Contenu de l’article
Les pirates informatiques qui ont volé les données des patients et mis hors service les systèmes de cinq hôpitaux du sud-ouest de l’Ontario se cachaient probablement dans leurs systèmes informatiques pendant des mois, passant inaperçus alors qu’ils volaient lentement des informations.
Publicité 2
Contenu de l’article
Le fait de verrouiller les organisations hors de leurs propres systèmes a eu des effets de grande envergure, obligeant notamment l’hôpital régional de Windsor à envoyer des patients atteints de cancer hors de la ville, bien que l’hôpital ait déclaré mardi qu’il avait repris certains traitements de radiothérapie localement.
Contenu de l’article
Mais les conséquences de cette attaque soutenue se poursuivent.
Le hacker éthique certifié Terry Cutler, qui teste et évalue la sécurité des réseaux numériques, a déclaré que les cybercriminels restent dans la plupart des cas dans les systèmes de leurs victimes pendant 286 jours en moyenne avant d’être détectés.
« Quand ils sont dans le système, ils ne sont pas là seulement pour lancer une attaque de ransomware ou voler vos affaires immédiatement », a déclaré Cutler, PDG des laboratoires de cyologie au Québec, qui ne fait pas partie de l’enquête sur ce qui s’est passé dans les hôpitaux. .
Publicité 3
Contenu de l’article
« Ils veulent rester cachés le plus longtemps possible afin de pouvoir voler vos données lentement. Ils finissent par vous extorquer en vous disant que nous allons divulguer les données à moins que vous ne payiez des millions de dollars.
Les maîtres chanteurs ont ciblé TransForm Shared Service Organization, qui gère les systèmes technologiques de Bluewater Health de Sarnia, de Chatham-Kent Health Alliance, de l’hospice de Windsor-Essex, d’Erie Shores HealthCare, de l’Hôtel-Dieu Grace Healthcare et de l’hôpital régional de Windsor.
Bluewater Health a été le plus durement touché, avec le vol d’un rapport de base de données comprenant des informations relatives à 5,6 millions de visites à l’hôpital d’environ 267 000 patients uniques.
L’Hôpital régional de Windsor, le plus grand des cinq établissements, a déclaré qu’« une partie très limitée » d’un lecteur commun utilisé par le personnel avait été cambriolée. L’hôpital a déclaré que certains patients avaient été identifiés par leur nom. Certains ont été identifiés grâce à de brefs résumés de conditions médicales, mais sans dossiers de patients ni dossiers électroniques.
Publicité 4
Contenu de l’article
Un groupe de cybercriminalité organisé appelé Daixin Team serait responsable de l’attaque. Les pirates ont volé des informations sur le personnel et les patients, puis ont commencé à les publier sur le dark web alors que les hôpitaux refusaient de payer les demandes de rançon.
Les criminels ont publié des informations en ligne jeudi, suivies d’une autre diffusion de données vendredi et d’une troisième publication au cours du week-end. Les hôpitaux, qui ont détecté l’attaque le 23 octobre, ont également été exclus de leurs propres systèmes.
Cutler a déclaré que cela pouvait prendre des mois pour expulser les pirates informatiques des réseaux et en reprendre le contrôle.
« S’il s’agit d’une attaque de ransomware, ils seront indisponibles pendant au moins 100 heures », a-t-il déclaré. « Une équipe médico-légale doit intervenir et analyser comment il est arrivé là, quelle machine était le patient zéro, comme nous l’appelons.
Publicité 5
Contenu de l’article
« Ces enquêtes peuvent prendre des jours et des semaines. Il y a donc ce retard parce que vous ne pouvez pas simplement restaurer le système et le remettre en ligne, car vous restaureriez la porte dérobée. Les hackers, lorsqu’ils sont là-dedans, s’assurent que leurs portes dérobées restent actives pendant longtemps.»
Les organisations doivent généralement faire appel à des « intervenants en cas d’incident », qui est l’un des services proposés par son entreprise.
« Nous disposerons d’une technologie spécialisée qui nous permettra de vérifier si des pirates informatiques sont toujours présents dans le système », a déclaré Cutler. « Quelle que soit la porte dérobée installée dans le réseau, elle signale la maison. Il doit appeler chez lui pour connaître les instructions.
