Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Attaque par rançongiciel contre le Waikato District Health Board

Une attaque par le rançongiciel Zeppelin a paralysé le Waikato District Health Board de Nouvelle-Zélande, mettant hors service les systèmes cliniques et les lignes téléphoniques de cinq hôpitaux pendant des semaines, reportant des interventions chirurgicales et divulguant des données de patients et de personnel sur le dark web.

Victime
Waikato District Health Board
SecteurSanté
PaysNouvelle-Zélande
GroupeOpérateurs du rançongiciel Zeppelin (non attribué)

Le 18 mai 2021, le Waikato District Health Board (DHB) — qui gérait cinq hôpitaux desservant plus de 400 000 personnes dans le centre de l'île du Nord de la Nouvelle-Zélande — a découvert que ses systèmes numériques défaillaient. En l'espace d'une journée, l'événement était confirmé comme une attaque par rançongiciel, l'un des incidents cybernétiques les plus graves jamais survenus dans le secteur public néo-zélandais.

Ce qui s'est passé

L'attaque, menée à l'aide du rançongiciel Zeppelin, a chiffré des serveurs à travers le Waikato DHB et a mis hors service simultanément les systèmes informatiques cliniques et les lignes téléphoniques. Les systèmes de dossiers patients, les résultats de laboratoire et de radiologie ainsi que les communications internes étant hors ligne, le personnel a été contraint de recourir à des solutions manuelles, sur papier, pour continuer à soigner les patients.

Le chercheur d'Emsisoft Fabian Wosar l'a décrit comme la plus grande violation Zeppelin qu'il ait vue. Les estimations des experts en sécurité situaient la demande de rançon probable dans une fourchette de sept à huit chiffres en cryptomonnaie.

Conséquences

  • Les cinq hôpitaux du Waikato ont été touchés ; des interventions chirurgicales programmées et certains rendez-vous ambulatoires ont été reportés, et les traitements de radiothérapie ont été perturbés.
  • Les systèmes téléphoniques sont tombés en panne, contraignant le DHB à publier d'autres numéros de contact et à dérouter certains services.
  • Le 25 mai, les attaquants ont affirmé avoir dérobé des données sensibles de patients, de personnel et financières et ont lancé un ultimatum de rançon.
  • Le Waikato DHB et le gouvernement néo-zélandais ont refusé de payer la rançon.
  • Début juin, un tiers a publié des documents dérobés sur le dark web, confirmant que des informations de patients et de personnel avaient été exfiltrées.

Rétablissement

La restauration a été lente et laborieuse. Au 2 juin, environ la moitié des serveurs du DHB avaient été rétablis ; la radiothérapie a repris vers le 7 juin ; et au 15 juin — environ quatre semaines après l'attaque — la plupart des services cliniques, l'accès aux dossiers, les diagnostics de laboratoire et la radiologie étaient de nouveau en ligne. Même alors, le personnel a continué de recourir à des processus manuels dans plusieurs domaines, et le DHB a fait appel à un grand nombre de spécialistes informatiques supplémentaires pour reconstruire ses systèmes.

Pourquoi c'est important

L'attaque contre le Waikato DHB a été un moment décisif pour la cybersécurité néo-zélandaise, révélant à quel point l'informatique du secteur de la santé était devenue fragile et à quel point une attaque par rançongiciel peut directement mettre en danger les soins aux patients. Elle a durci la position du gouvernement contre le paiement de rançons et a directement alimenté la réforme nationale qui a consolidé les conseils de santé de district du pays en une entité unique, Te Whatu Ora / Health New Zealand, la cyber-résilience étant une préoccupation centrale. Elle demeure l'exemple néo-zélandais de référence du rançongiciel en tant qu'urgence de sécurité publique, et non simplement informatique.

Chronologie

  1. Le Waikato DHB constate que plusieurs de ses systèmes numériques ne fonctionnent pas normalement.

  2. L'attaque est confirmée comme étant un rançongiciel ; les systèmes informatiques hospitaliers et les lignes téléphoniques de la région sont mis hors ligne.

  3. Un groupe non identifié revendique l'attaque, affirme avoir dérobé des données de patients, de personnel et financières, et lance un ultimatum de rançon.

  4. Le Waikato DHB et le gouvernement néo-zélandais excluent de payer la rançon.

  5. Des documents dérobés contenant des données de patients et de personnel sont publiés sur le dark web par un tiers.

  6. Les services cliniques sont en grande partie rétablis, environ quatre semaines après l'attaque, bien que des solutions manuelles de contournement persistent dans plusieurs domaines.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/Waikato_District_Health_Board_ransomware_attack
  2. rnz.co.nzhttps://www.rnz.co.nz/news/national/442959/waikato-dhb-enters-third-day-affected-by-cyber-attack
  3. rnz.co.nzhttps://www.rnz.co.nz/news/national/445735/waikato-dhb-ransomware-attack-documents-released-online
  4. rnz.co.nzhttps://www.rnz.co.nz/news/national/443589/waikato-dhb-data-breach-likely-seven-eight-figure-cryptocurrency-ransom-expert
  5. cyberlaw.ccdcoe.orghttps://cyberlaw.ccdcoe.org/wiki/Waikato_Hospitals_ransomware_attack_(2021)

Incidents liés

RançongicielRésolu

Cyberattaque du système de santé de Terre-Neuve-et-Labrador

Une attaque par rançongiciel Hive contre le réseau de soins de santé de Terre-Neuve-et-Labrador a paralysé les systèmes informatiques à l'échelle de la province, forçant l'annulation de milliers de rendez-vous et d'interventions dans ce que les responsables ont qualifié de pire cyberattaque de l'histoire du Canada.

Victim
Newfoundland and Labrador Centre for Health Information / Eastern Health
RançongicielRésolu

Attaque par rançongiciel du centre médical Hillel Yaffe

Le rançongiciel DeepBlueMagic a paralysé le centre médical israélien Hillel Yaffe, verrouillant l'ensemble des systèmes informatiques de l'hôpital. Hôpital public interdit de payer une rançon, il a fonctionné sur papier et systèmes de secours pendant des semaines, mettant environ deux mois à se rétablir totalement.

Victim
Hillel Yaffe Medical Center