Depuis que son unité Change Healthcare a été violée le 21 février par un groupe de pirates informatiques appelé ALPHV, également connu sous le nom de "BlackCat", UnitedHealth a déclaré qu'elle s'efforçait de rétablir les canaux touchés et que certains de ses systèmes revenaient à la normale. Bien qu'elle n'ait pas fourni de calendrier pour un rétablissement complet, les analystes en cybersécurité estiment que ce délai est probablement assez long.

"L'ampleur des perturbations suggère qu'ils n'ont pas de systèmes alternatifs prêts à l'emploi", a déclaré Chester Wisniewski, directeur de la société de cybersécurité Sophos. "Cela fait 13 ou 14 jours, et c'est déjà plus long que ce à quoi je m'attendais pour que les systèmes de sauvegarde soient mis en route.

Change traite environ 50 % des demandes de remboursement de frais médicaux aux États-Unis pour quelque 900 000 médecins, 33 000 pharmacies, 5 500 hôpitaux et 600 laboratoires. Environ un dossier de patient américain sur trois est touché par ses offres de technologie de santé, ce qui en fait une cible attrayante pour les pirates informatiques qui cherchent à accéder à un large éventail de données de santé.

Les clients directement concernés peuvent voir une solution plus rapidement, "mais en arrière-plan, cela prend quelques mois, voire plus d'un an", a déclaré M. Wisniewski, qui suit ce type de violation depuis plus de 20 ans.

Un porte-parole de UnitedHealth a déclaré que l'entreprise se concentrait sur l'enquête relative au piratage et sur le rétablissement des activités de Change Healthcare.

Les autorités américaines sont intervenues pour aider à limiter le chaos découlant de la violation, qui a particulièrement touché les petits prestataires de soins médicaux, nombre d'entre eux ayant du mal à traiter les paiements.

L'année dernière, des violations similaires ont touché la société de jeux MGM Resorts International et l'entreprise de produits de consommation Clorox pendant des mois, coûtant à MGM au moins 100 millions de dollars de dommages et à Clorox une baisse de plus de 350 millions de dollars de son chiffre d'affaires trimestriel net.

"Le retour à la normale peut prendre plusieurs mois", a déclaré Brett Callow, analyste canadien spécialisé dans les ransomwares à la société de cybersécurité Emsisoft.

UnitedHealth n'a pas indiqué si ALPHV avait demandé une rançon, mais un message publié sur un forum en ligne sur la cybercriminalité affirme que la société a versé 22 millions de dollars aux pirates pour avoir récupéré l'accès à ses systèmes verrouillés et à environ 8 téraoctets, ou 8 millions de mégaoctets, de données qui auraient été volées.

Un tel décryptage peut prendre "un temps déraisonnable, en fonction de la taille des fichiers et des systèmes en question", a déclaré Kurtis Minder, cofondateur de la société de cyberespionnage GroupSense.

M. Minder, qui a aidé des organisations victimes à négocier avec l'ALPHV, a déclaré que les délais de récupération allaient de quelques semaines à "beaucoup plus longtemps".

L'ALPHV n'a pas répondu aux demandes de commentaires. Le FBI, qui enquête généralement sur ce type d'affaires, s'est refusé à tout commentaire sur le piratage.

ATTAQUES DE VENGEANCE

Des mois avant que l'ALPHV ne procède à son piratage le plus perturbateur, elle s'en prenait aux hôpitaux et aux petits prestataires de soins de santé.

M. Minder a déclaré qu'il avait aidé plusieurs entreprises, dont une clinique ophtalmologique qui avait été la cible de l'ALPHV l'année dernière, à négocier avec les pirates.

"Parmi les groupes de ransomware auxquels nous avons eu affaire, ALPHV a été l'un des plus antagonistes ou des plus difficiles à traiter", a déclaré M. Minder, ajoutant que le gang était particulièrement tenace à l'égard de ses cibles et obstiné à négocier les rançons.

Actif depuis au moins 2021, le gang de cybercriminels russophones ALPHV fournit ses propres logiciels malveillants et infrastructures à d'autres groupes de pirates informatiques, et était la deuxième entité de "ransomware-as-a-service" la plus prolifique au monde jusqu'à ce que le FBI interrompe ses opérations en décembre.

Le FBI a déclaré à l'époque qu'il avait saisi de nombreux sites web de l'ALPHV et qu'il avait réussi à pénétrer dans son réseau informatique. Le piratage de Change a soulevé des questions sur l'efficacité réelle des actions de l'agence.

En réponse au démantèlement du FBI, l'administrateur de l'ALPHV a demandé à ses "affiliés" pirates de cibler les hôpitaux, selon un avis de l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) concernant le groupe, publié la semaine dernière.

Sur les quelque 70 victimes connues de l'ALPHV depuis la mi-décembre, la plupart travaillaient dans le secteur de la santé, selon la CISA.

Certains signes indiquent que l'ALPHV pourrait se tenir tranquille pendant un certain temps. Après le piratage de Change Healthcare, le gang a disparu.

Mais il est courant pour de tels groupes de se rebaptiser et de se ressusciter, selon les analystes.

"Pour vraiment perturber ces gens, il faudrait les arrêter", a déclaré M. Minder. De telles arrestations sont difficiles, a-t-il ajouté, étant donné que ces gangs sont souvent basés dans des pays avec lesquels les États-Unis n'ont pas conclu de traité d'extradition.