Ransomware : après la cyberattaque, la surprenante communication de crise de HCRG

Le 20 février, une cyberattaque contre le groupe hospitalier britannique HCRG Care Group est revendiquée sur le site vitrine de l’enseigne de rançongiciel Medusa. Nos confrères du Register s’emparent de la nouvelle, soulignant que les mécréants disent disposer de près de 2,3 To de données volées et réclament 2 millions de dollars pour seulement les supprimer.

Sollicité par nos confrères, HCRG reconnaît « enquêter sur un incident de sécurité IT » et assure ne pas avoir « observé d’activité suspecte depuis la mise en œuvre de mesures de confinement immédiat ». Aucune date de survenue de l’incident n’est précisée.

De son côté, la BBC dit avoir entendu parler de problèmes informatiques chez HCRG depuis le 13 février. Et le groupe hospitalier de présenter ses excuses pour les patients dont les rendez-vous ont dû être reportés, tout en assurant à TechCrunch que ses « services continuent de fonctionner et reçoivent des patients en toute sécurité ».

Trois jours plus tard, chez SuspectFile, Marco De Felice a pu consulter un échantillon des données volées. Pour étayer ses propos, il en présente des aperçus, consciencieusement maquillés pour cacher les données personnelles. Il s’agit d’alerter sur l’étendue de la fuite de données : près de 3,6 millions de documents, copieusement assortis de données personnelles de patients, mais également d’employés (présents comme passés). Quelques milliers de collaborateurs du groupe apparaissent concernés. 

Et contrairement à ce que peuvent suggérer les déclarations publiques de HCRG, et leur interprétation par le Register, Medusa affirme à SuspectFile avoir chiffré des actifs IT de sa victime lors de son attaque. 

En fait, les cybercriminels avaient publié, sur leur site vitrine, 35 images visant à conforter leurs allégations. C’était le 18 février. Le 26 février, les cybercriminels de Medusa sont formels, auprès de SuspectFile : ils affirment avoir chiffré 50 To de données. 

Le média bien connu (spécialisé en cybersécurité) DataBreaches.net s’est – comme il le réalise régulièrement – fait l’écho de l’affaire et des publications de SuspectFile. Avec à la clé, une mauvaise surprise.

En fin de semaine dernière, notre confrère a ainsi reçu une lettre du cabinet britannique Pinsent Masons, accompagnée d’une injonction de la division King’s Bench de la Haute Cour de Justice d’Angleterre et du Pays de Galles. 

On y apprend que l’exfiltration de données de HCRG Care Group s’est étalée du 26 janvier au 12 février dernier. Mais surtout que le groupe demande de supprimer les deux articles publiés au sujet de l’attaque et des révélations de SuspectFile, leur reprochant de « contenir des descriptions et captures d’écran de certaines informations confidentielles » volées par les acteurs liés à l’enseigne Medusa. 

Problème, l’injonction en elle-même ne désigne pas nommément ceux qu’elle concerne. Et pour cause : elle a été émise après une audition sans que soient notifiées les personnes concernées. Et cela faute de connaître l’identité du ou des individus cherchant à faire chanter HCRG Care Group. Accessoirement, le texte de l’injonction précise que celle-ci ne concerne personne en dehors de la juridiction de la cour l’ayant prononcée. 

Maître Jason Criss, du cabinet Covington et Burling n’as pas manqué de répondre à Pinsent Masons en soulignant ces points pour motiver l’absence d’action en réponse de DataBreaches.net. Mais l’affaire n’en est pas restée là.

Pinsent Masons s’était également tourné vers l’entreprise auprès de laquelle avait été déposé le nom de domaine de DataBreaches.net, son registrar. Le 4 mars au matin, ce dernier lui a fait part de l’injonction reçue du cabinet et a menacé de bloquer le site Web. Maître Jason Criss est intervenu de nouveau et le registrar a clos l’incident.

Ce type d’approche de la couverture de cyberattaques et de leur revendication n’est ni nouveau ni isolé. D’aucuns pourraient l’appréhender comme une tentative d’intimidation, quand d’autres peuvent n’y voir qu’une approche maladroite animée par une méconnaissance du sujet global de la cyberextorsion et de sa couverture, notamment médiatique.

Il n’en reste pas moins que la préservation de la réputation d’une victime de cyberattaque est généralement facilitée par une communication complète, sincère et transparente.