En février, des attaquants du groupe de rançongiciels BlackCat basé en Russie ont frappé un cabinet médical dans le comté de Lackawanna, en Pennsylvanie, qui fait partie du Lehigh Valley Health Network (LVHN). À l’époque, LVHN a déclaré que l’attaque « impliquait » un système de photo de patient lié au traitement de radio-oncologie. Le groupe de soins de santé a déclaré que BlackCat avait émis une demande de rançon, « mais LVHN a refusé de payer cette entreprise criminelle ».
Après quelques semaines, BlackCat a menacé de publier les données volées du système. « Notre blog est suivi par de nombreux médias mondiaux, l’affaire sera largement médiatisée et causera des dommages importants à votre entreprise », a écrit BlackCat sur son site d’extorsion sur le dark web. « Votre temps est compté. Nous sommes prêts à libérer toute notre puissance sur vous ! Les attaquants ont ensuite publié trois captures d’écran de patients atteints de cancer recevant une radiothérapie et sept documents contenant des informations sur les patients.
Les photos médicales sont graphiques et intimes, représentant les seins nus des patients sous différents angles et positions. Et tandis que les hôpitaux et les établissements de soins de santé sont depuis longtemps la cible préférée des gangs de ransomwares, les chercheurs affirment que la situation au LVHN pourrait indiquer un changement dans le désespoir des attaquants et leur volonté d’aller à des extrêmes impitoyables alors que les cibles de ransomwares refusent de plus en plus de payer.
« Comme de moins en moins de victimes paient la rançon, les acteurs des ransomwares deviennent de plus en plus agressifs dans leurs techniques d’extorsion », explique Allan Liska, analyste pour la société de sécurité Recorded Future, spécialisée dans les ransomwares. « Je pense que nous verrons plus de cela. Cela suit de près les schémas des affaires d’enlèvement, où lorsque les familles des victimes refusent de payer, les ravisseurs peuvent envoyer une oreille ou une autre partie du corps de la victime.
Les chercheurs disent qu’un autre exemple de ces escalades brutales est survenu mardi lorsque le gang émergent de rançongiciels Medusa a publié des exemples de données volées dans les écoles publiques de Minneapolis lors d’une attaque en février accompagnée d’une demande de rançon d’un million de dollars. Les captures d’écran divulguées comprennent des analyses de notes manuscrites décrivant des allégations d’agression sexuelle et les noms d’un étudiant et de deux étudiantes impliquées dans l’incident.
« Veuillez noter que MPS n’a pas payé de rançon », a déclaré le district scolaire du Minnesota dans un communiqué début mars. Le district scolaire compte plus de 36 000 élèves, mais les données contiennent apparemment des enregistrements liés aux élèves, au personnel et aux parents remontant à 1995. La semaine dernière, Medusa a publié une vidéo de 50 minutes dans laquelle les attaquants semblaient faire défiler et revoir tous les données qu’ils ont volées à l’école, une technique inhabituelle pour annoncer exactement les informations qu’ils détiennent actuellement. Medusa propose trois boutons sur son site Web sombre, un pour que quiconque paie 1 million de dollars pour acheter les données MPS volées, un pour que le district scolaire lui-même paie la rançon et fasse supprimer les données volées, et un pour payer 50 000 $ pour prolonger le date limite de rançon d’un jour.
« Ce qui est remarquable ici, je pense, c’est que dans le passé, les gangs ont toujours dû trouver un équilibre entre faire pression sur leurs victimes pour qu’elles paient et ne pas faire des choses aussi odieuses, terribles et diaboliques que les victimes ne veulent pas avoir à faire avec elles », déclare Brett Callow, analyste des menaces chez la société antivirus Emsisoft. «Mais parce que les cibles ne paient pas aussi souvent, les gangs poussent maintenant plus fort. C’est une mauvaise communication d’avoir une attaque de ransomware, mais pas aussi terrible qu’elle l’était autrefois – et c’est vraiment une mauvaise communication d’être vu en train de payer une organisation qui fait des choses terribles et odieuses.
La pression publique monte certainement. En réponse aux photos de patients divulguées cette semaine, par exemple, LVHN a déclaré dans un communiqué : « Cet acte criminel inadmissible profite des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement méprisable.
Le FBI Internet Crime Complaint Center (IC3) a déclaré cette semaine dans son rapport annuel sur la criminalité sur Internet qu’il avait reçu 2 385 rapports sur des attaques de ransomwares en 2022, totalisant 34,3 millions de dollars de pertes. Les chiffres étaient en baisse par rapport aux 3 729 plaintes de ransomware et aux 49 millions de dollars de pertes totales en 2021. « Il a été difficile pour le FBI de déterminer le nombre réel de victimes de ransomware, car de nombreuses infections ne sont pas signalées aux forces de l’ordre », note le rapport.
Mais le rapport dénonce spécifiquement un comportement d’extorsion évolutif et plus agressif. « En 2022, l’IC3 a vu une augmentation d’une tactique d’extorsion supplémentaire utilisée pour faciliter les ransomwares », a écrit le FBI. « Les acteurs de la menace font pression sur les victimes pour qu’elles paient en menaçant de publier les données volées si elles ne paient pas la rançon. »
À certains égards, le changement est un signe positif que les efforts de lutte contre les ransomwares fonctionnent. Si suffisamment d’organisations disposent des ressources et des outils nécessaires pour résister au paiement de rançons, les attaquants pourraient éventuellement ne pas être en mesure de générer les revenus qu’ils souhaitent et, idéalement, abandonneraient complètement les ransomwares. Mais cela fait de ce passage à des tactiques plus agressives un moment précaire.
« Nous n’avons vraiment jamais vu des choses comme ça auparavant. Des groupes ont fait des choses désagréables, mais ce sont les adultes qui ont été ciblés, ce n’étaient pas des malades du cancer ou des écoliers », dit Callow d’Emsisoft. « J’espère que ces tactiques les mordront dans les fesses et que les entreprises diront non, on ne peut pas nous voir financer une organisation qui fait ces choses odieuses. C’est mon espoir en tout cas. Reste à savoir s’ils réagiront de cette façon.
Cette histoire est apparue à l’origine sur wired.com.