Le dimanche 30 octobre, un programme malveillant a infecté les systèmes informatiques du Northern Lincolnshire and Goole NHS Foundation Trust (NLAG), un centre hospitalier qui gère trois hôpitaux dans les villes anglaises de Goole, Grimsby et Scunthorpe. Le NLAG a annoncé qu’il s’agissait d’un virus. Cela semblait donc moins alarmant que l’attaque au ransomware en février dernier dans laquelle l’Hollywood Presbyterian Medical Center a dû payer 17 000 $ pour que ses services soient restaurés.Toutefois, le NLAG a été contraint de fermer la majorité de ses systèmes dans le but d’isoler la menace et de détruire ledit virus. Ce qui a également conduit à l’annulation d’environ 2800 rendez-vous pendant les quatre jours au cours desquels l’incident était traité.
Dans un communiqué livré ce lundi, le Northern Lincolnshire and Goole NHS Foundation Trust a confirmé que c'est un ransomware, baptisé Globe2, qui était à l’origine de la cyberattaque qui a conduit à la fermeture des hôpitaux du groupe.
D’après un rapport en août dernier, ce malware venait de commencer à se propager. Il infecte les appareils via des pièces jointes d’emails dans lesquels les attaquants se font passer pour des représentants d’institutions gouvernementales, de banques ou d'autres organisations dignes de confiance, pour inciter les utilisateurs à ouvrir les pièces jointes. Dans leur rapport, les chercheurs ont également expliqué qu’il était toujours en phase de développement et qu’il pourrait devenir plus dangereux.
Comme les autres menaces de type ransomware, une fois entré dans l'ordinateur, Globe2 chiffre les fichiers de la victime. Mais au lieu de la méthode de chiffrement AES utilisée par beaucoup d'autres, il utilise l'algorithme de chiffrement symétrique par blocs Blowfish. Cet algorithme utilise une taille de bloc de 64 bits et la clé de longueur variable peut aller de 32 à 448 bits. Les spécialistes de la cybersécurité ont qualifié ce ransomware de très agressif, notamment parce qu'il peut corrompre les fichiers de programme et les fichiers qui se trouvent dans les lecteurs locaux.
En outre, il désactive la réparation du démarrage Windows et supprime tous les clichés instantanés exposant ses victimes à des problèmes plus graves lorsqu'elles essaient de déchiffrer leurs données. Chaque fois que l'utilisateur démarre l'ordinateur, le malware continue sa procédure de chiffrement. Pour restaurer les fichiers bloqués, les pirates informatiques proposent aux utilisateurs d'installer des logiciels de déchiffrement de fichiers et de payer une rançon qui varie d’un à trois bitcoins. Et selon eux, c'est la seule façon de restaurer les fichiers corrompus.
Il existe toutefois des solutions pour supprimer la menace, et c’est l'une d'elles qu’aurait utilisé le NLAG qui dit ne pas avoir payé de rançon pour restaurer ses systèmes. D’après le groupe hospitalier, ses systèmes ont été infectés par un « intrus distant » et « les données sur un certain nombre de serveurs ont été chiffrées ». Un haut responsable du groupe hospitalier explique toutefois que « tous les serveurs potentiellement chiffrés ont été analysés et nettoyés » pour être remis en état. Ce qui a permis à la majorité des systèmes du NLAG d’être de nouveau opérationnels dans les 48 heures après le début de l’attaque.
Le groupe hospitalier s’abstient cependant de donner de plus amples informations sur l’affaire, y compris les détails précis de la façon dont l'auteur a eu accès à ses systèmes, de peur que cela soit préjudiciable à une enquête actuellement en cours.
Sources : digitalhealth.net, No virus (Globe)
Voir aussi :
Un ransomware infecte le système informatique d'une entreprise de transport de San Francisco, obligeant celle-ci à fournir le transport gratuitement Attaque au rançongiciel contre un hôpital dans le sud de la Californie, existe-t-il des limites à ne pas franchir pour ces pirates ? USA : l'hôpital victime de l'attaque par ransomware paye une rançon de 17 000 $ aux pirates pour reprendre le contrôle de son système informatique
Envoyé par TheLastShot
