En bref

  • Le groupe Anubis revendique le vol de 2 To de données à Signature Healthcare (Massachusetts).
  • Incident détecté le 6 avril 2026, urgences déroutées, DME hors ligne pendant deux semaines.
  • Anubis dispose d'un mode "wipe" qui efface définitivement les fichiers si la rançon n'est pas payée.

Les faits

Signature Healthcare, qui opère le Brockton Hospital (Massachusetts), a détecté un incident cyber le 6 avril 2026. Le 9 avril, le groupe ransomware-as-a-service Anubis a revendiqué l'attaque, affirmant avoir exfiltré environ 2 téraoctets de données incluant des informations patients sensibles. Le groupe indique ne pas avoir chiffré les systèmes, se limitant à l'extorsion par menace de divulgation. Source : HIPAA Journal, DataBreaches.net, Trend Micro.

Les urgences ont été placées en "divert" pendant plusieurs jours, les ambulances réorientées vers d'autres établissements. Le dossier médical électronique a été déconnecté, les perfusions de chimiothérapie au Greene Cancer Center annulées le 7 avril, le portail patient rendu indisponible et la délivrance de prescriptions interrompue. Signature Healthcare annonce que les procédures de fonctionnement dégradé se poursuivront au moins deux semaines.

Impact et exposition

Anubis est actif depuis décembre 2024 et a été qualifié par Trend Micro en juin 2025 de "groupe RaaS émergent ajoutant une dimension destructrice au modèle de double extorsion classique". Sa particularité : un mode optionnel "wipe" qui efface définitivement les fichiers si la victime ne paie pas. Cette capacité transforme le calcul de risque : il ne s'agit plus seulement de fuite de données, mais d'une menace de destruction irréversible. Les établissements de santé américains restent la cible prioritaire en 2026 du fait de la tolérance faible à l'arrêt opérationnel et des données patient monétisables sur les marchés clandestins.

Recommandations

  • Auditer l'exposition externe : VPN SSL, RDP ouvert, interfaces de gestion de l'EHR accessibles depuis Internet.
  • Segmenter strictement les systèmes hospitaliers critiques (DME, PACS, monitoring) du réseau bureautique.
  • Sauvegarder en 3-2-1 avec copies immuables hors-ligne, tester mensuellement la restauration.
  • Déployer un EDR avec détection comportementale sur les postes administratifs et les serveurs de fichiers.
  • Préparer un plan de continuité "mode dégradé papier" avec exercices semestriels sur les services critiques.

Alerte critique

Le mode wipe d'Anubis rend les sauvegardes immuables non négociables. Une restauration en 48 heures depuis des backups hors-ligne est aujourd'hui le seul rempart crédible contre la destruction définitive.

Comment Anubis se distingue-t-il des autres opérations RaaS ?

Contrairement aux opérations classiques de double extorsion qui chiffrent les données pour forcer la négociation, Anubis propose à ses affiliés un mode wipe qui efface définitivement les fichiers. Cette option transforme l'attaque en menace existentielle pour la victime, qui ne peut plus espérer récupérer ses données même via outil de déchiffrement ou clé récupérée.

Que faire si mon établissement de santé est compromis par Anubis ?

Activer immédiatement le plan de continuité mode papier, isoler les segments réseau non touchés, préserver les logs (ne pas redémarrer), contacter le CERT Santé et les forces de l'ordre. Ne pas payer tant que les sauvegardes hors-ligne n'ont pas été vérifiées intégralement. Engager un spécialiste DFIR habitué au RaaS santé pour coordonner la réponse.

Voir aussi notre article sur les premières 24 heures critiques d'une réponse à ransomware, ainsi que notre analyse du risque systémique des SaaS santé.

Votre établissement de santé est-il prêt ?

Ayi NEDJIMI accompagne les hôpitaux et cliniques dans l'évaluation de leur exposition ransomware et la préparation de plans de continuité réalistes en mode dégradé.

Demander un audit