Une patiente atteinte d’un cancer dont les photos nues et les dossiers mdicaux ont t publis en ligne aprs avoir t vols par un gang de ranongiciels, a poursuivi son fournisseur de soins de sant pour avoir permis cette fuite vitable et gravement dommageable .
Le recours collectif propos dcoule d’une intrusion en fvrier au cours de laquelle l’quipe de logiciels malveillants BlackCat (galement connu sous le nom d’ALPHV) a fait irruption dans l’un des rseaux de mdecins du Lehigh Valley Health Network (LVHN), a vol des images de patients subissant un traitement de radio-oncologie ainsi que d’autres dossiers de soins de sant sensibles appartenant plus de 75 000 personnes, puis a exig le paiement d’une ranon pour dchiffrer les fichiers et l’empcher de publier les donnes de sant en ligne. LVHN a refus de payer la ranon, et plus tt ce mois-ci, BlackCat a commenc divulguer des informations sur les patients, y compris des images d’au moins deux patientes atteintes d’un cancer du sein, nues partir de la taille.
Dans ce que l’on pense tre une premire, le gang de ranongiciels BlackCat a publi des images nues de patients qui ont t vols lors de l’une de ses attaques contre un organisme de sant dans le but de faire pression sur la victime pour contraindre l’organisme payer la ranon. Lehigh Valley Health Network (LVHN) avait alors annonc qu’il faisait face une attaque de ransomware qui a t dtecte le 6 fvrier 2023. Le groupe de soins de sant de Pennsylvanie, l’un des plus importants de l’tat amricain, supervise 13 hpitaux, 28 centres de sant et des dizaines d’autres cliniques mdicales, pharmacies, centres de radaptation, services d’imagerie et de laboratoire.
LVHN a confirm que le groupe de ransomware BlackCat tait derrire l’attaque et avait mis une demande de ranon, dont le paiement verrait les cls de dchiffrement fournies et empcherait la divulgation des donnes voles lors de l’attaque. Brian A. Nester, prsident et chef de la direction de LVHN, a confirm que LVHN avait refus de payer la ranon et que les oprations n’avaient pas t affectes.
Nester a dclar que l’attaque concernait le rseau soutenant un cabinet mdical dans le comt de Lackawanna et que le systme informatique impliqu stockait des images de patients cliniquement appropries pour le traitement par radio-oncologie et d’autres informations sensibles sur les patients. Des attaques comme celle-ci sont rprhensibles et nous consacrons les ressources appropries pour rpondre cet incident , a dclar Nester.
Dans une tentative de faire pression sur LVHN pour qu’il paie la ranon, BlackCat a commenc divulguer certaines des donnes voles sur son site de fuite de donnes. Alors que les fuites de donnes sont dsormais courantes lorsque les victimes d’attaques de ranongiciels refusent de payer la ranon, BlackCat est all plus loin et a publi des images de patients voles lors de l’attaque. Des images de trois patientes atteintes d’un cancer du sein, nues partir de la taille, ont t publies sur le site de fuite de donnes, ainsi que des captures d’cran des donnes des patientes montrant les diagnostics. Cet acte criminel inadmissible profite des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement mprisable , a dclar le porte-parole de LVHN, Brian Downs.
Cet acte criminel inadmissible tire profit des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement mprisable , a dclar l’poque le porte-parole de LVHN, Brian Downs.
La plainte
Selon la plainte dpose cette semaine, voici comment l’une des patientes, identifie comme Jane Doe (Madame X en franais), a dcouvert la violation de donnes (mais aussi que LVHN avait stock des images nues d’elle sur son rseau en premier lieu).
Le 6 mars, la vice-prsidente de la conformit de LVHN, Mary Ann LaRock, a appel Doe et lui a dit que ses photos nues avaient t publies sur le site de fuite des pirates. Mme LaRock a prsent au plaignant des excuses et, avec un petit rire, deux ans de surveillance du crdit , indiquent les documents judiciaires.
En plus de rcuprer les photos trs sensibles, les escrocs ont galement emport tout le ncessaire pour une usurpation d’identit.
Selon la plainte, LaRock a galement dclar Doe que ses adresses physique et lectronique, ainsi que sa date de naissance, son numro de scurit sociale, son fournisseur d’assurance maladie, ses diagnostics mdicaux et ses informations sur le traitement, ainsi que les rsultats de laboratoire, avaient galement probablement t vols lors de la violation.
tant donn que LVHN stocke et stockait les informations sensibles du demandeur et du recours, y compris des photographies nues du demandeur recevant un traitement sensible contre le cancer, LVHN savait ou aurait d savoir du risque grave et des dommages pouvant rsulter d’une violation de donnes , indique la plainte. Elle affirme que LVHN a fait preuve de ngligence dans son devoir de protger les informations sensibles des patients et demande le statut de recours collectif pour tous ceux dont les donnes ont t exposes avec des dommages-intrts dterminer.
