HSE Ireland a dû mettre à l’arrêt l’ensemble de son système informatique en raison d’une violation via le rançongiciel Conti dans la nuit du vendredi 14 mai. Selon Bleeping Computer, les pirates exigent une rançon de 20 millions de dollars et affirment avoir volé 700 Go de fichiers non cryptés : des informations sur les patients et les employés, des contrats, des états financiers et des fiches de paie. En réponse, le Premier Ministre Irlandais, Micheál Martin, affirme que la somme demandée ne sera pas payée.

« Il y a une attaque ransomware importante sur les systèmes informatiques de HSE. Par précaution, nous avons arrêté tous nos systèmes informatiques afin de les protéger de cette attaque et nous permettre d’évaluer pleinement la situation avec nos propres partenaires de sécurité », a tweeté l’organisme.

 

Paul Reid, le directeur général du Health Service Executive d’Irlande, précise que l’attaque se concentre sur l’accès aux dossiers médicaux stockés sur des serveurs centraux. Ni les services d’urgence ni les centres de vaccination contre le Covid-19 n’ont été affectés. En revanche, le système informatique permettant aux personnes en contact avec des malades de prendre rendez-vous pour se faire dépister ne fonctionne toujours pas. Des hôpitaux et des maternités ont été touchés ainsi que les services de protection de l’enfance.

Plus connu sous le nom de Wizard Spider, le ransomware Conti serait dirigé par un groupe de cybercriminels basé en Russie. Ce groupe utilise des attaques par hameçonnage (phishing) pour installer les chevaux de Troie TrickBot et BazarLoader qui lui fournissent un accès à distance aux machines infectées. Ainsi, les cybercriminels se propagent latéralement dans un réseau et peuvent voler des informations d’identification non cryptées stockées sur des postes de travail et des serveurs. Une fois que les pirates ont volé toutes les données de valeur, ils attendent généralement un moment calme de la semaine, le week-end par exemple, pour déployer le rançongiciel sur le réseau et chiffrer tous les appareils. Les données volées sont utilisées comme levier pour menacer la victime et la forcer à payer une rançon sous peine de publier les données confidentielles en ligne.

Parmi d’autres victimes d’attaques menées par Conti, souvenons-nous notamment du fabricant de puces Advantech, en novembre dernier, et de l’Agence écossaise de protection de l’environnement (SEPA) en décembre dernier.