Skip to content
Cyber Breaches
Recherche
RançongicielContenu

Rançongiciel Medibank (affilié à REvil)

Des attaquants russophones ont exfiltré l'intégralité des dossiers de remboursement de santé de 9,7 millions de clients actuels et anciens de Medibank, puis les ont diffusés par tranches sur le dark web après le refus de l'assureur australien de payer.

Victime
Medibank Private
Perte
$250.0M
données
9.7M
utilisateurs
9.7M
SecteurSantéFinance
PaysAustralie
GroupeREvil-affiliated criminal operatorsBlogXX (leak site)

En octobre 2022, des attaquants russophones ont exfiltré l'intégralité des dossiers de remboursement de santé de 9,7 millions de clients actuels et anciens de Medibank Private, le plus grand assureur santé d'Australie. La réponse du gouvernement australien — y compris les premières cybersanctions australiennes jamais prononcées contre un individu nommément désigné — et le refus de Medibank de payer la rançon ont façonné la politique nationale ultérieure en matière de réponse aux rançongiciels.

Ce qui s'est passé

L'intrusion a commencé par des identifiants volés. En août 2022, un attaquant a acheté sur un forum criminel russophone les identifiants d'un sous-traitant informatique de Medibank disposant d'un accès VPN au réseau de l'entreprise. Les identifiants avaient été collectés par un infostealer des mois plus tôt — une origine courante pour le marché des identifiants qui alimente les opérations modernes de rançongiciel.

De manière critique, le VPN de Medibank n'exigeait pas d'authentification multifacteur pour le compte du sous-traitant affecté. Le nom d'utilisateur et le mot de passe volés suffisaient. L'attaquant a :

  • S'est connecté au VPN le 23 août 2022.
  • Établi une persistance et mené une reconnaissance interne au cours des sept semaines suivantes.
  • Exfiltré environ 200 Go de données dans les jours précédant le 12 octobre, dont l'intégralité des dossiers de remboursement de santé, des numéros Medicare, des adresses, des dates de naissance et des antécédents médicaux détaillés.

Medibank a détecté une activité anormale le 13 octobre et a engagé une réponse à incident. L'intrusion a été contenue en quelques jours, mais les données avaient déjà quitté l'environnement.

Refus de payer, puis fuites

Les attaquants ont d'abord exigé 9,7 millions de dollars en bitcoin — une formulation délibérément symbolique de « 1 $ par client affecté » destinée à maximiser la pression publique.

Le PDG de Medibank David Koczkar a annoncé publiquement le 7 novembre 2022 que l'entreprise ne paierait pas, invoquant les recommandations du gouvernement australien selon lesquelles payer des rançons finance de nouvelles activités criminelles et n'offre aucune garantie de suppression des données. Le Premier ministre australien et le ministre de l'Intérieur ont publiquement soutenu ce refus.

Les attaquants ont répondu en diffusant les données par tranches sur un forum du dark web :

  • 9 novembre : une « good-list » de clients aux antécédents de santé courants.
  • 10 novembre : une « naughty-list » catégorisant les clients selon leur sensibilité perçue — y compris des dossiers d'avortement, de traitement de la toxicomanie et de l'alcoolisme, d'antécédents de santé mentale, de statut VIH. Cette diffusion sélective était une tentative manifeste de maximiser le préjudice réputationnel.
  • 17 novembre au 1er décembre : copies complètes de la base de données, y compris la catégorisation médicale la plus sensible.

Les données restent en circulation sur le dark web. Les recommandations du gouvernement australien aux clients affectés ont reconnu que les données ne pourraient jamais être entièrement récupérées ou contenues.

Réponse du gouvernement

La réponse australienne a établi des précédents importants :

  • Premières cybersanctions australiennes en janvier 2023 contre Aleksandr Ermakov, un ressortissant russe identifié par le renseignement australien comme participant à l'attaque contre Medibank. La sanction a été prononcée en vertu de l'Autonomous Sanctions Act australien et alignée sur les sanctions britanniques et américaines contre Ermakov pour une activité de rançongiciel distincte.
  • Déclaration obligatoire des rançongiciels : une législation ultérieure a introduit des obligations de déclaration pour les paiements et incidents de rançongiciel par les grandes organisations.
  • Extension du périmètre des infrastructures critiques : la classification de Medibank au titre du SOCI Act (Security of Critical Infrastructure) a été clarifiée pour inclure les grands opérateurs de santé.

Impact

  • 9,7 millions de clients ont vu leurs données d'antécédents médicaux exposées de manière permanente.
  • Coûts directs de remédiation, de support client et juridiques : environ 80 millions de dollars.
  • Impact commercial estimé (attrition des abonnés, dommage à la marque) : plus de 150 M$.
  • Procédure de sanction civile engagée par le Commissaire australien à l'information en juin 2024, toujours en cours ; la sanction maximale possible est le montant le plus élevé entre 50 M$ AUD, 30 % du chiffre d'affaires ou trois fois le bénéfice obtenu — des plafonds réformés adoptés en réponse à Medibank elle-même.

