La chasse aux cybercriminels, qui ont attaqué deux centres hospitaliers français, Dax et Villefranche-sur-Saône, sera longue et semée d'impasses. Mais la traque va s'accélérer pour les neutraliser. "Nous ne connaissons pas l'origine exacte des attaques de Dax et de Villefranche-sur-Saône, qui sont très vraisemblablement des attaques, qui ont été conduites par des cybercriminels avec des fins qui sont lucratives", souligne l'Élysée avant la présentation par Emmanuel Macron ce jeudi de l'accélération de la stratégie nationale en matière de cybersécurité dans le cadre d'un plan de l'ordre de 1 milliard d'euros. Une chose est sûre les deux attaques ont suivi "un mode opératoire qui est identique avec le recours à un rançongiciel dont le petit nom est Ryuk", observé pour la première fois en août 2018.
Selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI), "en octobre 2020, Ryuk serait responsable de 75% des attaques sur le secteur de la santé, secteur qu'il attaquerait depuis le premier semestre 2019". Ce rançongiciel serait vendu comme un "toolkit" (boite à outils) à des groupes d'attaquants. ce qui pourrait expliquer son activité intense. "Ryuk demeure un rançongiciel particulièrement actif au cours du second semestre 2020, a relevé dans une note en novembre 2020 l'ANSSI. En outre, Ryuk "se distingue de la majorité des autres rançongiciels par le fait qu'au moins l'un de ses opérateurs a attaqué des hôpitaux en période de pandémie", a-t-elle assuré. Contrairement à certains des cyberattaquants les plus connus qui avaient officiellement annoncé qu'ils ne s'en prendraient plus aux établissements hospitaliers durant la crise sanitaire.