Posté le avril 28, 2020 à 18:57
DES HACKERS ONT ATTAQUÉ EXECUPHARM ET PUBLIÉ DES DONNÉES SUR LE DARK WEB
Le mois dernier, une société pharmaceutique américaine, ExecuPharm, a fait l’objet d’une attaque par rançongiciel au cours de laquelle les hackers auraient endommagé ses serveurs.
Et récemment, les hackers ont publié les données qui ont été divulguées sur le dark web. D’après une lettre envoyée au procureur général par le cabinet médical, les données volées comprennent des numéros de passeport, de permis de conduire, des données financières, des numéros de sécurité sociale et d’autres informations précieuses.
Les rapports ont révélé que les hackers font partie du groupe de hackers qui utilise du rançongiciel nommé CLOP, et qu’ils ont publié une série de données, y compris des documents comptables, des données financières et des enregistrements de courriels sur le dark web.
D’autres groupes utilisant du rançongiciel comme Sodinokibi, Maze et DopplePaymer auraient été découverts en train de voler des données dans la base de données de l’entreprise. Le groupe a crypté les données et demandé une rançon. La plupart des groupes utilisant du rançongiciel choisissent de vendre les données volées si la victime ne se conforme pas à leur demande de rançon. C’est le modus operandi de la plupart des hackers utilisant du rançongiciel, y compris le groupe CLOP.
Cependant, les forces de l’ordre locales et fédérales ont été informées de cette évolution. ExecuPharm a également invité une équipe de sécurité tierce à enquêter sur la situation.
Les hackers prêtent une plus grande attention au secteur de la santé
Les hackers ont intensifié leurs efforts dans le secteur de la santé, ce qui peut être lié à l’environnement COVID-19 actuel où les travailleurs de la santé sont plus actifs pour aider à réduire la propagation de la pandémie.
Les cybercriminels ont profité de la situation et s’infiltrent maintenant dans les serveurs et les réseaux informatiques du secteur de la santé. Il y a eu récemment des attaques DDoS, des usurpations d’identité, ainsi que des attaques de logiciels de rançon dans le secteur de la santé.
Toutefois, de nombreux groupes utilisant du rançongiciel ont promis de ne pas attaquer les entreprises médicales qui contribuent directement à la lutte contre la pandémie. CLOP a également réitéré son souhait de laisser les établissements médicaux à l’écart pendant sa campagne de piratage par logiciel malveillant. Mais CLOP a déclaré que des entreprises comme ExecuPharm ne sont pas incluses dans l’exemption parce que ce sont elles qui tirent un immense profit de la pandémie.
Une bonne nouvelle au milieu de l’attaque par rançongiciel
Malgré l’environnement dans lequel l’attaque par rançongiciel a été à l’ordre du jour, il y a eu une évolution positive. Le groupe Shade a décidé d’abandonner ses activités de piratage. Le groupe a également libéré plus de 750 000 clés de décryptage pour permettre à ses victimes de déverrouiller leurs fichiers de base de données.
Kaspersky, une entreprise de cybersécurité populaire basée en Russie, a confirmé l’authenticité du cryptage. En conséquence, la société va créer un logiciel de cryptage gratuit dans les prochaines semaines.
Shade a été découvert pour la première fois en 2014, bien qu’on ne sache pas exactement quand le groupe a commencé ses activités. Le groupe est considéré comme l’un des plus anciens syndicats de piratage sur Internet. Cependant, le groupe a pris une décision majeure en décembre dernier de fermer son activité d’attaque par logiciel de rançon, et on ne sait pas exactement ce qui a motivé la décision de l’entreprise. Dans le cadre de cette décision, il a publié cette semaine les clés de cryptage des données en sa possession.
Cette méthode de piratage commune utilisée par de nombreux groupes crypte les fichiers des victimes pour les rendre difficiles à déverrouiller. Cette nouvelle technique a été utilisée à l’origine par un groupe de hackers fonctionnant avec du rançongiciel connu sous le nom de Maze. Depuis lors, plusieurs nouveaux groupes ont commencé à adopter cette méthode de cryptage des fichiers et d’exfiltration des données.
Un cadre de l’entreprise a confirmé l’incident et a déclaré que la firme médicale se penchait sur l’incident.
Les victimes ont été conseillées de ne pas payer la rançon
La méthode opérationnelle de CLOP est un peu différente et plus difficile à décrypter, contrairement à certaines autres souches d’attaque par rançongiciel. Lorsque l’université de Maastricht a été attaquée l’année dernière, elle a dû payer une rançon de 200 000 dollars pour décrypter ses centaines de serveurs. Mais le FBI a averti les organisations de ne pas payer de rançon pour leurs données compromises, ajoutant que cela ne ferait qu’augmenter le nombre de cyber-attaques.
Dans un billet de blog, l’agence a conseillé le public sur la meilleure façon d’éviter les attaques par logiciel de rançon.
La meilleure façon d’éviter d’être exposé à des logiciels de rançon… est d’être un utilisateur d’ordinateur prudent et consciencieux », a déclaré l’agence.