Le groupe hospitalier UHS est la cible d’une attaque informatique qui l’oblige à recourir à des outils hors ligne. Le coupable serait Ryuk, un ransomware désormais bien connu.
Universal Health Services, UHS pour les intimes, est l’un des plus grands groupes hospitaliers aux États-Unis, avec plus de 400 établissements de santé répartis sur le territoire. Depuis le matin du 27 septembre, ses employés sont revenus au papier et au crayon... ou du moins à des outils hors-ligne prévus en back-up. En cause, un “incident de sécurité informatique” contraignant le groupe à bloquer les accès à ses applications.
Le communiqué d’UHS est particulièrement lapidaire, se contentant d’indiquer que “cette affaire peut entraîner des perturbations temporaires de certains aspects de nos opérations cliniques et financières” et n’avoir pour l’heure aucune preuve de l’accès aux données de ses patients et employés. Le ton des messages envoyés auxdits employés est tout autre.
Les machines paralysées
Dans des SMS consultés par Reuters, le groupe recommande à ses salariés de n’accéder en aucun cas au réseau de l’entreprise avec leurs terminaux, professionnels ou personnels. Une attitude révélatrice d’une infection par un malware se propageant sur le réseau de l’entreprise, tandis que plusieurs sources pointent le ransomware Ryuk comme derrière la paralysie du SI d’UHS.
Sur Reddit plusieurs utilisateurs indiquent que les fichiers des hôpitaux du groupe ont été chiffrés et portent l’extension .ryk, marque de fabrique de Ryuk. Ils signalent en outre que l’attaque aurait débuté dans la nuit de samedi à dimanche et que les ordinateurs ne sont pas les seuls affectés : ECG, appareils de radiologie ou encore ERM seraient eux aussi paralysés. Des informations qui ne sont néanmoins pas vérifiables pour le moment, et donc à prendre avec des pincettes, à l’instar de celle selon laquelle plusieurs patients seraient décédés faute d’une prise en charge adaptée consécutive à cette cyberattaque.
Le secteur de la santé particulièrement visé
La crise sanitaire a vu une multiplication des attaques dirigées contre les établissements de santé. L'AP-HP, le Health and Human Services Department américain ou encore l'hôpital de Brno, en République Tchèque, ont tous été victimes ici de DDoS, là de ransomwares ou encore de vol de données. L’Accompagnement Cybersécurité des Structures de Santé avait émis en mars en France plusieurs recommandations suivant celles précédemment formulées par l’OMS. Pour Pierre-Louis Lussan, de Netwrix, "nos récentes recherches sur les cybermenaces indique que ce secteur a subi le plus d'attaque de ransomware depuis le début de la crise sanitaire - avec une organisation de santé sur trois qui admet avoir été visée. Concernant l’attaque d’UHS, nous ne savons pas encore si les données des patients ont été seulement chiffrées, ou si elles ont également quitté le réseau de l’organisation. Plusieurs installations d’UHS sont affectées dans au moins quatre États et dans la ville de Washington, ce qui montre un déplacement latéral rapide du malware".