Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Attaque par rançongiciel Medusa contre PhilHealth

Le gang de rançongiciel Medusa a piraté la Corporation philippine d'assurance maladie, exfiltrant environ 750 Go de données sensibles de membres et de dossiers médicaux et exigeant une rançon de 300 000 dollars ; le gouvernement a refusé de payer et les données ont été divulguées.

Victime
Corporation philippine d'assurance maladie (PhilHealth)
utilisateurs
42.0M
SecteurSanté
PaysPhilippines
GroupeMedusa

Le 22 septembre 2023, le gang de rançongiciel Medusa a frappé la Corporation philippine d'assurance maladie (PhilHealth), l'agence publique qui administre la couverture maladie universelle des Philippines. L'attaque a chiffré les systèmes internes, mis hors ligne les services destinés aux membres et exfiltré environ 750 Go de données hautement sensibles.

Ce qui s'est passé

Medusa est une opération d'extorsion et de rançongiciel à motivation financière. Après avoir pénétré le réseau de PhilHealth, le gang a déployé un rançongiciel et dérobé une masse considérable de dossiers avant d'exiger une rançon de 300 000 dollars — soit environ 17 millions de pesos philippins — en échange d'une clé de déchiffrement et de la promesse de supprimer les données volées.

Une enquête ultérieure a révélé une cause profonde frappante : au moment de l'attaque, les systèmes de PhilHealth n'étaient pas protégés par un logiciel antivirus, car la licence avait expiré et son renouvellement avait été retardé par les procédures de marchés publics du gouvernement.

Données exposées

Les quelque 750 Go de données exfiltrées comprenaient certaines des catégories les plus sensibles d'informations personnelles détenues par un État :

  • Dossiers et fichiers médicaux des patients
  • Dossiers de facturation et identifiants des membres
  • Dossiers des rebelles repentis du programme PAMANA
  • Dossiers de membres en situation de handicap (PWD) révélant des mots de passe
  • Dossiers de facturation des indigents et des personnes âgées
  • Dossiers « tués au combat » et « tués en opération »

Des rapports ultérieurs ont indiqué que la fuite pourrait avoir touché jusqu'à 42 millions de personnes.

Bras de fer sur la rançon

Le gouvernement philippin, coordonnant via le Département des technologies de l'information et de la communication (DICT), a publiquement refusé de payer la rançon, invoquant à la fois la politique de non-financement des criminels et l'incertitude qu'un paiement protégerait les victimes. À l'expiration du délai début octobre 2023, Medusa a commencé à publier les données volées sur le dark web.

Impact et réponse

La fuite a exposé des millions de Philippins — y compris des patients et des groupes vulnérables — au vol d'identité, à l'extorsion et à la fraude. La Commission nationale de la protection des données a ouvert une enquête, et PhilHealth a exhorté les membres à surveiller leurs comptes et à rester vigilants face à l'hameçonnage. L'incident est devenu un scandale national sur l'état de la cybersécurité des agences gouvernementales philippines.

Pourquoi c'est important

La fuite de PhilHealth est l'incident emblématique du secteur de la santé aux Philippines. Une licence antivirus expirée — une défaillance élémentaire et évitable — a laissé les dossiers les plus sensibles d'un assureur maladie national exposés à un gang de rançongiciel. Elle a mis en lumière un sous-investissement chronique et des retards liés aux marchés publics dans la cybersécurité gouvernementale, et a réaffirmé, à l'échelle nationale, le principe selon lequel les données publiques critiques exigent une protection soutenue et bien financée.

Chronologie

  1. Le gang de rançongiciel Medusa attaque PhilHealth, chiffrant les systèmes et exfiltrant des données ; plusieurs services en ligne sont mis hors service.

  2. Medusa exige une rançon de 300 000 dollars (environ 17 millions de pesos) pour déchiffrer et supprimer les données dérobées.

  3. Le gouvernement philippin, via le DICT et PhilHealth, refuse publiquement de payer la rançon.

  4. Medusa commence à publier les données volées de PhilHealth sur le dark web après l'expiration du délai.

  5. Des rapports indiquent que jusqu'à 42 millions de personnes pourraient avoir été touchées ; les enquêtes citent une licence antivirus expirée comme facteur contributif.

Sources

  1. philstar.comhttps://www.philstar.com/headlines/2023/10/06/2301566/medusa-hackers-release-stolen-philhealth-data
  2. bitpinas.comhttps://bitpinas.com/fintech/philhealth-assures-data/
  3. databreaches.nethttps://databreaches.net/2024/07/08/ph-42-million-people-possibly-affected-by-2023-philippine-health-insurance-cyberattack/
  4. hipaajournal.comhttps://www.hipaajournal.com/lack-of-antivirus-software-behind-philhealth-ransomware-attack/
  5. gulfnews.comhttps://gulfnews.com/world/asia/philippines/philippines-hackers-demand-300k-after-health-insurers-data-compromised-1.1695653631406

Incidents liés

RançongicielRésolu

Fuite de données par rançongiciel chez ALAB Laboratoria

Le gang de rançongiciel RA World a compromis le réseau national de laboratoires médicaux ALAB Laboratoria en Pologne, dérobant des résultats d'analyses et des numéros d'identité PESEL de patients. ALAB a refusé de payer, et les criminels ont publié les données médicales sensibles de dizaines de milliers de patients, dans ce qui est devenu la plus grande fuite de données médicales de Pologne.

Victim
ALAB Laboratoria
Records
50.0K
RançongicielEn cours

Fuite chez Résidence du Parc (Champdeniers-Saint-Denis)

En décembre 2025, l'EHPAD Résidence du Parc à Champdeniers-Saint-Denis (Deux-Sèvres), qui héberge environ 90 résidents, a été frappé par un rançongiciel ayant chiffré des fichiers et déposé une demande de rançon de 5 millions de dollars ; des données administratives et possiblement des pièces d'identité numérisées ont été exposées.

Victim
Résidence du Parc (Champdeniers-Saint-Denis)