Neuf jours après qu’un syndicat de ransomwares russophones ait mis hors service le plus grand système américain de paiement des soins de santé, les pharmacies, les prestataires de soins de santé et les patients se démenaient toujours pour exécuter les ordonnances de médicaments, dont beaucoup sauvent des vies.
Jeudi, UnitedHealth Group a accusé un gang de ransomwares notoire connu sous le nom d’AlphV et Black Cat d’avoir piraté sa filiale Optum. Optum fournit un réseau national appelé Change Healthcare, qui permet aux prestataires de soins de santé de gérer les paiements des clients et les réclamations d’assurance. En l’absence de moyen simple pour les pharmacies de calculer les coûts couverts par les compagnies d’assurance, nombre d’entre elles ont dû se tourner vers des services alternatifs ou des méthodes hors ligne.
L’incident le plus grave du genre
Optum a révélé pour la première fois le 21 février que ses services étaient en panne en raison d’un « problème de cybersécurité ». Depuis, son service est paralysé. Peu de temps avant la publication de ce message sur Ars, Optum a déclaré avoir rétabli les services Change Healthcare.
« En travaillant avec des partenaires technologiques et commerciaux, nous avons réalisé avec succès des tests avec des fournisseurs et plusieurs partenaires pharmaceutiques de détail pour les types de transactions concernés », indique une mise à jour. « En conséquence, nous avons activé ce service pour tous les clients à compter de 13 heures CT, le vendredi 1er mars 2024. »
AlphV est l’un des nombreux syndicats qui fonctionnent selon un modèle de ransomware-as-a-service, ce qui signifie que les affiliés se chargent du piratage réel des victimes, puis utilisent le ransomware et l’infrastructure AlphV pour crypter des fichiers et négocier une rançon. Les parties se partagent ensuite les bénéfices.
En décembre, le FBI et ses équivalents dans les pays partenaires ont annoncé avoir saisi une grande partie de l’infrastructure d’AlphV, dans le but de perturber le groupe. AlphV a rapidement affirmé avoir libéré son site, ce qui a conduit à une lutte acharnée entre les forces de l’ordre et le groupe. La paralysie de Change Healthcare est un signe clair qu’AlphV continue de constituer une menace pour des éléments critiques de l’infrastructure américaine.
« La cyberattaque contre Change Healthcare qui a débuté le 21 février est l’incident le plus grave du genre contre une organisation de soins de santé américaine », a déclaré Rick Pollack, président et directeur général de l’American Hospital Association. Citant les données de Change Healthcare, Pollack a déclaré que le service traite 15 milliards de transactions impliquant des vérifications d’éligibilité, des opérations pharmaceutiques, ainsi que des transmissions et des paiements de réclamations. « Tous ces éléments ont été perturbés à des degrés divers au cours des derniers jours, et l’impact total n’est toujours pas connu. »
Optum a estimé que lundi, plus de 90 pour cent des quelque 70 000 pharmacies aux États-Unis avaient modifié la façon dont elles traitaient les réclamations électroniques à la suite de la panne. La société a ajouté que seul un petit nombre de patients n’ont pas pu faire exécuter leurs ordonnances.
L’ampleur et la durée de la panne de Change Healthcare soulignent les effets dévastateurs des ransomwares sur les infrastructures critiques. Il y a trois ans, des membres affiliés à un autre groupe de ransomwares connu sous le nom de Darkside ont provoqué une panne de cinq jours de Colonial Pipeline, qui livrait environ 45 % des produits pétroliers de la côte Est, notamment de l’essence, du carburant diesel et du carburéacteur. L’interruption a provoqué des pénuries de carburant qui ont poussé les compagnies aériennes, les consommateurs et les stations-service à se démener.
De nombreux groupes de ransomwares ont également mis hors service des réseaux hospitaliers entiers lors de pannes qui, dans certains cas, ont menacé les soins aux patients.
AlphV a joué un rôle clé dans la menace des ransomwares. Le FBI a déclaré en décembre que le groupe avait collecté plus de 300 millions de dollars de rançons. L’une des victimes les plus connues du ransomware AlphV était Caesars Entertainment et les casinos appartenant à MGM, qui ont interrompu les opérations dans de nombreux casinos de Las Vegas. Un groupe composé principalement d’adolescents est soupçonné d’avoir orchestré cette brèche.