Posté le octobre 29, 2020 à 11:04

UNE CYBERMENACE RÉELLE ET IMMINENTE SUR LES HÔPITAUX AMÉRICAINS, METTENT EN GARDE LE HHS, LE DHS ET LE FBI

Un groupe de cybercriminels russe connu pour attaques par logiciel de rançon prévoit de cibler des centaines de cliniques, d’hôpitaux et d’établissements de soins médicaux américains.

Le plan consiste à perturber les systèmes informatiques de ces établissements. Le département américain de la sécurité intérieure et le FBI ont organisé à la hâte une conférence téléphonique aujourd’hui, en s’adressant aux dirigeants du secteur de la santé. Lors de cette conférence téléphonique, ces organismes ont mis en garde contre une imminente menace de cybercriminalité, visant les prestataires de soins de santé et les hôpitaux basés aux États-Unis.

Une importante menace potentielle

Les agences présentes lors de la conférence téléphonique, dont celle du ministère américain de la santé et des services sociaux (HHS), ont averti ces cadres médicaux qu’ils avaient obtenu des informations crédibles. Ces informations mettaient en garde contre une menace imminente et accrue de cybercriminalité contre tous les établissements de santé américains.

Les agences ont déclaré que la motivation derrière le partage de ces informations était de s’assurer que les prestataires de soins de santé sont capables de prendre les précautions raisonnables et opportunes nécessaires pour protéger leurs réseaux respectifs contre de telles menaces.

Ryuk se prépare à l’attaque

L’avertissement lui-même survient moins de deux jours après que KrebsOnSecurity ait reçu un conseil d’un certain Alex Holden, le fondateur de Hold Security, une société de cyber-intelligence basée à Milwaukee. Holden a dit à Krebs qu’il avait eu accès à des communications en ligne cette semaine.

Selon ces communications, des cybercriminels affiliés au groupe russophone Ryuk ont discuté de plans visant à déployer des logiciels de rançon dans 400 établissements de santé basés aux États-Unis.

L’un des participants à la conférence téléphonique a déclaré aujourd’hui que les agences avaient offert très peu de renseignements concrets sur la manière dont les organismes de soins de santé pourraient mieux se protéger contre cette attaque potentielle de Ryuk.

Incapacité à fournir des détails

Le participant a souligné que les agences ne partageaient aucune forme d’indicateurs de compromis (IoCs), se contentant d’avertir qu’elles devaient corriger leurs systèmes et garder un œil sur toute activité suspecte. Cela pourrait suggérer que les agences ne savent pas encore très bien comment l’attaque sera façonnée.

D’autres intervenants ont souligné que les hôpitaux déjà infiltrés par Ryuk n’auraient pas besoin de recourir aux indicateurs de compromission pour commencer. Cela s’explique par le fait que l’infrastructure des logiciels malveillants de Ryuk tend à être unique pour chaque victime.

Cela peut être n’importe quoi, d’un fichier exécutable Microsoft Windows qui est déposé sur les hôtes infectés à ce que l’on appelle des « serveurs de commande et de contrôle », jusqu’à la transmission de données entre et parmi les différents systèmes compromis.

Malgré cela, Mandiant, la société spécialisée dans la riposte aux incidents de cybersécurité, a publié aujourd’hui une liste d’adresses et de domaines Internet. Ces adresses et domaines avaient été utilisés par Ryuk lors d’attaques précédentes, de 2020 à aujourd’hui. Pour Mandiant, le groupe est désigné sous le nom de classification d’acteur « UNC1878 » et a récemment diffusé un webcast détaillant les dernières tactiques déployées par Ryuk.

Les opinions des grands acteurs

Charles Carmakal est le premier vice-président de Mandiant, qui a déclaré publiquement à Reuters à quel point les acteurs malveillants de Ryuk sont sans cœur, effrontés et perturbateurs. Carmakal a observé ces acteurs tout au long de sa carrière, et a souligné que de nombreux hôpitaux ont été gravement touchés par les logiciels de rançon de Ryuk, leurs réseaux étant complètement hors ligne.

Un vétéran de l’industrie de la santé, qui a choisi de rester anonyme, a parlé à Krebs à ce sujet. Selon ce vétéran, si un si grand nombre d’établissements médicaux sont en danger, cela signifie qu’il ne s’agit pas seulement d’un seul groupe d’hôpitaux compromis.

Au contraire, l’ancien combattant a suggéré qu’un fournisseur de dossiers médicaux électroniques, intégrant de nombreux établissements de soins, pourrait être le maillon faible dans cette affaire.

Ces derniers jours, une poignée d’hôpitaux a été confrontée à des attaques de logiciels de rançon. Jusqu’à présent, cependant, il n’y a pas eu d’attaque catastrophique impliquant des centaines d’établissements de soins.

Avec un peu de chance, les mesures nécessaires pourront être prises pour minimiser les risques encourus par le système de santé américain. Tout groupe de hackers organisé est dangereux, mais la portée de cette attaque est considérable.