Une attaque de ransomware incite une chaîne d’hôpitaux multiétatiques à détourner certains patients des salles d’urgence ailleurs

NASHVILLE, Tennessee — Une attaque de ransomware a incité une chaîne de soins de santé qui gère 30 hôpitaux dans six États à détourner les patients d’au moins certaines de ses salles d’urgence vers d’autres hôpitaux, tout en mettant sur pause certaines procédures électives, a annoncé la société.

Dans un communiqué lundi, Ardent Health Services a déclaré que l’attaque avait eu lieu le 23 novembre et que la société avait mis son réseau hors ligne, suspendant l’accès des utilisateurs à ses applications informatiques, y compris le logiciel utilisé pour documenter les soins aux patients.

La société a déclaré qu’elle ne pouvait pas encore confirmer l’étendue des informations médicales ou financières des patients qui auraient été compromises. Ardent affirme avoir signalé le problème aux forces de l’ordre et retenu les services de conseillers tiers en matière de criminalistique et de renseignement sur les menaces, tout en travaillant avec des spécialistes de la cybersécurité pour restaurer les fonctions informatiques le plus rapidement possible. Il n’y a pas encore de calendrier quant à la résolution des problèmes.

Ardent, qui est basée à Nashville, dans le Tennessee, dans la banlieue de Brentwood, possède et exploite 30 hôpitaux et plus de 200 sites de soins avec plus de 1 400 prestataires alignés en Oklahoma, au Texas, au New Jersey, au Nouveau-Mexique, en Idaho et au Kansas.

Tous ses hôpitaux continuent de fournir des examens médicaux et des soins de stabilisation aux patients arrivant aux urgences, a indiqué la société.

“Les hôpitaux d’Ardent fonctionnent actuellement en mode détourné, ce qui signifie qu’ils demandent aux services d’ambulance locaux de transporter les patients nécessitant des soins d’urgence vers d’autres hôpitaux de la région”, a indiqué la société sur son site Internet. « Cela garantit aux patients gravement malades un accès immédiat au niveau de soins le plus approprié. »

La société a déclaré que chaque hôpital évaluait sa capacité à soigner en toute sécurité les patients dans sa salle d’urgence, et que des mises à jour sur l’état de chaque hôpital seraient fournies à mesure que les efforts visant à les remettre en ligne se poursuivraient.

À Topeka, au Kansas, l’attaque a mis le système de santé de l’Université du Kansas-St. Francis sur le « statut de détournement ». Debbie Cluck, porte-parole, a déclaré que cela affectait les ambulances et que la salle d’urgence était ouverte.

Les perturbations envoient des patients affluer vers l’autre hôpital de la ville, Stormont Vail. MollyPatt Eyestone, porte-parole de Stormont Vail Health, a déclaré que le volume de patients avait commencé à augmenter vendredi et que du personnel supplémentaire avait été recruté pour aider tout au long du week-end.

« Nous constatons également une forte augmentation de nos soins urgents et de nos patients hospitalisés, y compris les nourrissons, nous constatons donc un impact. Mais il faut s’y attendre », a-t-elle déclaré.

L’attaque n’a pas été revendiquée dans l’immédiat. Les criminels ransomware n’admettent généralement pas une attaque à moins que la victime refuse de payer.

“L’attaque contre Ardent Health est à la fois flagrante et devient rapidement la norme”, a déclaré Allan Liska, analyste de la société de cybersécurité Recorded Future. « Des histoires telles que des patients refusés aux urgences, des hôpitaux contraints de recourir à un stylo et du papier pour soigner les patients, ou encore du personnel hospitalier incapable d’accéder aux dossiers médicaux sont de plus en plus courantes. » Il pense que le problème s’aggrave.

Même si certains groupes n’attaqueront pas les hôpitaux, « ils sont largement dépassés en nombre par ceux qui le feront et avec le nombre de groupes de ransomwares augmentant chaque jour, le pourcentage de ceux qui n’attaqueront pas les hôpitaux diminuera constamment », a déclaré Liska. « Les soins de santé, en général, constituent une cible attractive pour ces groupes car ils ont l’impression qu’ils sont plus susceptibles de payer, même si les preuves suggèrent le contraire. »

Bien entendu, « même lorsque les prestataires de soins de santé ne paient pas, les dossiers des patients peuvent être très précieux sur les marchés clandestins. Ainsi, même si le groupe de ransomwares ne gagne pas d’argent grâce au paiement de la rançon, il peut gagner de l’argent en vendant les données des brevets », a ajouté Liska.

Une récente étude mondiale de la société de cybersécurité Sophos a révélé que près des deux tiers des établissements de santé ont été touchés par des attaques de ransomware au cours de l’année se terminant en mars, soit le double du taux de deux ans plus tôt, mais une légère baisse par rapport à 2022. L’éducation était le secteur le plus susceptible d’être touché. être touché, avec une saturation d’attaque à 80%.

De plus en plus, les gangs de ransomwares volent des données avant d’activer des logiciels malveillants de brouillage de données qui paralysent les réseaux. La menace de rendre publiques les données volées est utilisée pour extorquer des paiements. Ces données peuvent également être vendues en ligne. Sophos a découvert que le vol de données se produisait dans une attaque de ransomware sur trois contre les établissements de santé.

L’analyste Brett Callow de la société de cybersécurité Emsisoft a déclaré que 25 systèmes de santé américains, avec 290 hôpitaux, ont été touchés l’année dernière, tandis que cette année, ce chiffre est de 36, avec 128 hôpitaux. « Bien entendu, tous les hôpitaux des systèmes n’ont peut-être pas été touchés et tous n’ont peut-être pas été touchés de la même manière », a-t-il déclaré. « En outre, une meilleure résilience pourrait avoir amélioré les temps de rétablissement. »

“Nous ne sommes pas dans une situation nettement meilleure que les années précédentes, et elle pourrait même être pire”, a-t-il déclaré.

« Nous devons désespérément trouver des moyens de mieux protéger nos hôpitaux. Ces incidents mettent la vie des patients en danger – en particulier lorsque les ambulances doivent être détournées – et le fait que personne ne semble être encore mort est en partie dû à la chance, et cette chance finira par s’épuiser », a ajouté Callow.

La plupart des syndicats de ransomwares sont dirigés par des russophones basés dans les anciens États soviétiques, hors de portée des forces de l’ordre américaines, bien que certains « affiliés » qui font le gros travail d’infecter les cibles et de négocier les rançons vivent en Occident, en utilisant l’infrastructure logicielle et les rançons des syndicats. outils.

___

Le journaliste technologique d’Associated Press Frank Bajak et l’écrivain Heather Hollingsworth à Mission, Kansas, ont contribué à ce rapport.