Pourquoi c'est important

Medibank est le cas emblématique du rançongiciel contre un opérateur de santé qui a refusé de payer et accepté la fuite comme un coût à assumer. Il a établi :

  • Qu'un alignement du gouvernement et de l'industrie derrière le refus est réalisable à l'échelle nationale, à condition d'un soutien politique.
  • Que la catégorisation sélective des données divulguées (la tactique de la « naughty-list ») est désormais une technique de pression établie — les attaquants ne se contentent plus de publier ; ils organisent la publication pour un préjudice maximal.
  • Que les identifiants collectés par infostealer + un accès VPN sans MFA constituent un vecteur d'entrée majeur pour les rançongiciels visant la santé. La remédiation post-incident de Medibank a inclus la MFA sur chaque système exposé à l'extérieur comme changement phare.
  • Que les données issues d'une violation sont permanentes — une fois sur le dark web, aucune intervention politique ne permet de les récupérer. Les clients de Medibank continueront de faire face à un risque de fraude à l'identité et à l'assurance en aval pendant des années.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
250.0M
USD · 250 000 000 $US
Rançon demandée
$9.7M
Rançon payée
Refusée
  • Perte d’exploitation$150.0M
  • Remédiation$80.0M

Chronologie

  1. Un attaquant achète des identifiants volés d'un sous-traitant de Medibank sur un forum criminel russophone. Les identifiants accordent un accès VPN sans nécessiter d'authentification multifacteur.

  2. Les attaquants établissent une persistance sur le réseau de Medibank et commencent la reconnaissance.

  3. Environ 200 Go de données clients exfiltrés, dont des dossiers détaillés de remboursement de santé et des numéros Medicare.

  4. Medibank détecte une activité anormale et engage une réponse à incident.

  5. Medibank révèle publiquement la violation. La portée initiale est sous-estimée.

  6. Les attaquants publient un échantillon de données sur un forum russophone et exigent une rançon de 9,7 M$ (1 $ par client affecté).

  7. Le PDG de Medibank, David Koczkar, annonce publiquement que l'entreprise ne paiera pas la rançon.

  8. Les attaquants diffusent par étapes des tranches de données volées sur le dark web : « good-list », « naughty-list » (catégorisant les clients selon la sensibilité perçue de leurs antécédents médicaux), puis des copies complètes de la base de données.

  9. La Police fédérale australienne attribue publiquement l'attaque à des criminels basés en Russie.

  10. Le gouvernement australien impose des cybersanctions de type Magnitsky à un individu nommément désigné — Aleksandr Ermakov — pour l'attaque contre Medibank. Premières cybersanctions australiennes jamais prononcées.

  11. Le Commissaire australien à l'information engage une procédure de sanction civile contre Medibank.

Sources

  1. medibank.com.auhttps://www.medibank.com.au/health-insurance/about/2022-cyber-event/
  2. afp.gov.auhttps://www.afp.gov.au/news-media/media-releases/afp-confirms-medibank-private-attackers-russia
  3. oaic.gov.auhttps://www.oaic.gov.au/news/media-centre/medibank-cyber-data-breach-civil-penalty-proceedings

Incidents liés

RançongicielRésolu

Attaque par rançongiciel de MediSecure

Une attaque par rançongiciel contre le fournisseur australien d'ordonnances électroniques MediSecure a exposé les données personnelles et de santé d'environ 12,9 millions d'Australiens — l'une des plus grandes violations du pays — et a précipité l'entreprise en redressement puis en liquidation.

Victim
MediSecure
Records
12.9M
RançongicielRésolu

Attaque par rançongiciel de l'hôpital SickKids

L'Hôpital pour enfants malades de Toronto a été frappé par une attaque par rançongiciel durant les fêtes de décembre 2022, retardant les résultats de laboratoire et d'imagerie ; fait rare, le gang LockBit a présenté ses excuses, a blâmé un affilié rebelle et a fourni un déchiffreur gratuit.

Victim
The Hospital for Sick Children (SickKids)
RançongicielContenu

Rançongiciel à l'AIIMS de Delhi

Un rançongiciel a chiffré les systèmes de l'All India Institute of Medical Sciences à New Delhi — l'hôpital public le plus prestigieux d'Inde — mettant hors ligne les dossiers d'admission des patients et les dossiers cliniques pendant deux semaines en pleine affluence hivernale.

Victim
All India Institute of Medical Sciences (AIIMS) New Delhi
Loss
$15.0M