Piratage du Centre Hospitalier d’Arles : there is nothing… ou presque

Les pirates du groupe Vice Society diffusent, de nouveau, des données volées au Centre Hospitalier d’Arles !

Je vous expliquais, il y a peu, mon étonnement de voir disparaitre les preuves du piratage du Centre Hospitalier d’Arles par le groupe de pirates informatiques Vice. Ces opérateurs de ransomware me font mentir. Ils n’ont JAMAIS effacé les données exfiltrées et diffusées comme preuves. Ils ont tout « simplement » stocké les informations dans un second espace « cloud » caché que ZATAZ a pu retrouver. Ce second lieu affiche un « there is nothing » bien trompeur !

J’ai pu y constater la diffusion de centaines de documents volés à l’institution médicale du sud de la France. Des centaines de PDF ou fichiers Word. Des fiches de liaison paramédicale concernant des patients passés par les mains du CH d’Arles ; des certificats médicaux ; des noms, des adresses, des résumés d’hospitalisation, l’Identifiant Permanent du Patient (IPP) … Des données volées datées de 2019 au 21 août 2021.

Le pire reste à venir ?

Selon mes constatations, ils auraient en leur possession plus 53 510 documents de patients et d’hospitalisations attenantes ! Sans parler des données qu’ils n’ont pas encore révélées ! C’est d’ailleurs le cas qui m’inquiète le plus. Ce type de pirate est capable de toutes les nuisances !

Pour les patients, pas de numéro de sécurité sociale, ni d’adresse électronique constatés. Il n’en reste pas moins une perturbante fuite d’informations sensibles liée à la santé.

Pour les praticiens, en plus de leur identité complète, les signatures apposées sur les documents qu’ils ont pu parapher. Ils pourraient servir dans des actes d’usurpation d’identité et/ou de documents médicaux.

Bref, ces terroristes du web ont plusieurs sites et les exploitent !

Pendant ce temps, le FBI crame les pirates du OnePercent Group

Le FBI a diffusé sa toute première alerte concernant un « affilié de ransomware ». Un membre du OnePercent Group. Le Federal Bureau of Investigations des États-Unis a publié le mode opératoire de cet affilié totalement inconnu. Autant dire que le/les membres de ce OPG doit/doivent dormir en quatre murs.

Le FBI affichent des groupes pirates sous forme d’alerte avant d’annoncer, ensuite, les arrestations. Ils ont fait le coup pour Egregor et Netwalker 🙂

Comme j’ai pu vous le raconter en long et en large dans plusieurs articles, un affilié de ransomware fait référence à une personne ou à un groupe qui loue l’accès à un Ransomware-as-a-Service (RaaS). Sa mission d’affilié est d’opérer les intrusions dans les réseaux d’entreprises, de chiffrer les fichiers avec le « ransomware loué », puis gagnera une commission si l’extorsions arrive à son terme.

L’affaire « CONTI » et son affilié pas content démontre l’argent qui semble couler à flot dans ce milieu. Pour CONTI, je vous racontais comment les « parrains » versent un salaire mensuel aux affiliés, pour les motiver !

OnePercent Group était actif depuis novembre 2020. Pour être très honnête, personne dans le milieu du ransomware en avait entendu parler avant l’annonce du FBI. D’ailleurs l’agence n’indique pas si ce groupe est encore actif.

Action

Le groupe 1% utilisait des campagnes de phishing pour infiltrer les victimes avec le cheval de Troie IcedID. Il exploitait Cobalt Strike pour se déplacer latéralement sur le réseau d’une victime. Le logiciel RClone pour exfiltrer des données sensibles des serveurs infiltrés. Les victimes recevaient des appels téléphoniques ou des courriels pour les menacer. En cas de non paiement, vente de leurs données volées. Netwalker et Egregor utilisaient cette méthode !

Dans le cas de non paiement, ou pas suffisamment rapidement, le groupe divulguerait 1% des données volées en guise d’avertissement pour la victime. Le paiement se faisait en Bitcoin. A noter que l’adresse proposée par le FBI du portefeuille des pirates est bien vide !

Les données étaient proposées à la vente sur le site ouvert à cet effet par REvil.

ZATAZ vous avez révélé en exclusivité cette création, en 2020. OnePercent aurait été un fournisseur de REvil, Maze et Egregor.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.
  1. walli Reply

    Les opérateurs de ransomware me font mentir.

    elle est pas mal celle là c pas que :les hackers vous font mentir mais plutôt est il sensé de confirmer comme vérité toute information sans pour pouvoir autant l authentifier? les hackers ne sont pour rien c est à vous de vérifier vos informations avant de les diffuser sinon vous n etes simplement pas responsable d ou ! Les opérateurs de ransomware me font mentir. hhhhhhhhhhh bonne suite pour tous et bon travail sinon !!!!!! autour du hacking

    • Damien Bancal Reply

      Bonjour Walli,
      Cette phrase est un effet de style 😉
      Cordialement

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.