En révélant que leurs fichiers avaient été piratés par HelloKitty, une équipe médicale de l’Oregon a laissé échapper que le FBI les appelle “un groupe de piratage ukrainien”, la première révélation de ce type sur les mécréants auparavant mystérieux.
L’Oregon Anesthesiology Group (OAG) a fait l’objet d’une cyberattaque en juillet, les pirates ayant eu accès aux informations de 522 employés actuels et anciens et de quelque 750 000 patients. Le FBI a depuis saisi un compte HelloKitty qui contenait certains des fichiers, a déclaré l’OAG dans une déclaration de divulgation de violation.
Une organisation de soins de santé de l’Oregon semble avoir accidentellement révélé dans une divulgation de violation que le FBI pense que le gang de ransomware HelloKitty (FiveHands) opère depuis l’Ukraine https://t.co/pcfbiky8W6
– Le record de Recorded Future (@TheRecord_Media) 15 décembre 2021
Alors que la déclaration elle-même a été rendue publique le 6 décembre, elle n’a été remarquée par les médias que mercredi, et uniquement parce qu’elle contenait la révélation que le FBI considérait les pirates comme ukrainiens.
Selon la publication sur la cybersécurité The Record, aucune des alertes précédentes concernant le groupe, qu’elles proviennent d’organisations gouvernementales américaines ou de sociétés de sécurité privées, ne contenait d’indice sur l’emplacement du gang.
Le ransomware HelloKitty, également connu sous le nom de FiveHands, a été remarqué pour la première fois en janvier de cette année. Son attaque la plus notable a été contre le développeur de jeux polonais CD Projekt Red – le studio derrière la série « The Witcher » et « Cyberpunk 2077 » – en février.
Dans la note envoyée à OAG le 21 octobre, le FBI a déclaré que les pirates avaient très probablement exploité une vulnérabilité du pare-feu tiers pour accéder au réseau. L’attaque par ransomware aurait forcé OAG à restaurer ses systèmes à partir de sauvegardes et à reconstruire toute son infrastructure à partir de zéro.
Selon OAG, les pirates informatiques ont potentiellement volé les noms des patients, les adresses, les dates de rendez-vous, les numéros de dossier médical, les numéros d’identification d’assurance et les codes de diagnostic et de procédure. Ils ont également potentiellement accédé aux données des employés actuels et anciens, y compris les noms, adresses, numéros de sécurité sociale et informations fiscales enregistrées.
La source: www.rt.com