Le ransomware Qilin fait 23 victimes en mars
Le ransomware Qilin produit plus de vingt victimes suite à ces cyberattaques au 20 mars 2025. Depuis sa première apparition en juillet 2022, il affiche 329 victimes. Le groupe derrière le ransomware Qilin fait la une des journaux en juin 2024 avec la cyberattaque contre Synnovis. Il applique la double extorsion. L’une des dernières victimes est l’établissement hospitalier Los Madroños. Avec plus de 540 GB de données dérobées, sept photos sont affichées sur le site de fuite. Le tribunal de Cleveland et le ministère des Affaires étrangères ukrainien sont aussi victimes.
Le groupe Qilin ne cesse d’occuper le devant de la scène. Depuis une campagne en juillet 2024, les chercheurs de Sophos découvrent une méthode inhabituelle permettant aux attaquants de dérober les identifiants stockés dans les navigateurs Google Chrome, via une stratégie de groupe (GPO). Une de ses victimes l’hôpital Los Madroños est situé à moins de 30 km à l’ouest de Madrid, à Brunete. L’établissement de soins indique dans ses communiqués, avoir observé l’incident le 7 mars 2025, et en avoir informé les autorités compétentes.
Los Madroños et le ministère des Affaires étrangères ukrainien
Sur le site de fuite sons exposées 212 073 documents sur un total de 540 GB. L’établissement émet deux communiqués, l’un à l’attention des patients, l’autre pour le personnel. « Le ransomware Qilin a infecté le réseau interne de l’hôpital, bloquant temporairement l’accès aux données en les chiffrant. En outre, les attaquants ont extrait des données confidentielles au cours de l’incident. En résumé, il y a eu à la fois un cryptage de nos fichiers et une exfiltration (vol) d’informations », explique Los Madroños.
Concernant la patientèle, les données exposées sont de deux types. Les dossiers médicaux et les données d’identifications. Côté clinique, les diagnostics, les traitements, les résultats d’examens et les notes de vos médecins. Ainsi il est possible de consulter des analyses de sang, des protocoles…
De plus, les informations personnelles telles que le prénom et le nom, la carte d’identité, la date de naissance, l’adresse, le numéro de téléphone et d’autres coordonnées conservées dans nos systèmes. Toutes les informations que vous remplissez lors de votre admission, le registre d’entrée. Mais également des notifications du registre central des délinquants sexuels et de la traite des êtres humains. (Crédits : capture d’écran/Qilin)
Les personnels soignants, actuels et passés sont touchés par la fuite sur les documents d’identité, les données relatives aux études et formation ainsi que relative à leurs emplois. Les données sont : la pièce d’identité, les qualifications, certifications académiques, formations complémentaires et expériences professionnelles. Mais encore la catégorie et le poste occupé, la date d’embauche, l’historique des promotions ou des évaluations, les heures de travail, ainsi que les données salariales (le salaire, les déductions fiscales…) sans oublier l’IBAN.
Le ministère des Affaires étrangères de l’Ukraine
Le ministère des Affaires étrangères affirmait avoir des indices de l’implication russe sur une attaque cyber dans la nuit du 13 au 14 janvier 2022. « Plusieurs sites gouvernementaux ukrainiens ont été la cible vendredi d’une cyberattaque qui s’est produite dans un contexte de vives tensions entre Kiev et Moscou, accusé de préparer une invasion de son voisin ukrainien », écrivait France TV Info.
Le ransomware Qilin a revendiqué l’attaque sur le ministère des Affaires étrangères de l’Ukraine, le 7 mars 2025. Le principal intéressé n’a pas encore communiqué sur cette cyberattaque. Plus de 100 fichiers sont disponibles. Ils sont des échanges datant de l’année 2022.
Ils portent sur des passeports, des remerciements de soutien suite au conflit armé opposant l’Ukraine et la Russie, mais également des demandes de passeports. Selon les rapports suite à l’attaque contre Synnovis, le groupe serait d’obédience russophone.
Dans son discours le chef de l’État français déclare que « la Russie est devenue une menace pour la France et pour l’Europe. » Depuis de part et d’autre, les commentaires fusent, comme la guerre de la propagande dans les divers camps.
(Crédits : Capture d’écran/Qilin)
De son côté le tribunal de la ville de Cleveland, dans l’Ohio voit des données exposées sur le dark web. Après la cyberattaque de fin février, l’administration à fermer ses portes par mesure de précaution. Depuis le 23 février 2025, le site WEB est, quant à lui toujours hors service.
