Le gang BlackCat revendique une cyberattaque contre Barts NHS Trust

L’opération de rançongiciel russophone ALPHV ou BlackCat a nommé Barts NHS Trust sur son site de fuite du dark web, affirmant avoir exfiltré 7 To de données du groupe, mais près de trois jours après la nouvelle de l’incident, sa nature précise et ses circonstances restent floues.

La publication sur le dark web a été faite dans l’après-midi du vendredi 30 juin, et une copie de l’avis a depuis été examinée par CFP. Il est écrit dans un anglais typiquement cassé et prétend être la « plus grande fuite du système de santé au Royaume-Uni ».

Le gang a déclaré: « Vous avez 3 jours pour nous contacter afin de décider de cette erreur de pitié, qui a amené votre service informatique, à décider quoi faire à l’étape suivante. Si vous préférez garder le silence, nous commencerons à publier des données, la plupart d’entre elles – des documents confidentiels pour les citoyens [sic] ».

Le vidage de données inclurait des informations personnellement identifiables (PII) sur les cliniciens et les employés de Trust, y compris des CV et des numéros de sécurité sociale (faisant probablement référence à l’assurance nationale), ainsi que des rapports financiers, des données comptables et de prêt, et des accords d’assurance. Il est également censé inclure la documentation du client et les données de carte de crédit.

Une attaque de ransomware réussie sur un NHS Trust tel que Barts, qui exploite cinq sites majeurs à Londres – St Bartholomew’s Hospital, The Royal London Hospital, Mile End Hospital, Whipps Cross Hospital et Newham Hospital – desservant plus de 2,5 millions de personnes – aurait causé des perturbations importantes et fait la une des journaux nationaux.

Le fait que cela ne se soit pas produit pourrait indiquer qu’ALPHV / BlackCat n’a déployé aucun ransomware sur les systèmes de Barts. C’est maintenant une tactique courante, car comme toute organisation légitime, les gangs de cybercriminalité motivés par des raisons financières tenteront de prendre la voie de la moindre résistance pour maximiser le retour potentiel sur leur « investissement ». Dernièrement, cela a été démontré par les attaques continues de Clop contre les utilisateurs du produit de transfert de fichiers MOVEit.

Alternativement, cela pourrait suggérer que le gang a été interrompu et expulsé des systèmes de Bart après avoir exfiltré des données, mais avant d’avoir exécuté son casier.

S’exprimant avant le week-end, un porte-parole de Barth a simplement confirmé que l’organisation était au courant des allégations et enquêtait « de toute urgence ».

Son service de presse n’avait pas répondu à une demande de commentaires supplémentaires au moment de la rédaction du présent rapport. Près de 72 heures après que le gang a publié le nom de Barth pour la première fois en ligne, il n’y a toujours aucune preuve publique, autre que sa parole, à l’appui de ses affirmations.

Fonctionnement de longue durée

L’opération ALPHV / BlackCat, qui passe également par Noberus et aurait des liens avec des opérations antérieures telles que BlackMatter, le gang DarkSide qui a attaqué Colonial Pipeline en 2021, et peut-être REvil, est elle-même l’un des acteurs les plus anciens de la cybercriminalité clandestine russe.

Il exploitait auparavant un logiciel malveillant connu sous le nom de Carbanak, qui ciblait les banques et était probablement utilisé pour voler près de 1 milliard de dollars au cours de sa durée de conservation.

Depuis son virage vers les ransomwares, ALPHV/BlackCat est devenu un opérateur très dangereux, prenant de l’importance au cours des deux premiers mois de 2022 avec une série d’attaques contre les opérateurs d’infrastructures de carburant et de transport.

Cette année, il est connu pour avoir ciblé les systèmes de la société de stockage Western Digital, mettant ses services MyCloud et SanDisk hors ligne pendant près de quinze jours en mai, et le géant multinational des paiements NCR, qui a été touché en avril et a causé des problèmes de service aux organisations hôtelières utilisant sa plate-forme de point de vente Aloha.