offensive massive s’est déroulée au début du mois de juin 2024. Le service de santé britannique NHS England communique : « Le lundi 3 juin, Synnovis, un fournisseur de services de laboratoire, a été victime d’une cyberattaque de ransomware ». Du fait de cette cyberattaque, les deux principaux centres hospitaliers annulent 832 interventions chirurgicales. Mais également, il faut réorganiser 736 rendez-vous avec des spécialistes. La cyberattaque est de type ransomware.
Pas moins de sept hôpitaux, gérés par deux Trusts du NHS (National Health Service), subissent de sérieuses perturbations de leurs services. Ils sont le Guy’s, St Thomas‘ et King’s College, mais également l’hôpital pour enfants, Evelina. Tout aussi préoccupant, les répercussions sur les hôpitaux Royal Brompton et Harefield. Ils constituent, à eux deux, le plus grand centre spécialisé en pathologie cardiaque et pulmonaire au Royaume-Uni.
Cyberattaque de Synnovis
« Lundi 3 juin, Synnovis, un prestataire de services de laboratoire, a été victime d’une cyberattaque par ransomware », déclare un porte-parole du NHS London. Après l’annulation de très nombreuses opérations et le report de plus de 700 rendez-vous ambulatoires, les services continuent de fonctionner. Mais les tests sanguins particuliers (VIH, Hépatite C et Hépatite B) sont actuellement suspendus.
L’entreprise Synnovis est en étroite collaboration avec le NHS. Il est le laboratoire réalisant des tests pour de nombreuses pathologies. Ainsi leur travail est plus que vital pour de nombreux patients, autant dans le public que le privé.
Les conséquences sont bien réelles. « Cela a un impact majeur sur la prestation de nos services, les transfusions sanguines étant particulièrement touchées », explique le professeur Ian Abbs, directeur général du GSTT (Guy’s and St Thomas’ NHS Foundation Trust). Le 4 juin 2024, l’entreprise communique sur les partenariats entre les trois principaux établissements hospitaliers (Guy’s, St Thomas’s et King’s College hospitals) et SYNLAB.
(Crédits : capture d’écran/Royal Brompton Hospital))
Synlab est selon le communiqué : « le plus grand fournisseur européen de tests et de diagnostics médicaux ». Or ce géant a subi, au sein de sa succursale italienne une cyberattaque en avril 2024. Mais également en France en juin 2023 via l’attaque dite « MOVEit ».
Cyberattaque de Synlab
Vers la mi-avril 2024, le prestataire de services médicaux Synlab est victime d’une cyberattaque en Italie. Ils sont plus de 380 laboratoires situés en Lombardie. Ainsi, c’est environ 35 millions de tests qui sont réalisés chaque année. Donc autant de données personnelles et confidentielles.
Des informations sensibles ont été volées le 18 avril 2024. Dès le lendemain la communication du groupe en Italie, affirmait reprendre ses activités en mode réduit.
La cyberattaque de type ransomware est l’œuvre de Black Basta. Synlab ayant refusé de payer, le groupe criminel publie tout ou partie des données exfiltrées.
C’est le 13 mai 2024 que les cybercriminels derrière le ransomware diffusent les données. Si le nombre de patients n’est pas connu, on sait par contre que 1, 5 Téraoctet de données est publié.
Comme pour la cyberattaque du centre hospitalier Cannes Simone-Veil, bilans de santé, diagnostiques, pathologie, documents internes sont accessibles sur le dark-web. (Crédits : capture d’écran/BlackBasta)
« Nous regrettons les désagréments causés par cette attaque cybercriminelle […] », martèle la direction. Comme à chaque fois, les dommages sont immédiats, et la remise en route, prends plusieurs jours, semaines voire des mois en fonction des dommages.
Qilin serait à l’origine de la cyberattaque
Suite à l’attaque contre Synnovis, l’enquête est en cours. Comme pour l’attaque de Synlab, la piste d’un groupe d’opérateurs russes semble la plus probable selon les médias britanniques. Plusieurs sites gouvernementaux français auraient été la cible d’attaque de groupes russophone.
C’est l’information que Ciaran Martin ancien directeur général du Centre national de cybersécurité divulgue à la radio. Interrogé durant l’émission Today de BBC Radio 4, Ciaran Martin déclare : « Nous pensons que c’est un groupe russe de cybercriminels qui s’appellent Qilin. »
Le groupe d’opérateurs gère un modèle RaaS (Ransomware-a-a-Service). Sur le site vitrine, les affidés affichent leur victime et diffusent toute ou partie ds informations volées.
La première victime est Sipex Medica, le 12 avril 2023, la Municipalité La Guadeloupe au Québec en avril 2024, le cabinet d’architectes Jean-Nouvel en France pour ne citer que ces quelques victimes. (Crédits : capture d’écran/Qilin)
Les dernières entreprises affichées sont basées aux États-Unis : Next Step Healcare, St Vincent de Paul (école), EnviroApplications… Sur le sujet de Synnovis et du NHS, le ransomware n’a à ce jour, le 18 juin 2024, pas revendiqué la cyberattaque ni divulgué la moindre information sur son site vitrine, ce dans le cas où Qilin serait responsable de la cyberattaque.
Ping : Cinq hackers présumés arrêtés en Europe - Libre Expression
Ping : Cyberattaque du FAI Lagoon Offratel en Nouvelle-Calédonie - Libre Expression
Ping : Le ransomware Qilin fait 23 victimes en mars - Libre Expression