Le crypto-ransomware, une menace qui cible le secteur des soins de santé

Info SnippetAlors que plusieurs acteurs des soins de santé ont été la cible de malware de type crypto-ransomware, nombreux sont ceux qui nous ont interrogés sur les dernières tendances que nous avons observées sur cette menace. Le ransomware n’a rien de nouveau puisqu’il s’agit d’une variante du malware Fake-AV. Ce qui est nouveau, en revanche, c’est sa généralisation compte tenu d’une réelle simplicité à l’utiliser. À noter que le crypto-ransomware chiffre les fichiers des entreprises qu’il infecte, ce qui le rend d’autant plus nuisible.

Nos chercheurs ont observé une accélération de cette menace. En fait, Raimund Genes, le
CTO de Trend Micro, avait tablé sur une prolifération de cettemenace pour 2016, et cette prédiction semble aujourd’hui se confirmer, dès les deux premiers mois de l’année.

Plusieurs éléments expliquent cet état des lieux :

  • Les gains potentiels pour les cybercriminels sont extrêmement élevés,
  • Les taux d’infection progressent compte tenu de techniques d’ingénierie sociale qui se sont améliorées,
  • Les auteurs de ces attaques sont très compétents, bien financés et disséminés dans le monde,
  • Les acteurs des soins de santé utilisent des systèmes critiques qui ne peuvent pas être mis hors ligne.

Tous ces facteurs se sont conjugués pour favoriser un regain du nombre d’attaques liées au ransomware, la tendance étant particulièrement visible au cours de ces derniers mois. Le succès des crypto-ransomware a été analysé par nos équipes mondiales de veille sur les menaces, et les informations sont disponibles au sein de Trend Micro™ Smart Protection Network™. Depuis 2013, le pourcentage de détections observé a radicalement changé pour passer du ratio ransomware tradictionnel / crypto-ransomware de 80/20, à 20/80 aujourd’hui.

Doc3

Le chiffrement des fichiers critiques qu’assure crypto-ransomware au sein des systèmes ou dispositifs de stockage partagés permet aux cybercriminels de tenir les organisations victimes en otage et de leur extorquer des fonds. Les acteurs des soins de santé détiennent des données extrêmement précieuses (informations personnelles et identifiables de patients) et gèrent des systèmes critiques : toute indisponibilité des systèmes et services aboutit à un impact majeur. Les cybercriminels réalisent qu’ils peuvent exiger des rançons beaucoup plus élevées auprès des victimes. Cela a été le cas avec les récentes attaques contre le Hollywood Hospital et un acteur britannique de soins de santé. Voilà qui constitue est un véritable signal d’alarme pour le secteur des soins de santé, dont les organisations peuvent être victimes d’attaques ciblées ou, plus prosaïquement, des campagnes de masse basées sur un crypto-ransomware , observées à travers le monde, chaque jour. Toute indisponibilité système est lourde de conséquences pour les victimes.

Plus que jamais, les acteurs des soins de santé doivent s’engager sur plusieurs fronts afin de détecter et neutraliser la menace :

  • Sensibiliser les collaborateurs à l’identification d’emails malveillants (phishing). La majorité de ces attaques commence avec l’envoi d’emails d’ingénierie sociale aux collaborateurs. Ils contiennent souvent des pièces jointes piégées ou des liens malveillants. L’objectif ? Que l’utilisateur exécute la pièce jointe ou clique sur le lien, après avoir lu le contenu fortement incitatif de l’email.
  • Adopter des solutions évoluées de sécurité de la messagerie, comportant des technologies conçues pour détecter le phishing. Une technologie de sandbox est également nécessaire pour évaluer la nocuité des fichiers joints.
  • Privilégier des solutions de sécurité pour Endpoints disposant de technologies spécifiques aux crypto-ransomware (analyse comportementale notamment) pour identifier les processus de chiffrement et les neutraliser.
  • Les solutions de sécurité réseau sont essentiels : systèmes de détection ou de prévention d’intrusions IDS/IPS, ainsi que pare-feu qui identifient les communications Command & Control entrantes et sortantes (un élément clés du cycle de vie d’une menace).

Une robuste solution de back-up, pour des sauvegardes régulières qui accélèrent les opérations de restauration et minimise les temps d’indisponibilité.

Une analyse et une mise à jour des règles d’utilisation des systèmes de fichiers partagés, avec notamment des accès authentifiés.

Malheureusement, le paiement des rançons demandées par les cyber-criminels pour débloquer les dossiers piratés les encourage et les incite à poursuivre leurs activités. En tenant compte de ce fait, nous pouvons nous attendre à ce que les crypto-ransomware restent d’actualité, jusqu’à ce que la menace soit efficacement détectée et neutralisée et que les arrestations et les poursuites contre les auteurs de ces menaces soient plus nombreuses.

D’ici-là, Trend Micro continuera sa mission d’identification et de développement de nouvelles méthodes pour accompagner ses clients avec des solutions conçues pour accélérer la détection, la prise en charge et la restauration des menaces et de leurs conséquences.

Leave a Reply

Your email address will not be published. Required fields are marked *