Les cybercriminels ont-ils du cœur ? Loin d’être un sujet de philosophie, il semble que plusieurs groupes connus pour leur campagne de ransomwares aient décidé de signer une trêve pendant la pandémie de coronavirus. Cette bienveillance ne concernerait que les établissements médicaux et médico-sociaux (maison de retraite, centre de réadaptation, de rééducation, ...).

C’est en tout cas ce qui ressort des discussions que nos confrères de Bleepingcomputer ont eues avec certains acteurs. Parmi eux, il y a les tristement célèbres Maze, DoppelPaymer, Ryuk, Sodinokibi/REvil, PwndLocker et Ako. Le premier à réagir a été DoppelPaymer qui a indiqué « nous essayons toujours d’éviter les hôpitaux ou les maisons de retraites .... Si c’était le cas par erreur, nous déchiffrerons gratuitement les données ». Mais le groupe prévient qu’il « fera des vérifications si certaines entreprises essayent de se faire passer pour un établissement de santé ». Par contre, il ne semble pas avoir d’états d’âme à cibler les pharmacies « qui gagnent de l’argent sur la panique des gens ».

Maze publie un communiqué de presse

Le groupe opérant Maze a quant à lui publié un communiqué de presse en précisant, « nous arrêtons également toute activité contre toutes sortes d'organisations médicales jusqu'à la stabilisation de la situation avec le virus ». Par contre, rien n’est dit sur la disponibilité d’une solution de déchiffrement en cas d’infection « par erreur » d’un établissement de santé.

Depuis le début du passage en pandémie, des établissements de santé ont été victimes de ransomware. Un hôpital tchèque a été durement frappé le 14 mars dernier par un rançongiciel. Le ministère de la santé américain a été victime d’une attaque DDoS importante. Reste à savoir si la trêve annoncée par certains groupes de cybercriminels aura une réelle valeur et que les soins ne seront pas impactés. Ce n’est pas le moment !