Il faudra des mois à UnitedHealth pour se remettre complètement du piratage informatique

information fournie par Reuters •08/03/2024 à 18:44

((Traduction automatisée par Reuters, veuillez consulter la clause de non-responsabilité https://bit.ly/rtrsauto))

(Ajout de détails supplémentaires provenant de la déclaration de UnitedHealth, lien hypertexte au paragraphe 7) par Zeba Siddiqui

UnitedHealth Group UNH.N , le plus grand assureur santé des États-Unis, aura probablement besoin de plusieurs mois pour se remettre complètement d'une cyberattaque qui a été l'une des plus perturbatrices pour l'infrastructure de santé américaine, ont déclaré des experts en sécurité.

Depuis que son unité Change Healthcare a été violée le 21 février par un groupe de pirates informatiques appelé ALPHV, également connu sous le nom de "BlackCat", UnitedHealth a déclaré qu'elle s'efforçait de rétablir les canaux touchés et que certains de ses systèmes revenaient à la normale. Bien qu'elle n'ait pas fourni de calendrier pour un rétablissement complet, les analystes en cybersécurité estiment que ce délai est probablement assez long.

"L'ampleur de la perturbation suggère qu'ils n'ont pas de systèmes alternatifs prêts à l'emploi", a déclaré Chester Wisniewski, directeur de l'entreprise de cybersécurité Sophos. "Cela fait 13 ou 14 jours, et c'est déjà plus long que ce à quoi je m'attendais pour que les systèmes de sauvegarde soient mis en route

Change traite environ 50 % des demandes de remboursement de frais médicaux aux États-Unis pour quelque 900 000 médecins, 33 000 pharmacies, 5 500 hôpitaux et 600 laboratoires. Environ un dossier de patient américain sur trois est touché par ses offres de technologie de la santé, ce qui en fait une cible attrayante pour les pirates informatiques qui cherchent à accéder à un large éventail de données sur la santé.

Les clients directement touchés peuvent voir un correctif plus tôt, "mais en arrière-plan, cela prend quelques mois, voire plus d'un an", a déclaré M. Wisniewski, qui suit de telles brèches sur le site depuis plus de 20 ans.

Un porte-parole de UnitedHealth a déclaré que la société se concentrait sur l'enquête sur le piratage et le rétablissement des opérations à Change Healthcare.

Dans une mise à jour du vendredi , la société a déclaré qu'elle s'attendait à ce que les paiements électroniques chez Change Healthcare commencent à fonctionner à partir du 15 mars, et à ce que la connectivité avec son réseau et son logiciel de gestion des demandes de remboursement soit rétablie la semaine suivante. L'enquête menée jusqu'à présent a montré que la faille n'avait pas affecté d'autres départements de UnitedHealth, a ajouté la société.

Les autorités américaines sont intervenues pour aider à endiguer le chaos découlant de la faille , qui a particulièrement touché les petits prestataires de soins médicaux, nombre d'entre eux ayant du mal à traiter les paiements.

L'année dernière, des violations similaires ont touché la société de jeux MGM Resorts International MGM.N et la société de produits de consommation Clorox CLX.N pendant des mois, coûtant à MGM au moins 100 millions de dollars de dommages et à Clorox une baisse de plus de 350 millions de dollars de son chiffre d'affaires trimestriel net.

"Le retour à la normale peut prendre plusieurs mois", a déclaré Brett Callow, un analyste canadien spécialisé dans les ransomwares pour la société de cybersécurité Emsisoft.

UnitedHealth n'a pas indiqué si ALPHV avait demandé une rançon, mais un message sur un forum de cybercriminalité en ligne affirmait que la société avait payé 22 millions de dollars aux pirates pour retrouver l'accès à ses systèmes verrouillés et à environ 8 téraoctets, ou 8 millions de mégaoctets, de données qui auraient été volées .

Un tel décryptage peut prendre "un temps déraisonnable, en fonction de la taille des fichiers et des systèmes en question", a déclaré Kurtis Minder, cofondateur de la société de cyberespionnage GroupSense.

M. Minder, qui a aidé des organisations victimes à négocier avec l'ALPHV, a déclaré que les délais de récupération allaient de quelques semaines à "beaucoup plus longtemps"

L'ALPHV n'a pas répondu aux demandes de commentaires. Le FBI, qui enquête généralement sur ce type d'affaires, n'a pas souhaité s'exprimer sur ce piratage.

ATTAQUES DE VENGEANCE

Des mois avant que l'ALPHV ne procède à son piratage le plus perturbateur, elle s'en prenait à des hôpitaux et à de petits prestataires de soins de santé.

M. Minder a déclaré qu'il avait aidé plusieurs entreprises, dont une clinique ophtalmologique qui avait été la cible de l'ALPHV l'année dernière, à négocier avec les pirates.

"Parmi les groupes de ransomware auxquels nous avons eu affaire, ALPHV a été l'un des plus antagonistes ou difficiles à traiter", a déclaré M. Minder, ajoutant que le gang était particulièrement tenace à l'égard de ses cibles et obstiné à négocier les rançons.

Actif depuis au moins 2021, le gang de cybercriminels russophones ALPHV fournit ses propres logiciels malveillants et infrastructures à d'autres groupes de pirates, et était la deuxième entité de "ransomware-as-a-service" la plus prolifique au monde jusqu'à ce que le FBI interrompe ses opérations en décembre.

Le FBI a déclaré à l'époque qu'il avait saisi de nombreux sites web d'ALPHV et qu'il avait réussi à pénétrer dans son réseau informatique. Le piratage de Change a soulevé des questions sur l'efficacité réelle des actions de l'agence.

En réponse au démantèlement du FBI, l'administrateur de l'ALPHV a demandé à ses "affiliés" pirates de cibler les hôpitaux, selon un avis de l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) concernant le groupe, publié la semaine dernière.

Sur les quelque 70 victimes connues d'ALPHV depuis la mi-décembre, la plupart travaillaient dans le secteur de la santé, selon la CISA.

Certains signes indiquent que l'ALPHV pourrait se calmer pendant un certain temps. Après le piratage de Change Healthcare, le gang a disparu .

Mais il est courant pour de tels groupes de se rebaptiser et de se ressusciter, affirment les analystes.

"Pour vraiment perturber ces gens, il faudrait les arrêter", a déclaré M. Minder. De telles arrestations sont difficiles, a-t-il ajouté, étant donné que ces gangs sont souvent basés dans des pays avec lesquels les États-Unis n'ont pas de traité d'extradition.