Le gang de ransomwares Hunters International a affirmé être à l'origine d'une cyberattaque contre le Fred Hutchinson Cancer Center (Fred Hutch) qui a entraîné la réception de menaces d'extorsion personnalisées par les patients.

Fred Hutch est un centre de recherche sur le cancer, de soins et de traitement des patients basé à Seattle, qui exploite un réseau de plus de dix sites cliniques dans la région.

Au début du mois, l'hôpital a révélé un incident de cybersécurité survenu le 19 novembre 2023, impliquant un accès non autorisé à ses réseaux.

L'organisation de santé a mis en quarantaine les serveurs concernés, a mis son réseau clinique hors ligne pour empêcher la propagation de la menace et a informé les autorités fédérales chargées de l'application de la loi de l'attaque.

L'enquête menée avec l'aide d'un expert légiste de renom n'a pas permis d'établir que les attaquants ont volé les données des patients, selon le avis sur le site de Fred Hutch. Cependant, les enquêtes sur ce front ne sont pas encore terminées.

Aujourd'hui, le groupe de ransomware Hunters International a ajouté Fred Hutchinson à son portail d'extorsion sur le dark web, menaçant l'organisation de soins de santé de divulguer 533,1 Go de données prétendument volées sur ses réseaux.

Les auteurs de la menace n'ont publié que des miniatures de documents sélectionnés qu'ils prétendent avoir exfiltrés des réseaux de Fred Hutch, le chantage se poursuit donc.

Des patients menacés

La semaine dernière, il a été rapporté que les auteurs de l'attaque contre Fred Hutch envoyaient des courriers électroniques à des patients individuellement, les menaçant de divulguer publiquement leurs données sensibles.

Comme le rapporte le Temps de Seattleles attaquants ont envoyé des e-mails à de nombreux patients en leur indiquant qu'ils détenaient les noms, les numéros de sécurité sociale, les numéros de téléphone, les antécédents médicaux, les résultats de laboratoire et les antécédents d'assurance de plus de 800 000 patients.

« Si vous lisez ceci, vos données ont été volées et seront bientôt vendues à divers courtiers en données et sur le marché noir pour être utilisées dans des activités frauduleuses et autres activités criminelles », lit-on dans les courriels consultés par le Seattle Times.

Ces courriels contenaient comme preuve les informations personnelles des destinataires, notamment l'adresse, le numéro de téléphone et le numéro de dossier médical du patient, ainsi qu'un lien vers un site sur lequel ils pouvaient payer 50 $ pour empêcher la vente des données.

Fred Hutch a émis un avertissement à propos des messages électroniques et informé les forces de l'ordre. En outre, ils ont demandé aux patients qui recevaient les e-mails de ne pas payer les auteurs de la menace, mais plutôt de bloquer l'expéditeur et de supprimer l'e-mail.

Appeler ou envoyer des e-mails aux clients, sous-traitants et partenaires d’une organisation victime d’une violation pour faire pression sur la victime n’est pas nouveau dans le domaine des ransomwares. Cependant, il n’est pas courant que les auteurs de menaces proposent aux personnes exposées un moyen d’empêcher la divulgation de leurs données.

Hunters International est une opération Ransomware-as-a-Service (RaaS) relativement nouvelle qui est considérée comme une nouvelle image de l'opération ransomware Hive en raison de similitudes dans le code du chiffreur.

Cependant, Hunters International a nié tout lien avec Hive, affirmant avoir acheté le logiciel et le site Web auprès de la défunte opération de ransomware.

Les acteurs de la menace ciblent les entreprises de toutes tailles, avec des demandes de rançon vues par BleepingComputer allant de centaines de milliers à des millions de dollars.

La semaine dernière, le groupe menaçant a revendiqué une attaque contre Austal USA, un important entrepreneur en construction navale pour le gouvernement américain.