« Nous pouvons ainsi voir ces informations quitter le réseau ou y revenir. Et nous pouvons voir quels points finaux pourraient divulguer des informations. »
Publicité 6
Contenu de l’article
Il n’a pas été révélé comment les pirates ont pénétré dans les systèmes hospitaliers, mais Cutler a déclaré que cela se faisait souvent par le biais d’e-mails de phishing.
« Souvent, les cybercriminels recherchent qui sont les employés en ligne, via LinkedIn ou autre, et envoient un e-mail de phishing à ces personnes », a déclaré Cutler. «C’est aussi un e-mail appelé spear phishing. C’est comme un email ciblé : voici l’IRM que vous avez demandée. Ils pourraient cliquer dessus et s’ils ne disposent pas d’une protection adéquate sur leur réseau, l’attaque risque de se produire.
Lorsque des pirates informatiques pénètrent dans un ordinateur, Cutler a déclaré qu’ils peuvent voler tous les noms d’utilisateur et mots de passe connus de la machine.
« Ils vont faire ce qu’on appelle un mouvement latéral et attaquer d’autres ordinateurs du réseau en utilisant le même nom d’utilisateur et le même mot de passe », a-t-il déclaré. « S’il s’agit d’un mot de passe administratif, c’est vraiment mauvais. Cela signifie qu’ils peuvent se connecter à chaque ordinateur du réseau et en prendre le contrôle.
Publicité 7
Contenu de l’article
Cutler a déclaré que les criminels ciblent souvent les hôpitaux parce que beaucoup utilisent une « technologie héritée ».
« Les hôpitaux avec lesquels nous avons travaillé utilisent toujours Windows XP », a déclaré Cutler, qui a effectué des audits de sécurité pour plus d’une douzaine d’établissements de santé. « Bien souvent, ce n’est pas de leur faute. C’est parce que les logiciels qu’ils utilisent ne peuvent pas fonctionner sur une technologie plus récente, ils sont donc coincés avec ces éléments hérités.
« Et il n’y a plus de correctifs de sécurité pour ces derniers, plus de correctifs, car ils sont tellement obsolètes. Ils sont donc vulnérables.
À l’intérieur des systèmes hospitaliers, Cutler a déclaré que les pirates pourraient accéder à des informations telles que des noms, des adresses, des numéros d’assurance sociale, des analyses de sang et des rapports sensibles.
« Si tout cela est divulgué, les cybercriminels peuvent le vendre sur le dark web », a déclaré Cutler.
Publicité 8
Contenu de l’article
L’identité personnelle d’un individu ne se vend pas beaucoup.
« À l’heure actuelle, les identités de chacun se situent entre 2 et 10 dollars par personne à acheter », a déclaré Cutler. « Vous pouvez obtenir le profil complet d’une personne pour 10 $ ou moins. »
Une fois qu’ils disposent de l’information, les mauvais acteurs peuvent faire des ravages dans la vie de quelqu’un. Cutler a déclaré que les gens devraient créer des mots de passe forts et utiliser la vérification en deux étapes pour tout, des comptes Hotmail aux comptes bancaires.
« Ils sont là pour s’assurer qu’ils peuvent le monétiser et vous voler », a-t-il déclaré. « Ils vont ouvrir des comptes bancaires frauduleux, ils vont essayer d’obtenir un prêt. Ils vont essayer de faire quelque chose avec votre numéro d’assurance sociale.
« Ils auront accès à votre adresse personnelle et à d’autres informations, et ils pourront reconstituer votre identité. »
Contenu de l’article
commentaires
Postmedia s’engage à maintenir un forum de discussion vivant mais civil et encourage tous les lecteurs à partager leurs points de vue sur nos articles. Les commentaires peuvent prendre jusqu’à une heure pour être modérés avant d’apparaître sur le site. Nous vous demandons de garder vos commentaires pertinents et respectueux. Nous avons activé les notifications par e-mail : vous recevrez désormais un e-mail si vous recevez une réponse à votre commentaire, s’il y a une mise à jour d’un fil de commentaires que vous suivez ou si un utilisateur que vous suivez commente. Consultez nos directives communautaires pour plus d’informations et de détails sur la façon d’ajuster vos paramètres de messagerie.