[Etats-Unis] L’attaque d'un rançongiciel a des répercussions sur plus de 400 cabinets dentaires

Une attaque de rançongiciel visant un service de sauvegarde de dossiers médicaux a empêché des centaines de cabinets dentaires aux États-Unis d'accéder aux dossiers de leurs patients.

L'attaque s'est produite le 26 août 2019 et a affecté la solution de sauvegarde DDS Safe développée par la société de logiciels du Wisconsin, Digital Dental Record (DDS). Le système DDS a été compromis par une attaque contre son fournisseur d’informatique dans le nuage PerCSoft.

L'attaque n'a pas affecté tous les cabinets dentaires utilisant la solution DDS Safe. Selon les premiers rapports, entre 400 et 500 des 900 cabinets dentaires utilisant la solution ont été touchés par l'attaque REvil/Sodinokibi. Les cabinets en question étaient alors dans l’incapacité d’accéder aux dossiers médicaux, aux documents d'assurance et autres renseignements personnels de leurs patients, bloquant alors le travail des dentistes.

PerCSoft, avec l'aide d'un éditeur de logiciels tiers, a obtenu un outil de déchiffrement et est en train de récupérer les fichiers chiffrés. Selon une déclaration de la DDS, on estime que la récupération des dossiers prend entre 30 minutes et 4 heures par client.

Certains cabinets dentaires ont signalé la perte de fichiers à la suite de l'attaque et d'autres ont déclaré que le processus de déchiffrement n'avait pas fonctionné. Plusieurs cabinets dentaires ont exprimé la crainte que l'attaque ne les empêche de traiter les paiements de salaires, la fin du mois étant imminente. Au moment de la rédaction du présent bulletin, une centaine de cabinets dentaires auraient récupéré leurs dossiers avec succès.

Puisqu'il n'y a pas d'outil de déchiffrement gratuit pour le logiciel de rançon REvil disponible via le projet NoMoreRansom, il est probable que la rançon ait été payée. Cela n'a pas été confirmé publiquement par l'une ou l'autre entreprise, bien que Brian Krebs (journaliste du blog Krebs on Security) ait déclaré que plusieurs sources ont confirmé que PerCSoft aurait payé la rançon pour obtenir l'outil de déchiffrement.

Le montant de la rançon est inconnu, mais un utilisateur de Reddit déclare que PerCSoft - ou son assureur - aurait payé 5 000 $ par client pour le déchiffrement des données. Cela porterait la demande de rançon totale à 2,5 millions de dollars, ce qui correspond à la demande de l'attaque coordonnée de Sodinokibi qui a touché 22 entités gouvernementales au Texas au début du mois.

Bien que le code du logiciel de rançon REvil diffère considérablement des autres variantes du logiciel de demande de rançon, les chercheurs de Tesorion (Entreprise de sécurité informatique néerlandaise) ont trouvé des similitudes de code avec le logiciel de rançon GandCrab. Les acteurs de la menace derrière GandCrab ont prétendu avoir pris leur retraite après avoir gagné énormément d'argent grâce à leur opération de rançongiciel à la demande au cours des 18 derniers mois, bien que les chercheurs du Tesorion soupçonnent au moins certaines des personnes impliquées dans GandCrab d'avoir été impliquées ou d'être responsables dans REvil ransomware.

Il est recommandé de ne jamais payer les rançons et d'effectuer un signalement sur la plateforme : https://signalement.social-sante.gouv.fr/psig_ihm_utilisateurs/index.ht…/

En cas d’attaque de type rançongiciel, il est recommandé de suivre les recommandations de la fiche réflexe concernant les cryptovirus : https://www.cyberveille-sante.gouv.fr/sites/default/files/documents/fiches-reflexes/Fiches_reflexes-Cryptovirus_v1.5.pdf

Informations
+

Risques

  • Atteinte à la disponibilité et l'intégrité des données de santé

Criticité

  • Score CVSS : N/A

Existence d’un code d’exploitation de la vulnérabilité

  • N/A

Composants & versions vulnérables

  • Solution DDS Safe dans l’infonuage de PerCSoft

CVE

  • N/A

Recommandations
+

est recommandé de ne jamais payer les rançons et d'effectuer un signalement sur la plateforme : https://signalement.social-sante.gouv.fr/psig_ihm_utilisateurs/index.ht…/

En cas d’attaque de type rançongiciel, il est recommandé de suivre les recommandations de la fiche réflexe concernant les cryptovirus : https://www.cyberveille-sante.gouv.fr/sites/default/files/documents/fiches-reflexes/Fiches_reflexes-Cryptovirus_v1.5.pdf