[États-Unis] Le HC3 publie un bulletin sur la menace de 2022 et les attentes pour l’année à venir
Le 9 février, le Health Sector Cybersecurity Coordination Center (HC3) a publié un rapport sur les différents évènements liés à la cybersécurité ayant ponctué l’année 2022. Le rapport passe en revue les principaux groupes cybercriminels, malwares utilisés, vecteurs d’infections et s’achève par un ensemble de prévisions concernant la menace et recommandations pour l’année 2023.
Les premières pages du rapport commencent avec la mise en avant d’une étude publiée par JAMA Health (ayant fait l’objet d’un précédent bulletin du CERT Santé) concernant l’évolution des attaques par rançongiciel entre les années 2016 et 2021 : leur nombre étant en constante augmentation depuis 2015 et ayant doublé entre 2018 et 2021. L’année 2022 s’est ainsi ouverte dans ce contexte de forte évolution de la menace cyber.
Le bulletin présente également la menace d’origine cyber posée par les malwares au cours de l’année 2022 et se concentre sur Emotet et Trickbot, souvent utilisés lors du déploiement de rançongiciels. Emotet, ayant été moins actif en 2021, a été très utilisé en 2022 avec près de 1.3M d’infections entre janvier et septembre. Quant à Trickbot, ce malware a évolué au cours de l’année 2022 avec de nouvelles capacités d’infection et de furtivité.
Cette année a été marquée au niveau géopolitique par l’invasion de l’Ukraine en février 2022. Des conséquences importantes au niveau cyber en ont découlé avec de nombreuses vagues d’attaques DDOS contre des sites institutionnels ukrainiens et alliés, dues notamment à la montée en puissance du groupe hacktiviste pro-russe Killnet.
Le rapport évoque par ailleurs l’activité des rançongiciels en se concentrant sur Conti. 2022 a effectivement vu le démantèlement de cet important groupe cybercriminel par suite d’une dissension interne entre membres concernant le conflit russo-ukrainien et l’importante fuite d’informations qui en a découlé (Conti Leaks). Ce groupe, ayant extorqué $150M, s’est dissous et les membres ont rejoint d’autres groupes cybercriminels.
La vulnérabilité CVE-2021-44228, nommé Log4Shell, découverte en novembre 2021, demeurait être le vecteur d’attaque primaire pour les attaquants au début de l’année 2022. En mars 2022, elle a été exploitée à des fins de DDOS et de cryptominage.
Le rapport se conclut par diverses prévisions concernant 2023 : Les attaques rançongiciels vont continuer à viser le secteur de la santé et les méthodes d’infections ne cesseront d'évoluer. Cependant, les techniques ayant déjà fait leurs preuves telles que le phishing, les outils d’accès à distance, les vulnérabilités et les fournisseurs de services continueront d’être exploitées.
À titre informatif, l’ANS met à disposition des organisations de santé une fiche réflexe de gestion préventive du risque représenté par les rançongiciels.