Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Attaque par rançongiciel Hive contre la CCSS

Le groupe de rançongiciel Hive a paralysé l'assureur public de santé du Costa Rica, la CCSS, en chiffrant plus de 800 serveurs, forçant les hôpitaux à revenir au papier et entraînant l'annulation de dizaines de milliers de rendez-vous médicaux.

Victime
Caja Costarricense de Seguro Social (CCSS)
SecteurSanté
PaysCosta Rica
GroupeHive
Attaquants nommésAffilié du rançongiciel-as-a-service Hive

Le 31 mai 2022, la Caja Costarricense de Seguro Social (CCSS) — l'institution qui gère l'ensemble du système de santé publique et la collecte des cotisations sociales du Costa Rica — a été frappée par le groupe de rançongiciel Hive. Survenant quelques semaines seulement après les attaques de Conti qui avaient déjà plongé le pays dans un état d'urgence national, l'intrusion contre la CCSS a transformé une crise financière et administrative en urgence de santé publique.

Ce qui s'est passé

Aux premières heures du 31 mai, les techniciens de la CCSS détectent des « flux d'information anormaux » sur le réseau. Par précaution, ils coupent l'infrastructure critique, mais il est déjà trop tard : les imprimantes en réseau des hôpitaux se mettent à cracher des notes de rançon Hive et des pages de caractères illisibles, la signature classique d'un chiffrement en cours.

Les premiers rapports évoquent environ 30 serveurs touchés. En un jour, les responsables révisent drastiquement ce chiffre à la hausse : plus de 800 serveurs et environ 9 000 ordinateurs d'utilisateurs ont été compromis, rendant impossible la reprise en une semaine qui avait été prévue.

Impact

La CCSS a délibérément mis hors ligne ses systèmes phares pour contenir la propagation, dont l'Expediente Digital Único en Salud (EDUS) — le dossier de santé électronique national unifié — et sa sauvegarde EDAC. Sans EDUS, les cliniciens de tout le pays ne pouvaient plus consulter les antécédents des patients, les ordonnances ni les résultats de laboratoire.

  • Hôpitaux et cliniques sont revenus aux processus papier, la grande majorité des établissements appliquant des plans de continuité.
  • Le premier jour seul a vu environ 4 871 rendez-vous manqués dans quelque 80 établissements de santé ; des milliers d'autres ont été annulés les jours suivants.
  • La dispensation en pharmacie, le traitement des laboratoires et le système de collecte des cotisations SICERE ont tous été perturbés.

Le 2 juin, Hive a réclamé environ 5 millions de dollars en bitcoin. Conformément à la position du gouvernement durant l'épisode Conti, la CCSS a refusé de payer et a reconstruit à partir de ses sauvegardes.

Attribution

Hive était une opération de rançongiciel-as-a-service prolifique, avec une préférence documentée pour les cibles du secteur de la santé. Le groupe louait son maliciel à des affiliés qui menaient les intrusions et partageaient les gains. L'infrastructure de Hive a finalement été saisie lors d'un démantèlement international coordonné par le FBI en janvier 2023, après que le Bureau eut discrètement infiltré le gang et distribué des clés de déchiffrement aux victimes.

Pourquoi c'est important

L'attaque contre la CCSS est un exemple typique de la manière dont un rançongiciel visant une seule institution nationale peut mettre des vies en danger à grande échelle. Contrairement à l'attaque Conti, qui avait surtout paralysé les systèmes fiscaux et douaniers, Hive a frappé l'épine dorsale de la prestation de soins d'un pays. L'épisode a renforcé la détermination du Costa Rica à ne jamais payer, accéléré les investissements dans la cyberdéfense nationale et est devenu un cas de référence du risque systémique que représente une informatique de santé publique sous-protégée à travers l'Amérique latine.

Chronologie

  1. Une première vague du rançongiciel Conti frappe le ministère des Finances et d'autres administrations, conduisant à un état d'urgence national en mai.

  2. Vers 02h00, la CCSS détecte un trafic anormal et coupe ses systèmes critiques ; des notes de rançon Hive s'impriment sur les imprimantes en réseau.

  3. La CCSS confirme que plus de 800 serveurs et environ 9 000 postes de travail ont été touchés, bien au-delà des premières estimations d'environ 30 serveurs.

  4. Le groupe Hive réclame environ 5 millions de dollars en bitcoin pour restaurer les systèmes ; la CCSS refuse de payer.

  5. Hôpitaux et cliniques reviennent aux dossiers papier ; des dizaines de milliers de rendez-vous sont annulés pendant que l'EDUS et l'EDAC restent hors ligne.

  6. La CCSS rétablit progressivement le dossier de santé numérique EDUS et les autres systèmes au cours des semaines suivantes.

Sources

  1. welivesecurity.comhttps://www.welivesecurity.com/la-es/2022/06/01/ransomware-hive-ataca-ccss-costa-rica/
  2. en.wikipedia.orghttps://en.wikipedia.org/wiki/2022_Costa_Rican_ransomware_attack
  3. qcostarica.comhttps://qcostarica.com/hacking-of-the-ccss-hospitals-cant-turn-on-computers/
  4. delfino.crhttps://delfino.cr/2022/05/hive-ransomware-group-el-grupo-de-cibercriminales-que-ataco-la-ccss-y-tiene-predileccion-por-instituciones-de-salud

Incidents liés

RançongicielRésolu

Attaque par rançongiciel de l'hôpital SickKids

L'Hôpital pour enfants malades de Toronto a été frappé par une attaque par rançongiciel durant les fêtes de décembre 2022, retardant les résultats de laboratoire et d'imagerie ; fait rare, le gang LockBit a présenté ses excuses, a blâmé un affilié rebelle et a fourni un déchiffreur gratuit.

Victim
The Hospital for Sick Children (SickKids)
RançongicielContenu

Rançongiciel à l'AIIMS de Delhi

Un rançongiciel a chiffré les systèmes de l'All India Institute of Medical Sciences à New Delhi — l'hôpital public le plus prestigieux d'Inde — mettant hors ligne les dossiers d'admission des patients et les dossiers cliniques pendant deux semaines en pleine affluence hivernale.

Victim
All India Institute of Medical Sciences (AIIMS) New Delhi
Loss
$15.0M