Le gang de ransomware BlackCat (ALPHV) affirme avoir violé le réseau du géant de la santé Henry Schein et volé des dizaines de téraoctets de données, notamment des données de paie et des informations sur les actionnaires.

Henry Schein est un fournisseur de solutions de santé et une société Fortune 500 avec des opérations et des filiales dans 32 pays et un chiffre d’affaires de plus de 12 milliards de dollars en 2022.

L’entreprise divulgué le 15 octobre, elle a été contrainte de mettre certains systèmes hors ligne pour contenir une cyberattaque qui avait touché ses activités de fabrication et de distribution la veille.

« Henry Schein a rapidement pris des mesures de précaution, notamment en mettant certains systèmes hors ligne et en prenant d’autres mesures destinées à contenir l’incident, ce qui a entraîné une interruption temporaire de certaines opérations commerciales d’Henry Schein. La société s’efforce de résoudre la situation dans les plus brefs délais. » Ça disait.

Bien que certaines de ses opérations commerciales aient été perturbées, l’entreprise affirme que son logiciel de gestion de cabinet Henry Schein One n’a pas été affecté.

Henry Schein a informé les autorités policières compétentes de l’incident et a depuis engagé des experts externes en cybersécurité et en criminalistique pour enquêter sur une potentielle violation de données résultant de l’attaque.

Dans une lettre publiée une semaine après la révélation de la cyberattaque, le prestataire de services de santé exhorté les clients peuvent passer leurs commandes via leur représentant Henry Schein ou en utilisant des numéros de téléphone de télévente dédiés.

Un porte-parole d’Henry Schein n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par BleepingComputer plus tôt dans la journée.

BlackCat revendique une violation d’Henry Schein

Près de deux semaines plus tard, le groupe de ransomware BlackCat/ALPHV a ajouté Henry Schein à son site de fuite sur le dark web, affirmant avoir violé le réseau de l’entreprise et volé 35 To de fichiers sensibles.

Le gang affirme avoir à nouveau chiffré les appareils de l’entreprise au moment même où Henry Schein avait presque fini de restaurer tous ses systèmes en raison de l’échec des négociations en cours.

« Malgré les discussions en cours avec l’équipe d’Henry, nous n’avons reçu aucune indication de leur volonté de donner la priorité à la sécurité de leurs clients, partenaires et employés, et encore moins de protéger leur propre réseau », ont déclaré les auteurs de la menace.

« À compter de minuit aujourd’hui, une partie de leurs données de paie internes et des dossiers des actionnaires seront publiées sur notre blog de collections. Nous continuerons à publier davantage de données quotidiennement. »

L’entrée d’Henry Schein sur le site de fuite de données de BlackCat a depuis été supprimée, laissant entendre que l’entreprise reprendrait les négociations ou paierait la rançon.

L’opération du ransomware BlackCat a fait surface en novembre 2021 et est soupçonnée d’être une nouvelle image du célèbre groupe DarkSide/BlackMatter.

Initialement connu sous le nom de DarkSide, le gang de cybercriminalité a attiré l’attention du monde entier après avoir infiltré Colonial Pipeline, déclenchant des enquêtes des forces de l’ordre dans le monde entier.

Plus récemment, un affilié de BlackCat suivi sous le nom de Scattered Spider a revendiqué la responsabilité de la violation de MGM Resorts, aurait chiffré plus de 100 hyperviseurs ESXi après que MGM Resorts ait refusé les négociations de rançon et fermé son infrastructure interne.

En avril 2022, le FBI a associé le groupe à des attaques réussies contre plus de 60 organisations dans le monde entre novembre 2021 et mars 2022.

H/T Dominique Alvieri