Les ransomwares en janvier ont été définis par une poignée d’attaques majeures, y compris plusieurs incidents impliquant des soins de santé.
New York Blood Center (NYBC), un grand don de dons de sang avec plus d’une douzaine de sites dans l’État de New York seulement, a déclaré dans un communiqué sur son site Web qu’il a détecté une activité suspecte le 26 janvier qui était déterminée comme étant le résultat d’un ransomware attaque. Son organisation mère, New York Blood Center Enterprises, a déclaré le 29 janvier que tous ses emplacements – y compris des centres dans des États tels que le Nebraska, le Connecticut et le New Jersey – ont été affectés “dans une certaine mesure”.
“Nous avons pris des mesures immédiates pour aider à contenir la menace et nous travaillons avec diligence avec ces experts pour restaurer nos systèmes le plus rapidement et le plus rapidement possible. “Nous comprenons la nature critique de nos services et la santé de nos communautés reste notre priorité absolue. Nous restons en communication directe avec nos partenaires hospitaliers et mettons en œuvre des solutions de contournement pour aider à restaurer les services et à respecter les commandes.”
À la suite de l’attaque, certaines nominations devaient être reprogrammées. Le 3 février, le NYBC a déclaré avoir restauré toute la collecte de sang, avec la mise en garde que “certains processus manuels restent en place”.
Oneblood, une autre organisation de don de sang, a déclaré le mois dernier en lettres envoyées aux victimes qu’une attaque qu’elle a subie en juillet dernier a conduit au vol de noms et de numéros de sécurité sociale. L’attaque a été divulguée le mois dernier aux régulateurs du Maine, du Massachusetts et du Vermont.
Également sur le plan des soins de santé, l’organisation des soins de santé du Maryland Frederick Health a subi une attaque de ransomware le 27 janvier qui a perturbé ses systèmes informatiques. L’incident a entraîné une augmentation du patient à au moins un hôpital à proximité.
Sur une page dédiée à la réponse des ransomwares, Frederick Health a déclaré qu’il avait pris des mesures immédiates pour aider à contenir l’incident, que ses installations restent ouvertes pour fournir des soins et qu’il utilise des processus de sauvegarde établis pour rester opérationnel. Cependant, l’organisation des soins de santé a ajouté: “Il y a certains retards dans nos services pour le moment.”
Tom Kleinhanzl, président et chef de la direction de Frederick Health, a déclaré dans un communiqué jeudi publié sur la page qu’il était fier de l’équipe de l’organisation pour sa réponse rapide
“Je suis fier de notre équipe chez Frederick Health. Ils ont immédiatement pivoté vers les procédures des temps d’arrêt et continuent de fournir des soins optimaux aux patients de la communauté”, a écrit Kleinhanzl. “Toutes nos installations sont ouvertes et opérationnelles, à l’exception du Frederick Health Village Lab. Notre service d’urgence est ouvert aux Walk-Ins et à tous les transports EMS.”
Une autre attaque majeure est venue dans le comté de Matagorda, au Texas, qui a mis en garde contre une panne de réseau le 24 janvier avant de confirmer officiellement qu’elle a subi une cyberattaque plus tard le même jour. Le comté a déclaré que la panne était causée par un «virus», que la portée était toujours déterminée et que certains services de comté limités mais non critiques étaient partiellement affectés. Le juge du comté de Matagorda, Bobby Seiferman, a publié une déclaration de catastrophe cet après-midi.
“Nous prenons cet incident très au sérieux et travaillons 24 heures sur 24 avec des professionnels de la cybersécurité pour sécuriser pleinement nos systèmes et assurer la protection des informations sensibles”, a déclaré Seiferman. “Nous comprenons les inconvénients que cela peut provoquer et nous engageons à fournir des mises à jour transparentes alors que nous continuons à résoudre ce défi.”
Le 24 janvier également, le Texas Tech University Health Sciences Center a déposé une lettre de notification de violation de données avec le Maine concernant une attaque de ransomware qu’elle a subie l’année dernière, avec 533 874 personnes touchées. L’attaque de Matagorda n’a pas été explicitement décrite comme un ransomware, bien que des références à un acteur de menace “impactant divers départements et perturbent une certaine opération” soit un comportement typique de la catégorie d’attaque.
Bien que les attaques contre les services critiques ne soient pas nouvelles, des cas récents de ransomwares contre les organisations de santé, municipaux et éducatives se produisent dans le contexte des acteurs de la menace qui ont besoin de s’adapter à un climat plus difficile.
Bien que les acteurs des ransomwares soient occupés l’année dernière, il existe des tendances prometteuses. La société d’analyse de la blockchain a déclaré cette semaine qu’elle avait vu une diminution de 35% des paiements de rançon en 2024 par rapport à l’année précédente. Il s’agit de la première diminution observée depuis 2022, ce que les chercheurs ont attribué à l’augmentation des mesures d’application de la loi et plus de victimes refusant de payer. D’un autre côté, la chaîne-analyse a déclaré que les améliorations du côté défenseur ont forcé les acteurs de la menace à s’adapter, commençant souvent les négociations dans les heures suivant l’exfiltration des données.
Jacqueline Burns Koven, chef de l’intelligence cyber-menace chez Chainalysis, a déclaré à Informa Techtarget que, quel que soit le moment présent, les acteurs de ransomware ciblant les soins de santé et autres sont “les affaires comme d’habitude”.
“En fin de compte, les acteurs du ransomware sont opportunistes et, comme les entreprises au cours des dernières années ont renforcé leurs pratiques de sécurité, elle a laissé des entités plus petites et moins équipées une cible plus facile”, a déclaré Burns Koven. “Notre analyse de la distribution des tailles de paiement de rançon suggère qu’il y a encore une variété d’entités ciblées, et malheureusement après les soins de santé et les organisations à but non lucratif est comme d’habitude pour les ransomwares.”
Alexander Culafi est un rédacteur de nouvelles de la sécurité de l’information et animateur de podcast pour Informa Techtarget.
