Forte augmentation des attaques mondiales de ransomware dans les établissements de soins de santé

Les attaques de ransomware, au cours desquelles les pirates informatiques cryptent des fichiers informatiques et demandent une rançon, sont devenues monnaie courante. Au cours des deux dernières semaines, les consommateurs ont même été touchés de manière directe. Garmin, connu pour ses équipements GPS, podomètres et montres de sport, a dû fermer ses services numériques pendant près d'une semaine en raison d'une attaque de ransomware. La société de voyages américaine CWT, elle, a dû payer une rançon de 4,5 millions de dollars à des cybercriminels pour empêcher que des informations confidentielles sur ses clients ne soient divulguées. Et Regis Healthcare, l'une des plus grandes organisations australiennes de soins aux personnes âgées, a subi une attaque similaire de la part d'un groupe de pirates étrangers. Les hackers ont renforcé leur menace en publiant des informations médicales personnelles sur Internet. Les organisations de soins de santé sont-elles capables de faire face à cette nouvelle génération d'organisations hautement professionnelles de cybercriminalité?

L'Australian Cyber ​​Security Center (ACSC) a profité de l'incident survenu à Regis cette semaine pour signaler qu'il assistait à une ‘’augmentation significative’’ des cyberactivités malveillante dans le secteur des soins de santé de la part de cybercriminels agissant par motifs financiers et utilisant le ransomware ‘’Maze’’. Selon l’ACSC, les cybercriminels considèrent les soins aux personnes âgées et les soins de santé comme des cibles lucratives pour les attaques par ransomware. Cela est dû aux informations personnelles et médicales sensibles qu'ils contiennent et à la nécessité de disposer de ces informations pour les soins médicaux et la chirurgie. Toujours selon l’ACSC, une attaque par ransomware contre un hôpital ou un établissement de soins pour personnes âgées peut avoir un impact considérable.

Le ransomware "Maze" (et des logiciels similaires comme WastedLocker) est conçu pour verrouiller ou crypter les informations précieuses d'une organisation afin qu'elles ne puissent plus être utilisées. Les cybercriminels peuvent alors menacer de publier ces informations en ligne à moins qu'une rançon ne leur soit versée. Cette technique est particulièrement efficace dans les secteurs des soins aux personnes âgées et des soins de santé. En outre, les systèmes affectés sont également largement inutilisables.

Les ransomwares dans le secteur de la santé n’est pas une nouveauté

Le ransomware dans le secteur des soins de santé n’est pas un phénomène nouveau. "Les hôpitaux néerlandais sont vulnérables aux attaques de virus de ransomware" informait NOS en 2017 déjà. Au moins quinze hôpitaux néerlandais avaient subi des attaques de ransomware au cours des trois années précédentes. Dans un hôpital en particulier, ce sont 75 ordinateurs qui ont été infectés, révélait NOS à l'époque après avoir visiter vingt-cinq hôpitaux.

Depuis, les méthodes des cybercriminels sont devenues plus dangereuses. L'exploitation des ransomwares est devenue une industrie hautement professionnelle et souterraine, pour laquelle les criminels peuvent acquérir les outils nécessaires, comme un service cloud, auprès de gangs spécialisés, de la même manière qu’on peut acheter Dropbox ou de la comptabilité dans le cloud. Des organisations telles que Russian Evil Corp développent des logiciels de piratage ultra-sophistiqués et ciblent de plus en plus les grandes entreprises cotées en bourse qui ont les poches bien pourvues. Quelle que soit la qualité de leur cybersécurité, il suffit d'un seul maillon faible pour permettre aux pirates de pénétrer dans le réseau.

Le prince nigérian, c’est du passé!

Les attaques par ransomware exploitent des vulnérabilités connues ou inconnues des réseaux informatiques, que les données soient stockées dans l'organisation elle-même ou dans le cloud. Par exemple, si un logiciel n'est pas à jour, les pirates peuvent utiliser des bogues connus pour accéder à d'autres systèmes du réseau ou du cloud, par exemple depuis un PC ou un smartphone. Les attaques de phishing, dans lesquelles les utilisateurs cliquent sur une pièce jointe ou sur un lien dans un e-mail, sont désormais si bien préparées que même les professionnels de l'informatique qui devraient être mieux informés tombent dans le piège. De telles attaques n’ont plus rien à voir avec ces e-mails désuets de prince nigérian vous promettant de l'argent.

Organisations internationales dans le collimateur du FBI et d'Interpol

Pour certaines méthodes d'attaque, l’utilisateur n'a même plus à cliquer sur un lien pour être infecté. Les attaques de grande envergure de ransomware sont généralement méticuleusement pensées et impliquent des mois de préparation, au cours desquels le réseau est lentement exploré et infecté sans que les criminels n’apparaissent sur le radar. Ce ne sont pas des coups à la va vite, mais des opérations soigneusement préparées. Les attaquants n'utilisent pas non plus une seule technique pour s’introduire, mais exploitent diverses vulnérabilités dans le réseau ou le cloud de l’entreprise.

