[Monde] Le rôle prépondérant des rançongiciels dans la menace envers les acteurs de santé.

Alors que la pandémie de COVID-19 continue d'exercer une pression sans précédent sur l'ensemble des infrastructures de santé, les attaques envers ces établissements sont en forte hausse. L’entreprise Tenable a émis un rapport décrivant les principales actions malveillantes dont les établissements de santé ont été victimes à travers le monde. 

L'équipe Security Response Team (SRT) de Tenable a recensé plus de 200 violations dans le secteur de la santé au cours de l'année civile 2020. Et l'activité semble devoir se poursuivre sans relâche en 2021, avec plus de 50 fuites de données déjà répertoriées au 28 février. Les compromissions de systèmes informatiques sont depuis longtemps une activité rentable. 

Dans ces compromissions, les rançongiciels sont à l'origine de plus de 50 % des attaques suivi de la compromission du courrier électronique ou l’hameçonnage (plus de 20%). 

Dans certains cas, les compromissions ne résultent pas d'une action directe visant l’établissement de santé, mais sont la conséquence de la compromission d’un tiers. Les attaquants exploitent le système informatique des fournisseurs afin de voler des données de santé stockées ou bien d’obtenir un accès aux systèmes de ses clients. 

En terme de type de rançongiciel affectant le secteur de la santé, le maliciel Ryuk arrive en tête des violations suivi de Maze, Conti et REvil/Sodinokibi. 

Les groupes de rançongiciel ont tendance à privilégier certains vecteurs d'attaque, à tel point qu'ils ont leurs propres empreintes numériques. Certains sont connus pour exploiter les vulnérabilités, tandis que d'autres utilisent l’hameçonnage ou le courrier électronique pour s’introduire dans le système de la victime avant de déposer un logiciel malveillant et déployer le rançongiciel. 

Le rançongiciel Ryuk est par exemple connu pour exploiter un certain nombre de vulnérabilités, notamment celles associées à Microsoft Server Message Block (SMB) ou encore la vulnérabilité CVE-2020-1472. Cette vulnérabilité, également appelée "Zerologon", cible une faille dans Netlogon qui peut permettre à un attaquant de détourner un contrôleur de domaine Windows. Cette vulnérabilité est considérée comme une des vulnérabilités les plus exploitées de 2020 à tel point que Microsoft a déployé un deuxième correctif spécifique en février 2021 afin d'activer le mode d'application par défaut. 

Le groupe d’attaquant Maze, avant de se retirer définitivement en Novembre 2020, était responsable d'un certain nombre d'attaques. Ils exploitaient notamment la CVE-2019-19781, une vulnérabilité dans Citrix Application Delivery Controller (ADC) et la CVE-2019-11510, une vulnérabilité dans Pulse Connect Secure SSL VPN. Ces deux vulnérabilités ont été parmi les plus exploitées en 2020 malgré leur divulgation en 2019, les acteurs de la menace continuant de cibler les vulnérabilités non corrigées. 

 

Pour rappel, une fiche a été publiée sur ce portail concernant les actions de prévention liée aux attaques par maliciels : 

https://www.cyberveille-sante.gouv.fr/sites/default/files/documents/fiches-reflexes/Fiche_Maliciel_P_RSSI.pdf