Singing River Health System, Core Desktop et IT-Center Syd dernières victimes du ransomware Rhysida

Les trois compagnies victimes luttent pour le rétablissement de leurs systèmes d’information. Sans accéder aux exigences, tout ou partie des données volées seront publiés. Connu pour un fait d’armes contre l’armée chilienne le 27 mai 2023, le groupe criminel a depuis affiché 43 victimes sur son site de fuite. Les cyberattaques se seraient produites entre le 9 et 11 septembre 2023. Les demandes sont pour Core Desktop et IT-Center Syd de 5 Bitcoins chacune (BTC), de 30 BTC pour Singing River Health System.

Le groupe #Rhysida est connu suite à l’affaire de l’armée chilienne. Le 29 mai 2023, l’armée chilienne confirmait que ses systèmes d’information avaient été touchés par un incident de sécurité, une cyberattaque. L’incident avait été détecté lors du week-end du 27 mai. Ainsi 360 000 documents confidentiels de l’armée chilienne sont diffusés (bulletins de renseignement, fichiers des achats, des dépenses, planification financière, informations sur ses unités militaires…). L’organisation criminelle affirme avoir vendu 70 % des informations à des tiers, et avoir mis les 30 % restants des documents en téléchargement gratuit sur le dark web.

Depuis, un caporal de l’armée chilienne a été arrêté. Le parquet militaire a immédiatement ouvert une enquête en collaboration avec la brigade métropolitaine d’enquête sur la cybercriminalité de la police d’investigation (PDI). Selon La Tercera, et après une analyse approfondie, la PDI a arrêté l’auteur présumé de l’attaque informatique contre le réseau interne de l’armée chilienne. I

Depuis 43 victimes sont affichées sur le site de fuite. Les dernières en date sont l’école publique Prince George’s County à Washington (1,2 TB de données), Prospect Medical Holdings à Culver City en Floride (1,1 TB), Pierce College également à Washington (396 GB) et la ville de Ferrara en Italie (1,6 TB). Suite à l’interruption des systèmes d’information à Culver City, l’établissement communique sur son site que « les systèmes informatiques de Prospect Medical sont de nouveau opérationnels et notre système de santé continue à fournir des soins sûrs et de qualité aux patients suite à un incident de sécurité des données qui a perturbé nos opérations. »

Lundi 11 septembre 2023, les ordinateurs du Singing River Health System sont restés fermés suite à la détection d’une activité suspecte sur le réseau informatique au cours du week-end. Depuis, ils sont de retour au papier et aux crayons explique le directeur général par intérim Laurin St. Pe. L’entité ne sait pas encore quand les ordinateurs pourront être rallumés en toute sécurité. « Nous sommes actuellement en train de faire appel à des sociétés tierces pour comprendre exactement quels sont les systèmes qui ont été endommagés »