Plusieurs hôpitaux à travers la Roumanie ont été frappés par le ransomware Backmydata de la famille de Phobos dans la nuit de dimanche à lundi. De nombreux services sont toujours paralysés.
En Roumanie, le Directoire National de la cybersécurité (DNSC) a été informé d'une cyberattaque par rançongiciel contre le fournisseur de services de plusieurs hôpitaux en Roumanie survenue dans la nuit du 11 au 12 février 2024. Après enquête d’une équipe du Directoire, il s’est avéré que le ransomware était le Backmydata, de la famille du bien connu Phobos, nommé d'après le dieu grec de la peur.
Le DNSC a dans un premier temps confirmé que 21 hôpitaux dans tout le pays et utilisant une plateforme médicale, baptisée Hippocrate, étaient concernés, dont un hôpital pédiatrique, mais aussi des départements d’urgences, de cardiologie, des cliniques, des instituts oncologiques, etc. Une mise à jour datée du 13 février fait état de 4 nouveaux établissements concernés. Les pirates ont pu accéder aux données des établissements et les chiffrer.
Les hackers exigent 160 000 euros
Les hackers réclament le paiement d’une rançon de 3,5 Bitcoins, soit l’équivalent d’environ 160 000 euros. « Dans le message des attaquants, aucun nom de groupe revendiquant cette attaque n'est spécifié, seulement une adresse e-mail. Tant le Directoire que d'autres autorités impliquées dans l'analyse de cet incident recommandent de ne pas contacter les attaquants et de ne pas payer la rançon demandée ! », a prévenu le DNSC qui a également fourni une série de recommandations de sécurité pour tous les établissements utilisant Hippocrate.
Aux 25 établissements touchés s’ajoutent 79 unités de santé qui ont été déconnectées d’Internet et font actuellement l’objet d’investigations afin de déterminer si elles ont été touchées par l’attaque ou non. L’administration a précisé que la plupart des établissements concernés disposent de sauvegardes des données de serveurs relativement récentes, ce qui devrait faciliter la restauration des services.