Montée de la nouvelle version du Ransomware Knight dans les hôpitaux

Image in image block

Le monde s'alarme d' une série d'attaques par ransomware menées par Ransomhub. Au cours du seul mois d'avril, 26 attaques ont été signalées contre des hôpitaux et d'autres organisations telles que la maison de vente aux enchères Christie. Des hôpitaux londoniens ont dû interrompre des transfusions sanguines et des opérations chirurgicales en raison de ces attaques.

Qu'est-ce que Ransomhub ? Il s'agit d'une version actualisée du programme de Ransomware Knight. Début 2024, le code source de Knight a été mis en vente sur le dark web. Le nouveau propriétaire(ou peut-être le même) a amélioré le programme et le propose désormais en tant que Ransomware-as-a-Service (RaaS). Ce service attire activement les affiliés. De nombreux anciens utilisateurs de Lockbit passent à Ransomhub parce que les opérations de Lockbit ont récemment été fortement affectées par les forces de l'ordre. La personne qui se cache derrière Lockbit est toujours en liberté et active.

Le secteur de la santé sous le feu des critiques

Dans le passé, plusieurs opérations RaaS ont déclaré que les attaques contre le secteur de la santé étaient inacceptables, en particulier pendant la pandémie. Cependant, récemment, Ransomhub a ciblé des établissements de santé et leurs fournisseurs.

Double extorsion: Outre le modèle économique traditionnel du Ransomware, qui consiste à exiger une rançon pour rétablir l'accès aux données chiffrées, les criminels utilisent désormais la méthode de la "double extorsion". Ils volent d'abord des données et menacent ensuite de les vendre ou de les rendre publiques.

Plus rapide qu'avant: La croissance et le développement rapides de ce nouveau service RaaS laissent penser que Ransomhub jouera un rôle important dans le monde de la cybercriminalité. C'est inquiétant car le temps entre l'accès initial et le déploiement d'un Ransomware est de plus en plus court.

Une recherche de montre que depuis 2023, les Ransomware sont déployés dans plus de la moitié des cas en moins d'une semaine. Dans un tiers des cas, il est déployé dans les 48 heures. La majorité des Ransomware sont activés en dehors des heures de travail, souvent tôt le matin.

Méthodes utilisées

Comme souvent dans les attaques de Ransomware, l'accès initial se fait souvent grâce à des identifiants obtenus par phishing ou spearphishing. Il est donc essentiel que votre organisation mette continuellement l'accent sur la sensibilisation de vos employés à la cybersécurité, par exemple dans le cadre du programme SAFE.

Les pirates installent des logiciels malveillants et, de plus en plus, des logiciels d'accès à distance. Pensez à des programmes comme TeamViewer, VNC, Atera et Splashtop. En outre, ils exploitent souvent les vulnérabilités connues du réseau interne.

Quelles vulnérabilités connues ?

Nous ne pouvons jamais savoir exactement ce que les affiliés du Ransomware tentent. Mais sur la base de nos recherches, nous pouvons indiquer ce qui se passe régulièrement mal en matière de cybersécurité dans les soins de santé. Les attaquants eux-mêmes donnent parfois des conseils, comme le montre l'image ci-dessous.

Image in image block

Exemple de message des attaquants

Les pirates informatiques commencent souvent par accéder à un seul système ou compte au sein du réseau interne. Par la suite, les intrus accèdent à d'autres systèmes et comptes du réseau en exploitant, par exemple :

  • des mots de passe faibles et l'absence d'authentification multifactorielle
  • Des sessions dites "nulles" qui sont parfois autorisées par les systèmes du réseau, permettant un accès limité au contenu du système sans identifiants de connexion.
  • Une attaque dite "relais NTLM", où des tentatives de connexion légitimes peuvent être exploitées par un pirate pour accéder à d'autres systèmes.
  • Ports et services réseau qui ne sont nécessaires qu'aux administrateurs, mais qui sont souvent également disponibles ou utilisables par des employés non administratifs.
  • Les systèmes du réseau interne qui ne sont pas à jour et qui contiennent des vulnérabilités critiques connues pouvant être exploitées, telles que zerologon.

Prochaine étape : Obtenir les privilèges les plus élevés

Une fois que l'accès au réseau a été élargi, il devient souvent possible d'obtenir des privilèges étendus, voire les plus élevés, au sein de l'environnement par le biais d'attaques telles que :

  • Exploiter une mauvaise configuration dans Active Directory (les modèles ADCS qui sont standard dans un environnement AD), ce qui permet à l'attaquant d'obtenir immédiatement les privilèges les plus élevés dans l'environnement.
  • Obtenir des comptes à privilèges élevés par le biais d'attaques de type "kerberoasting", ce qui permet à l'attaquant de récupérer le mot de passe du compte à privilèges élevés concerné.
  • Lire les mots de passe ou les hachages de mots de passe dans la mémoire d'un ordinateur doté de droits d'administration en récupérant les identifiants des utilisateurs récemment connectés. Sur les systèmes de serveurs, cela permet généralement d'obtenir des comptes d'administrateurs à privilèges élevés, car ce sont les seuls comptes qui se connectent à ces systèmes.

Nous recommandons aux organismes de santé d'accorder une attention particulière aux problèmes mentionnés ci-dessus afin de tenir les acteurs malveillants à l'écart à court terme.

Comment Secura peut-elle vous aider ?

Bureau Veritas Cybersecurity utilise une approche basée sur les risques pour évaluer la vulnérabilité de votre organisation aux attaques de ransomware : l'évaluation de la résilience aux ransomwares. Sur la base des risques identifiés et classés, nous fournissons des conseils exploitables pour améliorer votre résilience Cyber.

Pour en savoir plus sur notre évaluation de la résilience aux ransomwares, cliquez ici.

ÉGALEMENT D'INTÉRÊT POUR VOUS

Surveillance du Dark Web

Dark Web Monitoring

Détection d'identifiants de connexion volés, qui peuvent tous deux fournir un accès initial au réseau de l'organisation touchée.

Programmes de sensibilisation/de Phishing

Phishing Awareness Program Secura

Former les employés à l'aide d'une méthode scientifiquement éprouvée visant non seulement à les sensibiliser, mais aussi à susciter un changement de comportement.

Test de pénétration interne

Why you need more than a classical pentest External Attack Surface Management

Si quelqu'un parvient encore à entrer, qu'est-ce qui est possible et où sont les faiblesses ? Cette enquête teste, entre autres, les conclusions critiques de cet article.

Plus d'informations

Vous souhaitez obtenir plus d'informations sur le renforcement de la résilience contre les Ransomware ? Veuillez remplir le formulaire et nous vous contacterons dans un délai d'un jour ouvrable.

USP

Pourquoi choisir Bureau Veritas Cybersecurity


Bureau Veritas Cybersecurity est votre expert partner en cybersécurité. Nous aidons les organisations à identifier les risques, à renforcer leurs défenses et à se conformer aux normes et réglementations en matière de cybersécurité. Nos services couvrent les personnes, les processus et la technologie, allant de la formation à la sensibilisation et à l'ingénierie sociale aux conseils en matière de sécurité, de conformité et de tests d'intrusion.

Nous intervenons dans les environnements IT, OT et IoT, et accompagnons aussi bien les systèmes numériques que les produits connectés. Avec plus de 300 professionnels de la cybersécurité à travers le monde, nous combinons une expertise technique approfondie et une présence mondiale. Bureau Veritas Cybersecurity fait partie du Bureau Veritas Group, leader mondial de l'inspection, de la certification et des services aux entreprises.