Le groupe de pirates informatiques Lockbit a publié, mercredi 1er mai, environ 60 gigaoctets de données volées à l’hôpital de Cannes, qui avait été la cible d’une attaque par rançongiciel le 16 avril. Les systèmes informatiques de l’établissement avaient été en partie verrouillés, le poussant à couper l’ensemble de son réseau. L’Agence nationale pour la sécurité des systèmes d’information (Anssi), chargée de la protection informatique de l’Etat, était intervenue pour aider l’hôpital à contenir l’attaque.
Les pirates avaient également dérobé des données internes et exigé une rançon pour ne pas les diffuser en ligne. Le 30 avril, l’hôpital déclarait avoir refusé de la payer, comme le recommandent les services de police.
Comme le note Le Parisien, les fichiers mis en ligne par Lockbit semblent ne contenir que très peu de données sur des patients, et paraissent essentiellement constitués de documents administratifs internes. L’hôpital s’est engagé à prévenir les personnes éventuellement concernées par une diffusion d’informations personnelles.
Opération policière d’ampleur
A la fin du mois de février, Lockbit a été la cible d’une opération policière d’ampleur menée par Europol, qui a permis l’arrestation de deux blanchisseurs d’argent présumés du groupe, et, surtout, la saisie de 34 serveurs et de plusieurs portefeuilles de cryptomonnaies, portant vraisemblablement un coup très dur à ses infrastructures.
Une opération de nature à entacher très durablement la réputation du groupe cybercriminel, parmi les plus actifs au monde, mais qui ne lui a pas ôté toute capacité de nuisance. L’organisation a pu reconstituer en partie son infrastructure, même si l’on ignore à ce stade combien de pirates travaillent encore avec Lockbit ou comment s’est réorganisé son noyau. La nature même du gang rend son démantèlement complexe : aux côtés d’une équipe centrale, qui conçoit et améliore le rançongiciel éponyme, des dizaines d’« affiliés » louent, contre un pourcentage des gains, les outils de LockBit pour mener des attaques.