Piratage du Centre Hospitalier d’Arles : there is nothing… ou presque

Les pirates du groupe Vice Society diffusent, de nouveau, des données volées au Centre Hospitalier d’Arles !

Je vous expliquais, il y a peu, mon étonnement de voir disparaitre les preuves du piratage du Centre Hospitalier d’Arles par le groupe de pirates informatiques Vice. Ces opérateurs de ransomware me font mentir. Ils n’ont JAMAIS effacé les données exfiltrées et diffusées comme preuves. Ils ont tout « simplement » stocké les informations dans un second espace « cloud » caché que ZATAZ a pu retrouver. Ce second lieu affiche un « there is nothing » bien trompeur !

J’ai pu y constater la diffusion de centaines de documents volés à l’institution médicale du sud de la France. Des centaines de PDF ou fichiers Word. Des fiches de liaison paramédicale concernant des patients passés par les mains du CH d’Arles ; des certificats médicaux ; des noms, des adresses, des résumés d’hospitalisation, l’Identifiant Permanent du Patient (IPP) … Des données volées datées de 2019 au 21 août 2021.

Le pire reste à venir ?

Selon mes constatations, ils auraient en leur possession plus 53 510 documents de patients et d’hospitalisations attenantes ! Sans parler des données qu’ils n’ont pas encore révélées ! C’est d’ailleurs le cas qui m’inquiète le plus. Ce type de pirate est capable de toutes les nuisances !

Pour les patients, pas de numéro de sécurité sociale, ni d’adresse électronique constatés. Il n’en reste pas moins une perturbante fuite d’informations sensibles liée à la santé.

Pour les praticiens, en plus de leur identité complète, les signatures apposées sur les documents qu’ils ont pu parapher. Ils pourraient servir dans des actes d’usurpation d’identité et/ou de documents médicaux.

Bref, ces terroristes du web ont plusieurs sites et les exploitent !

Pendant ce temps, le FBI crame les pirates du OnePercent Group

Le FBI a diffusé sa toute première alerte concernant un « affilié de ransomware ». Un membre du OnePercent Group. Le Federal Bureau of Investigations des États-Unis a publié le mode opératoire de cet affilié totalement inconnu. Autant dire que le/les membres de ce OPG doit/doivent dormir en quatre murs.

Le FBI affichent des groupes pirates sous forme d’alerte avant d’annoncer, ensuite, les arrestations. Ils ont fait le coup pour Egregor et Netwalker 🙂

Comme j’ai pu vous le raconter en long et en large dans plusieurs articles, un affilié de ransomware fait référence à une personne ou à un groupe qui loue l’accès à un Ransomware-as-a-Service (RaaS). Sa mission d’affilié est d’opérer les intrusions dans les réseaux d’entreprises, de chiffrer les fichiers avec le « ransomware loué », puis gagnera une commission si l’extorsions arrive à son terme.

L’affaire « CONTI » et son affilié pas content démontre l’argent qui semble couler à flot dans ce milieu. Pour CONTI, je vous racontais comment les « parrains » versent un salaire mensuel aux affiliés, pour les motiver !

OnePercent Group était actif depuis novembre 2020. Pour être très honnête, personne dans le milieu du ransomware en avait entendu parler avant l’annonce du FBI. D’ailleurs l’agence n’indique pas si ce groupe est encore actif.

Action

Le groupe 1% utilisait des campagnes de phishing pour infiltrer les victimes avec le cheval de Troie IcedID. Il exploitait Cobalt Strike pour se déplacer latéralement sur le réseau d’une victime. Le logiciel RClone pour exfiltrer des données sensibles des serveurs infiltrés. Les victimes recevaient des appels téléphoniques ou des courriels pour les menacer. En cas de non paiement, vente de leurs données volées. Netwalker et Egregor utilisaient cette méthode !

Dans le cas de non paiement, ou pas suffisamment rapidement, le groupe divulguerait 1% des données volées en guise d’avertissement pour la victime. Le paiement se faisait en Bitcoin. A noter que l’adresse proposée par le FBI du portefeuille des pirates est bien vide !

Les données étaient proposées à la vente sur le site ouvert à cet effet par REvil.

ZATAZ vous avez révélé en exclusivité cette création, en 2020. OnePercent aurait été un fournisseur de REvil, Maze et Egregor.