Une attaque de piratage très inhabituelle menace directement les patients de thérapie

Dans ce qui a été décrit comme un « cas ransomware très inhabituel », un pirate demande de l’argent directement auprès des patients après un système d’enregistrement des patients électroniques (ERP) en Finlande a été piraté.

Selon les médias, la clinique privée de psychothérapie Vastaamo a été cambriolée et les notes du thérapeute pour jusqu’à 40 000 patients ont été volées. On croit que le pirate a essayé d’extorquer de l’argent de la société d’abord. Lorsqu’il a refusé, le pirate a commencé à envoyer des courriels aux patients dont les dossiers médicaux et les notes de thérapie ont été volés, demandant à chaque personne une rançon de 200 euros payée par bitcoin.

Dans un tweet, Mikko Hyppönen, directeur de recherche chez F-Secure, a déclaré: « L’attaquant se dit ‘ransom_man’, dirige un site Tor sur lequel il a déjà divulgué les notes de session de thérapeute de 300 patients. C’est un cas très triste pour les victimes, dont certaines sont mineures. L’attaquant n’a aucune honte.

Répondant au commentaire d’Hyppönen, l’ingénieur logiciel F-Secure, Jarre Leskinen, a tweeté : « Sur la base de transactions blockchain, #vastaamo probablement déjà payé leur rançon et maintenant l’attaquant continue de faire chanter les victimes individuellement. C’est totalement dégoûtant.

On pense que le pirate avait déjà parlé à Vastaamo pour menacer la publication des données à moins que la société ne paye 400 000 euros.

Dans un blog vidéo sur l’incident, l’expert finlandais en e-commerce Artem Daniliants a déclaré qu’en 2018, la société avait son système ERP piraté et des données ont été volées. Ces données ont été publiées au cours du week-end et affichées sur un forum à moteur Tor. Il a dit que les pirates ont demandé à Vastaamo une rançon qui serait de 500 000 bitcoins.

Selon M. Daniliants, en Finlande, un système d’EPR doit être vérifié par le gouvernement pour s’assurer qu’il répond à un certain niveau de sécurité. Cela peut être coûteux et long, de sorte que le gouvernement finlandais fournit une politique moins stricte pour les systèmes EPR, classés comme « niveau B », qui, selon Daniliants ne nécessite pas l’audit de sécurité.

« Vastaamo avait un système EPR de niveau B et le serveur avait été exposé publiquement », a déclaré M. Daniliants. Cela va généralement à l’encontre des meilleures pratiques pour la sécurisation des systèmes EPR, où l’accès externe est sécurisé via un réseau privé virtuel (VPN).

« Leur système a été exposé à l’ensemble de l’Internet et, malheureusement, selon les informations que j’ai pu trouver, il a été Apache et PHP », at-il dit, ajoutant que la société était en cours d’exécution des versions obsolètes de ces serveurs open source, qui avait beaucoup de trous de sécurité. « es pirates ont probablement effectué une analyse de sécurité et ont trouvé les serveurs vulnérables »

Nouvelles BBC a parlé à une victime qui a dit qu’il a été contacté par le pirate, allant sous le pseudonyme « ransom guy », qui a dit que la rançon passerait de 200 à 500 euros si elle n’était pas payée dans les 24 heures. Après 72 heures, la victime a déclaré que le pirate a menacé de libérer les notes de ses séances de thérapie sur Tor.

Daniliants a déclaré que les pirates ont mis en place des portefeuilles bitcoin pour tous les patients Vastaamo qu’ils ont contacté directement. « Ils [ask] vous de transférer de l’argent en bitcoins à ce portefeuille particulier afin d’obtenir vos données effacées », at-il ajouté,

Hyppönen a déclaré: « Je suis au courant d’un seul autre cas de chantage patient qui serait même à distance similaire – le Center for Facial Restoration incident en Floride en 2019. Il s’agissait d’un domaine médical différent et avait un plus petit nombre de victimes, mais l’idée de base était la même.