Attaque par rançongiciel RansomHouse contre Keralty / Sanitas

Le 27 novembre 2022, le groupe d'extorsion RansomHouse a frappé Keralty, l'un des plus grands groupes de santé privés d'Amérique latine, paralysant les systèmes informatiques de ses assureurs santé colombiens EPS Sanitas et Colsanitas et transformant une intrusion numérique en crise de santé publique.

Ce qui s'est passé

Keralty est une organisation de santé multinationale exploitant 12 hôpitaux et environ 371 centres médicaux en Amérique latine, en Espagne, aux États-Unis et en Asie, employant environ 24 000 personnes — dont 10 000 médecins — et desservant plus de 6 millions de patients. Le 27 novembre 2022, un rançongiciel a déchiré son réseau, mettant hors service les opérations informatiques, les sites web d'entreprise et — de manière critique — le système de prise de rendez-vous médicaux.

Keralty a d'abord décrit la perturbation comme des « problèmes techniques » avant de confirmer le 29 novembre avoir subi une cyberattaque. L'entreprise a activé des plans de secours et travaillé sans relâche pour restaurer ses services tandis que les autorités colombiennes ouvraient une enquête pénale.

Conséquences pour les patients

Les retombées opérationnelles ont été graves et visibles. Les médias locaux ont rapporté des patients attendant plus de 12 heures pour être pris en charge dans les établissements Sanitas, certains s'évanouissant prétendument en attendant des soins qui ne pouvaient être programmés. Pour un réseau soutenant une part importante du système de santé contributif colombien, la perte de la prise de rendez-vous et de l'accès aux dossiers s'est répercutée sur les cliniques à l'échelle nationale pendant plusieurs jours.

Vol de données et extorsion

RansomHouse a publiquement revendiqué l'attaque et affirmé avoir exfiltré 3 To de données des systèmes de Keralty — un chiffre qui n'a pas été vérifié de manière indépendante à l'époque. Fidèles au scénario de double extorsion du groupe, les attaquants ont accru la pression au cours des mois suivants : en mars 2023, ils ont publié en ligne des informations classifiées supplémentaires d'EPS Sanitas, démontrant que le butin dérobé comprenait des dossiers sensibles de patients et d'entreprise.

Pourquoi c'est important

L'incident Keralty a constitué un jalon dans la vague de rançongiciels contre les institutions colombiennes en 2022-2023, aux côtés de l'attaque contre l'opérateur de services EPM quelques semaines plus tard et de la violation de la chaîne d'approvisionnement IFX Networks en 2023. Il a souligné qu'un rançongiciel contre un prestataire de santé n'est pas une simple défaillance de protection des données mais une menace directe pour la sécurité des patients, et il a placé RansomHouse — également lié plus tard à IFX Networks — parmi les acteurs les plus perturbateurs opérant contre l'Amérique latine. La violation a intensifié l'examen de la manière dont les entités de santé colombiennes sécurisent les données médicales personnelles de millions de citoyens.

Chronologie

27 novembre 2022

RansomHouse déploie un rançongiciel sur le réseau de Keralty, perturbant les systèmes informatiques, les sites web et la prise de rendez-vous.

28 novembre 2022

Keralty signale des problèmes techniques affectant ses services et ceux de ses filiales EPS Sanitas et Colsanitas.

29 novembre 2022

Keralty confirme publiquement une cyberattaque et active des plans de secours, les autorités ouvrant une enquête pénale.

1 décembre 2022

RansomHouse revendique l'attaque et affirme avoir dérobé 3 To de données des systèmes de Keralty.

14 mars 2023

Des mois plus tard, les attaquants publient en ligne des informations classifiées supplémentaires d'EPS Sanitas, intensifiant l'extorsion.

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/keralty-ransomware-attack-impacts-colombias-health-care-system/

infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/ransomware-target-colombias-health/

infobae.comhttps://www.infobae.com/colombia/2023/03/14/ciberataque-a-sanitas-hackers-revelaron-mas-informacion-clasificada-de-la-eps/

cyberintelmag.comhttps://cyberintelmag.com/attacks-data-breaches/attack-from-keralty-ransomware-affects-colombias-healthcare-system/

Incidents liés

RançongicielRésolu18 décembre 2022

Attaque par rançongiciel de l'hôpital SickKids

L'Hôpital pour enfants malades de Toronto a été frappé par une attaque par rançongiciel durant les fêtes de décembre 2022, retardant les résultats de laboratoire et d'imagerie ; fait rare, le gang LockBit a présenté ses excuses, a blâmé un affilié rebelle et a fourni un déchiffreur gratuit.

Victim: The Hospital for Sick Children (SickKids)

RançongicielRésolu12 décembre 2022

Attaque par rançongiciel BlackCat contre EPM

Le gang de rançongiciel BlackCat/ALPHV a paralysé Empresas Públicas de Medellín, la plus grande entreprise publique de services de Colombie, forçant 4 000 employés à travailler hors ligne et perturbant la facturation de l'électricité, de l'eau et du gaz dans 123 municipalités.

Victim: Empresas Públicas de Medellín (EPM)

RançongicielContenu23 novembre 2022

Rançongiciel à l'AIIMS de Delhi

Un rançongiciel a chiffré les systèmes de l'All India Institute of Medical Sciences à New Delhi — l'hôpital public le plus prestigieux d'Inde — mettant hors ligne les dossiers d'admission des patients et les dossiers cliniques pendant deux semaines en pleine affluence hivernale.

Victim: All India Institute of Medical Sciences (AIIMS) New Delhi
Loss: $15.0M

RançongicielContenu13 octobre 2022

Rançongiciel Medibank (affilié à REvil)

Des attaquants russophones ont exfiltré l'intégralité des dossiers de remboursement de santé de 9,7 millions de clients actuels et anciens de Medibank, puis les ont diffusés par tranches sur le dark web après le refus de l'assureur australien de payer.

Victim: Medibank Private
Loss: $250.0M
Records: 9.7M