Ils ont conservé leur pouvoir de nuire, malgré l’action des polices du monde entier. L’opération internationale Cronos menée en février dernier contre les hackers de Lockbit n’a provoqué qu’un coup d’arrêt temporaire. Deux mois plus tard, des hackers revendiquaient une cyberattaque contre l’hôpital Simone-Veil de Cannes, partiellement paralysé depuis le 16 avril.
Dans un communiqué, l’établissement a reconnu avoir été victime d’une attaque informatique de grande ampleur : « Le cyberconfinement général a été l’une des premières décisions de la cellule de crise. Cette décision radicale a été prise très rapidement dans tous les secteurs. Tout accès informatique a donc été coupé.
Des experts de l’Agence nationale de la sécurité des systèmes d’information (Anssi) et d’Orange Cyberdéfense sont intervenus pour constater les dégâts et bloquer l’attaque. Deux semaines plus tard, ses dirigeants ont reconnu avoir fait l’objet d’une tentative d’extorsion, aussi appelée chantage aux données.
Comme c’est souvent le cas lors des attaques de ransomwares, les cybercriminels ont exigé une rançon en échange des données volées et ont menacé de les distribuer. Cette menace s’est concrétisée avec la publication dans la nuit de mercredi à jeudi de 61 Go de données internes sur leur site Darknet.
Selon les informations que nous avons pu consulter, aucun dossier patient ne figure dans ces dossiers. Il s’agit plutôt de notes internes, de trombinoscopes ou de listes d’attente pour un médicament, complétées par quelques données personnelles des bénéficiaires. Bref, les données exfiltrées ressemblent plus au contenu d’un disque dur qu’à celui d’un serveur d’hôpital.
Ralentis par la répression policière, les hackers russophones ont repris leurs activités à toute vitesse. « Ils n’ont jamais vraiment disparu et ont rapidement reconstruit leurs infrastructures tout en conservant leurs capacités. Ce qui ne les a pas tués les a rendus plus forts », a déclaré Pascal Le Digol, expert en cybersécurité chez WatchGuard Technologies.
La stratégie de ce groupe, qui négocie en russe, a également changé depuis l’opération qui visait à les discréditer. Les établissements de santé ont été épargnés et sont devenus des cibles comme les autres. “Il n’y a eu que quelques dérapages de leurs affiliés, les petites mains derrière les attentats, mais ils ne rechignent plus à s’en prendre aux hôpitaux, comme un animal blessé qui mord désormais plus fort”, analyse Pascal Le Digol.
L’hôpital de Cannes a reconnu ce jeudi dans un communiqué que les données publiées lui appartenaient bien et a confirmé le dépôt d’une plainte et d’un signalement auprès de la CNIL. Mais aussi un retour progressif à la normale : « L’activité de l’hôpital a repris son cours quasi ordinaire. Le fonctionnement normal de son système d’information est rétabli à un rythme soutenu conformément au plan d’action défini au début de la crise. »