L’avocat de Pennsylvanie Patrick Howard, qui reprsente Doe et le reste des plaignants dans le recours collectif propos, a dclar qu’il s’attend ce que le nombre de patients touchs par la violation se situe dans les centaines, voire des milliers .
L’hpital invite les patients dans son tablissement et prend possession de ces donnes , a dclar Howard. L’hpital doit s’assurer que les donnes qu’il prend sont correctement sauvegardes, y compris ces photographies trs sensibles. Vous attendez la sret et la scurit, si vous agissez par ngligence en assurant cette sret/scurit, vous pouvez tre tenu responsable quelle que soit la conduite d’une tierce partie .
Selon les avocats, il s’agit de la deuxime violation de donnes affectant les patients du groupe de soins de sant de Pennsylvanie au cours des dernires annes. En 2021, LVHN a admis que les informations personnelles des patients avaient t voles l’un de ses fournisseurs.
Les organisations du secteur de la sant et de la sant publique activement cibles
Le Dpartement de la Sant et des Services sociaux des tats-Unis a publi un avis de scurit concernant le groupe de ranongiciels Blackcat qui cible activement les organisations du secteur de la sant et de la sant publique et a averti que le groupe se livrait des tactiques agressives de triple extorsion. Alors que de nombreux groupes de ranongiciels utilisent une double extorsion impliquant le vol de donnes et des menaces pour divulguer des donnes voles en plus du chiffrement de fichiers, BlackCat utilise une troisime tactique : menacer de mener des attaques par dni de service distribu (DDoS) sur les victimes jusqu’ ce qu’elles paient.
BlackCat n’est pas le seul gang de ranongiciels essayer de nouvelles tactiques pour faire payer les victimes. Le gang de ranongiciels Medusa a rcemment attaqu le district des coles publiques de Minneapolis (MPS), a vol des donnes sensibles, puis a chiffr les fichiers. Lorsque le paiement n’a pas t effectu, MPS a t ajout au site de fuite de donnes du groupe et une menace a t mise pour publier l’ensemble des donnes voles lors de l’attaque. Le groupe a mis une demande de ranon de 1 million de dollars, le site de fuite de donnes offrant galement les donnes voles toute personne dispose payer le mme montant. Dans une nouvelle tournure, le groupe a galement publi une vido montrant les donnes voles lors de l’attaque. La vido, d’une dure de 51 minutes, a t ajoute comme preuve de l’tendue des donnes exfiltres des systmes de MPS.
Les gangs de ranongiciels ont d adopter des tactiques plus agressives car moins de victimes paient des demandes de ranon. Selon Coveware, au quatrime trimestre 2022, seulement 37 % des victimes ont pay une ranon suite une attaque de ransomware, contre 76 % des victimes en 2019. Coveware affirme que plusieurs facteurs entranent la rduction de la rentabilit des attaques de ransomware. Un investissement accru dans la planification de la scurit et de la rponse aux incidents signifie que les organisations sont mieux prpares aux attaques et sont moins susceptibles de subir un impact matriel d’une attaque russie. Le FBI et d’autres organismes chargs de l’application de la loi poursuivent toujours les auteurs de ces attaques, mais ils consacrent galement davantage de ressources aider les victimes se rtablir. Coveware souligne galement qu’ mesure que les revenus baissent, les cots d’exploitation pour mener des attaques augmentent, ce qui signifie que moins d’acteurs de ransomwares peuvent vivre de la distribution de ransomwares et mme les grands groupes de ransomwares en ressentent les effets, d’o la ncessit d’adopter de nouvelles tactiques pour faire pression sur les victimes et les contraindre payer, amliorant ainsi la rentabilit des attaques.
Source : plainte
Et vous ?
En gnral, tes-vous pour ou contre le paiement des ranons pour rcuprer les fichiers et empcher la divulgation des donnes sensibles ?
Qu’en est-il de ce cas particulier ?
Que pensez-vous de la plainte qui cible le fournisseur des soins de sant ?
la lumire du fait qu’ il s’agit de la deuxime violation de donnes affectant les patients du groupe de soins de sant de Pennsylvanie au cours des dernires annes et du fait que la patiente n’avait mme pas ide du fait que ses photos tait conserves sur le rseau du groupe, que pensez-vous ?
La stratgie de la triple extorsion est-elle susceptible de porter plus des fruits selon vous ? Pourquoi ?