Les données de l'hôpital de Cannes, volées lors d’une cyberattaque à la mi-avril, ont été diffusées ce jeudi. Aux commandes, le LockBit qui poursuit ses activités malgré une tentative de démantèlement par les autorités.
Non, LockBit n’est pas mort. Cible d’une cyberattaque à la mi-avril, le centre hospitalier Simon-Veil à Cannes (Alpes-Maritimes) s’est fait voler 61 gigaoctets de données par le groupe de ransomware. Les pirates informatiques ont lancé un ultimatum à l’établissement, qui avait jusqu’au mercredi 1er mai minuit pour payer une rançon, faute de quoi les informations seraient dévoilées. L’établissement n’a visiblement pas cédé au chantage, puisque les pirates ont finalement mis leurs menaces à exécution, comme l’a révélé le hackeur éthique MrSaxX.
Échec de l’opération Cronos
« Le groupe LockBit veut et se refait une réputation. Il reste toujours la franchise N°1 du cybercrime et veut le faire savoir auprès de ses franchisés mais aussi auprès de ses concurrents, après l'opération Cronos en février qui avait stoppé en partie les activités du groupe de ransomware... », a-t-il déclaré sur X. Cette action de police et de justice, dont les résultats ont été présentés en février, avait perturbé les opérations du groupe de ransomware en prenant le contrôle de sa plateforme et en démantelant 34 serveurs. Les autorités avaient également annoncé avoir eu accès à certaines données personnelles d'affiliés du groupe.
Moins d’une semaine après pourtant, le « ransomware-as-a-service » avait remis sur pied une nouvelle infrastructure pour mener ses opérations et ouvert un nouveau site de fuite de données via une adresse Tor. Le gang avait publié dans la foulée une liste comportant une douzaine de victimes présumées, dont le comté de Fulton (États-Unis), Dunaway et STS Aviation Group, ou encore le groupe de logistique français Idea.
Des données bientôt exploitées
Suite à la cyberattaque, l’hôpital Simon Veil a été contraint d’annuler des consultations ainsi que plusieurs opérations chirurgicales non urgentes. L’administration de l’hôpital fonctionne en mode dégradé. Le parquet de la ville de Grasse a été saisi et une enquête a été ouverte. Jusqu’ici, la nature de l’attaque et l’identité des cybercriminels étaient restées inconnues.
« Les données publiées cette nuit vont se retrouver dans les prochaines semaines, hélas, dans différents forums du darkweb à la revente. D'autres "petites" mains de la cybercriminalité vont prendre le relais. Ils vont collecter, trier, ré-assembler, simplifier les données exfiltrées initialement par LockBit dans la cyberattaque de Cannes et les remettre à la vente », a prévenu MrSaxX. Il met en garde contre les risques de phishing par SMS ou par mail, les sollicitations téléphoniques, et autres.