Interpol: catalyseur COVID-19 pour les ransomwares dans le secteur de la santé

Dans une nouvelle publication parue cette semaine, l'organisation internationale de police Interpol a révélé que depuis le COVID-19, les victimes de la cybercriminalité sont passées des particuliers et des petites entreprises aux grandes entreprises, aux gouvernements et aux infrastructures critiques. De nombreuses organisations et entreprises ont dû rapidement déployer des systèmes et des réseaux externes pour soutenir les travailleurs à distance, et ce faisant, elles ont également permis aux criminels de profiter des vulnérabilités accrues en matière de sécurité pour voler ou crypter des données, a déclaré Interpol.

En particulier, les vulnérabilités des logiciels de réseau utilisés dans le monde entier, comme Citrix, sont immédiatement exploitées par les pirates, qui profitent du fait que les services informatiques négligent d’installer les dernières versions. "Les cybercriminels développent leurs attaques à un rythme alarmant, en exploitant la peur et l'incertitude causées par la situation sociale et économique instable créée par le COVID-19", conclut Jürgen Stock, Secrétaire général d'Interpol.

Payer ou pas?

Interpol note également que le secteur de la santé est plus fréquemment visé. Les enquêtes menées par les membres d'Interpol montrent que la majorité des attaquants ont estimé avec précision le montant de la rançon qu'ils pouvaient exiger des organisations. Les écoles, les gouvernements et les hôpitaux qui ont été complétement verrouillés numériquement ne paieront pas 10 millions, mais en pratique, ils sont prêts à payer des dizaines de milliers ou des centaines de milliers de dollars (en Bitcoins anonymes) pour pouvoir rouvrir, surtout lorsqu'ils sont assurés.

Le conseil habituel des gouvernements et des forces de l'ordre est de ne jamais accepter le paiement d’une rançon. Mais selon une enquête récente de la société de sécurité Sophos, un tiers en moyenne de toutes les organisations touchées dans le monde paient bien une rançon. Un quart de ces entreprises récupèreront également leurs données de cette manière, mais toutes celles qui sont touchées doivent faire face à des coûts importants pour restaurer et sécuriser leur réseau, qu’elles aient payé une rançon ou non. En fait, les organisations qui paient une rançon ont des coûts moyens par incident beaucoup plus élevés, conclut le rapport sur la base des réponses de 5.000 répondants. Non seulement elles paient une rançon, mais elles doivent  aussi assumer tous les frais supplémentaires pour réparer les dégâts et prendre de nouvelles mesures. Il y a beaucoup de variations entre les pays, mais en moyenne, les dommages causés par une attaque de ransomware sont supérieurs à 750000 dollars, selon Sophos.

Le back-up fonctionne, mais pour combien de temps encore?

Une méthode efficace pour limiter les dommages consiste à utiliser des back-ups. Les organisations qui sauvegardent régulièrement leurs données et conservent les fichiers hors ligne et hors site (c'est-à-dire non accessibles de quelque manière que ce soit par le réseau public) peuvent récupérer les données cryptées par des pirates. Cela semble bien fonctionner par rapport au poids de toutes les attaques. Certains pirates tentent également de supprimer ou de saboter les back-ups pour rendre plus difficile pour les victimes la récupération des données et pour augmenter la pression. Pour remédier à ce problème, il faut conserver les sauvegardes hors ligne. La question est de savoir combien de temps cela va pouvoir durer.

Selon Lieuwe Jan Koning, directeur technique du spécialiste de la cybersécurité ON2IT, nous avons affaire à un jeu du chat et de la souris technologique permanent entre des organisations criminelles bien organisées et des fournisseurs de sécurité. Une bonne hygiène de sauvegarde reste une mesure efficace. Toutefois, Mr. Koning n'exclut pas la possibilité que des hackers travaillent déjà sur une nouvelle génération de techniques dans lesquelles le cryptage est déjà présent dans la sauvegarde de manière invisible et dormante, même s'il espère que cette évolution sera longue à aboutir.

Prévention: pas de la haute voltige mais plutôt de la discipline

Il insiste particulièrement sur l'importance de la prévention par l'application correcte des techniques connues telles que le contrôle de la version des logiciels, l'authentification à deux facteurs, le cryptage, la gestion des mots de passe et la division des réseaux en segments plus petits qui sont sécurisés séparément. De cette façon, une fois à l'intérieur, un intrus ne peut pas accéder directement à tous les autres systèmes et on augmente les chances de détecter une activité suspecte.

Mais comme dit précédemment, une petite erreur suffit aux pirates pour frapper. En principe, ils disposent d’un temps infini et leur logiciel de piratage automatisé peut tirer parti d'une infime fuite dans le système d'un hôpital ou d'une autre organisation de soins de santé presque en temps réel. Les organismes de santé et leurs régulateurs feraient bien - même s'ils suivent tous les conseils des responsables de la cybersécurité - de se préparer à un scénario dans lequel des systèmes importants seraient verrouillés par un ransomware. Cela ne diminuera pas la gravité de la crise à ce moment-là, mais peut-être bien la panique que cela ne manquera pas d’engendrer. Une organisation de soins de santé qui ne dispose pas d’un plan d'urgence pour une attaque ciblée par ransomware est tout simplement dans le déni de la réalité.