La mutuelle des soignants MNH paralysée par un rançongiciel

Un groupe de cybercriminels a revendiqué l’infiltration et le chiffrement des données de la mutuelle du personnel hospitalier. Ils exigent une importante rançon et les employés n’ont plus accès à leurs ordinateurs infectés.

Illustration. La cyberattaque vise la mutuelle des personnels soignants notamment de l'AP-HP.
Illustration. La cyberattaque vise la mutuelle des personnels soignants notamment de l'AP-HP. LP/Arnaud Journois

Ils ont assis leur sinistre réputation sur le ciblage du monde de la santé. Après avoir publiquement reconnu sur son site officiel être victime d’une cyberattaque depuis vendredi, la Mutuelle nationale des hospitaliers (MNH) a confirmé être la cible d’une opération d’extorsion par le groupe de ransomware RansomExx.

« Tout notre système informatique est coupé depuis la détection de l’attaque vendredi, nous travaillons jour et nuit avec une société spécialisée pour trouver et nettoyer les virus et voir l’étendue des dégâts », explique la mutuelle qui couvre notamment les personnels de l’AP-HP et les soignants en première ligne dans la lutte contre le Covid-19.

Les 700 employés de cette entreprise de Montargis (Loiret) n’ont plus accès à leurs postes de travail tant que l’état des lieux complet n’est pas terminé. Le traitement des dossiers sera donc fortement retardé et la plateforme téléphonique est aussi H.S.

Le vol de données non confirmé

Une demande de rançon a bien été reçue mais la MNH assure qu’« aucun vol de données n’est avéré jusqu’à présent ». En tant que grande mutuelle, des données personnelles précieuses de ses 600 000 adhérents, notamment des numéros de Sécurité sociale, transitent par ses services. La Cnil a été mise au courant d’une potentielle fuite de données, comme l’exige la législation.

Dans sa revendication de l’attaque sur le DarkWeb, le groupe RansomExx demande à négocier « uniquement avec la personne en charge de toute l’entreprise, sinon le montant de la rançon augmentera ». Les cyberattaquants stipulent aussi que la victime ne doit pas contacter la police. Selon nos informations, la MNH a bien porté plainte.

Actif depuis 2018, le rançongiciel Defray777 a connu un regain d’activité depuis juin 2020 après avoir changé de nom pour RansomExx ou RansomX.

« Ils ont vu récemment qu’il y avait des opportunités d’attaquer des cibles plus faciles qui n’ont pas déployé des antivirus sur des machines tournant sur Linux qui hébergent des données sensibles et donc avec une valeur marchande », analyse Grégory Cardiet, directeur technique de la société de cybersécurité Vectra AI.

Newsletter L'essentiel du matin
Un tour de l'actualité pour commencer la journée
Toutes les newsletters

Les attaquants s’en prennent désormais à de grosses structures comme les réseaux du gouvernement brésilien, les autorités de transports du Texas ou de Montréal et plusieurs administrations d’hôpitaux. Le logiciel RansomExx et le groupe derrière figurent d’ailleurs au top de la liste des suspects dans la cyberattaque contre l’hôpital de Dax.