Le ransomware Hive est-il une menace pour le secteur de la santé ?

Cette semaine, la branche de cybersécurité HC3 du ministère américain de la santé a alerté d’une possible attaque du groupe de ransomware Hive. Les cybercriminels ont déjà piraté des centaines d'organisations depuis juin 2021. Hive vise aussi les organisations du secteur des soins de santé. Le collectif de pirates est décrit comme un groupe de ransomware exceptionnellement agressif et financièrement motivé, doté de capacités avancées.

Ce n'est pas la première fois qu'un organisme gouvernemental américain s'intéresse à Hive. En septembre dernier, le FBI a mis en garde contre ce collectif de hackers. HC3 (Health Sector Cybersecurity Coordination Center) déclare : « Pour se défendre contre Hive, ou toute autre variante de ransomware, il existe des procédures standard qui doivent être suivies. La prévention est toujours l'approche optimale. » Selon les analystes de HC3, les pirates utilisent de nombreuses tactiques sophistiquées, des techniques et procédures uniques qui ne ressemblent en rien aux autres cybercriminels. Hive recherche dans les systèmes de santé les applications et les processus qui sauvegardent les données sensibles. Les pirates suppriment ensuite les dossiers cachés, les fichiers de sauvegarde et les instantanés du système de la victime.

Attaque par ransomware Hive

Le HC3 décrit les caractéristiques opérationnelles de Hive dans une note d'analyste. Ils y dévoilent la double extorsion, ou encore le vol de données avant le cryptage. Les pirates chiffrent les données volées, caractérisées par des fichiers se terminant par une extension .hive, .key.hive ou .key. Hive utilise le langage de programmation Go (Golang) pour développer des logiciels malveillants et des ransomwares.

Comme d'autres pirates, ils collaborent avec des intermédiaires qui sont autorisés à utiliser le ransomware. Ils les rémunèrent afin de mener des attaques de piratage contre les organismes de santé eux-mêmes. Les pirates font ensuite une copie des données capturées et laissent un lien sur le système. Ce lien renvoie à un site web sur lequel les pirates communiquent avec les victimes du piratage. Des négociateurs menacent ensuite les victimes de divulguer les données si une rançon n'est pas payée. Certains groupes de ransomware utilisent une triple technique d'extorsion. Si les négociations échouent, ils menacent de lancer une attaque DDoS sur l'infrastructure ou le réseau de l'organisation.

Mesures pour le secteur de la santé

Les experts en sécurité déconseillent de payer une rançon à des groupes tels que Hive. Et cela malgré les dilemmes auxquels sont confrontés les organismes de santé. Ils travaillent avec des systèmes dont dépendent les patients. Une attaque informatique pourrait potentiellement coûter des vies. En outre, les hôpitaux disposent de données sensibles en matière de confidentialité qui ne doivent absolument pas être divulguées.

HC3 conseille aux organisations de soins de santé de suivre un protocole de sécurité strict. À savoir :

• D'utiliser une authentification à deux facteurs,
• Des sauvegardes de données suffisantes,
• Des mots de passe forts,
• Une surveillance continue des systèmes de sécurité,
• D’utiliser des logiciels de gestion des vulnérabilités et la sécurité des points.

Ils recommandent également d'appliquer la règle de sauvegarde des données 3-2-1. Cela signifie qu'une organisation de soins de santé devrait avoir des sauvegardes de ses données sensibles à trois endroits différents. L'un des sites est hors ligne et les deux autres sur une plateforme en ligne sécurisée. Enfin, ils conseillent d'imiter une attaque informatique et de localiser où se situent les faiblesses de l'organisation.

La ruche des victimes

Le nombre de victimes dont les données ont été divulguées sur le dark web a augmenté de 85 % dans le monde en 2021. 2 566 organisations sont concernées. En moyenne, une rançon de 300 000 dollars a été réglée par les organisations piratées. La majorité des victimes sont originaires d'Amérique du Nord. Environ trois organisations sur dix se trouvent en Europe.

Hive est désormais reconnu comme l'une des plus grandes menaces de ransomware dans le secteur des soins de santé. En août dernier, ils ont mené une attaque contre le Memorial Health System dans l'État américain de l'Illinois. Cela a entraîné un vol de données à grande échelle et a affecté environ 215 000 patients. Ce piratage a été suivi en septembre par une cyberattaque contre le Missouri Delta Medical Center.

Le mois dernier, Hive a revendiqué la responsabilité du vol de 850 000 fichiers en ligne de l'organisme de santé Partnership HealthPlan of California. Les dossiers contenaient des informations permettant d'identifier personnellement les patients, telles que les noms, adresses, dates de naissance et numéros de sécurité sociale. La semaine dernière, Hive a révélé certaines de ces informations sur un site Web spécialement créé sur le dark web.