Attaque par rançongiciel contre l'hôpital ophtalmologique Moorfields de Dubaï

En août 2021, le groupe de rançongiciels AvosLocker a attaqué l'antenne de Dubaï de l'hôpital ophtalmologique Moorfields, la déclinaison internationale du célèbre hôpital ophtalmologique Moorfields britannique affilié au NHS. Le gang a affirmé avoir volé environ 60 Go de données de patients et de personnel et, faute de réponse à ses exigences, les a publiées en ligne dans une opération classique de double extorsion.

Ce qui s'est passé

AvosLocker a inscrit la victime sur son site de fuite du dark web le 15 août 2021 sous le nom de « Moorfields NHS UK & Dubai », laissant entendre une compromission de l'organisation mère londonienne. En réalité, seuls les systèmes de l'hôpital de Dubaï ont été touchés — rien n'indiquait que les serveurs du NHS britannique aient été atteints. Moorfields a confirmé l'« incident de sécurité informatique » le 16 août, déclarant qu'il affectait ses opérations de Dubaï et que les patients concernés étaient en cours de notification.

Fidèle au modèle de la double extorsion, AvosLocker a à la fois chiffré les systèmes et exfiltré des données. Faute de paiement de l'hôpital, le gang a divulgué un premier lot de fichiers volés puis, le 1er septembre 2021, a publié le reste du trésor.

Impact

Environ 60 Go de données internes ont été exfiltrés.
Les fichiers volés comprenaient, selon les rapports, des copies de cartes d'identité de patients, des demandes d'assurance, des documents financiers, des journaux d'appels de l'hôpital et des messages internes — des données de santé et d'identité hautement sensibles.
S'agissant des patients d'un hôpital ophtalmologique, ces données comportaient à la fois des risques de confidentialité médicale et d'usurpation d'identité pour les personnes concernées aux Émirats.
Moorfields a notifié les patients de Dubaï concernés et a engagé une réponse à incident et une remédiation ; aucun paiement de rançon n'a été confirmé.

Attribution

L'attaque a été revendiquée par AvosLocker, une opération de rançongiciel-en-tant-que-service apparue à la mi-2021 qui ciblait des organisations d'infrastructures critiques et de santé dans le monde entier. AvosLocker a ensuite fait l'objet d'un avis du FBI/FinCEN en 2022 avertissant qu'il avait attaqué des entités dans plusieurs secteurs d'infrastructures critiques américains. L'opération contre Moorfields Dubaï a figuré parmi ses premières frappes médiatisées dans le secteur de la santé.

Pourquoi c'est important

La violation de Moorfields Dubaï a mis en lumière l'exposition des prestataires de santé de marque internationale opérant dans le Golfe, où un nom mondialement reconnu peut attirer des attaquants en quête d'un effet de levier et d'une publicité maximaux. Elle a illustré comment le rançongiciel à double extorsion transforme les données des patients en outil de coercition, et a renforcé la nécessité de réseaux de filiales étrangères cloisonnés et bien défendus, même lorsque les systèmes du pays d'origine de l'organisation mère restent intacts.

Chronologie

15 août 2021

AvosLocker inscrit « Moorfields NHS UK & Dubai » sur son site de fuite, affirmant avoir volé 60 Go de données.

16 août 2021

Moorfields confirme un incident de cybersécurité affectant uniquement ses opérations de Dubaï et commence à notifier les patients concernés.

1 septembre 2021

AvosLocker divulgue le reste des données exfiltrées après que l'hôpital n'a pas répondu à ses exigences.

13 septembre 2021

Des rapports confirment que d'autres dossiers de personnel et de patients, dont cartes d'identité et journaux d'appels, ont été publiés en ligne.

Sources

databreaches.nethttps://databreaches.net/2021/08/16/moorfields-eye-hospital-investigating-cyberattack-on-dubai-hospital-notifying-patients/

govinfosecurity.comhttps://www.govinfosecurity.com/avoslocker-claims-data-theft-from-another-healthcare-entity-a-19083

digitalhealth.nethttps://www.digitalhealth.net/2021/08/moorfields-eye-hospital-dubai-it-security-incident/

databreaches.nethttps://databreaches.net/2021/09/13/uae-moorfields-eye-hospital-in-dubai-sees-more-staff-and-patient-data-dumped/

Incidents liés

RançongicielRésolu30 octobre 2021

Cyberattaque du système de santé de Terre-Neuve-et-Labrador

Une attaque par rançongiciel Hive contre le réseau de soins de santé de Terre-Neuve-et-Labrador a paralysé les systèmes informatiques à l'échelle de la province, forçant l'annulation de milliers de rendez-vous et d'interventions dans ce que les responsables ont qualifié de pire cyberattaque de l'histoire du Canada.

Victim: Newfoundland and Labrador Centre for Health Information / Eastern Health

RançongicielRésolu13 octobre 2021

Attaque par rançongiciel du centre médical Hillel Yaffe

Le rançongiciel DeepBlueMagic a paralysé le centre médical israélien Hillel Yaffe, verrouillant l'ensemble des systèmes informatiques de l'hôpital. Hôpital public interdit de payer une rançon, il a fonctionné sur papier et systèmes de secours pendant des semaines, mettant environ deux mois à se rétablir totalement.

Victim: Hillel Yaffe Medical Center

RançongicielRésolu1 août 2021

Attaque par rançongiciel de la région du Latium

Une attaque par le rançongiciel RansomEXX a chiffré le centre de données de la région italienne du Latium, mettant hors ligne pendant plusieurs jours le portail de réservation de vaccination COVID-19 et déclenchant une enquête antiterroriste.

Victim: Regione Lazio

RançongicielRésolu18 mai 2021

Attaque par rançongiciel contre le Waikato District Health Board

Une attaque par le rançongiciel Zeppelin a paralysé le Waikato District Health Board de Nouvelle-Zélande, mettant hors service les systèmes cliniques et les lignes téléphoniques de cinq hôpitaux pendant des semaines, reportant des interventions chirurgicales et divulguant des données de patients et de personnel sur le dark web.

Victim: Waikato District Health Board