Passer au contenu principal

Piratage du système de santé H-ISAC 2/9/2021

TLP White : Cette semaine, Le piratage des soins de santé L'article commence par un autre regard sur les ransomwares. Plus précisément, nous analysons les tendances qui ont émergé au cours de l'année écoulée, les données du dernier trimestre 2020 et ce qu'elles nous disent sur la direction que prennent les choses, et pourquoi les ransomwares devenant moins lucratifs pour les cybercriminels peuvent en fait être nocifs pour le secteur de la santé. Nous terminons en analysant une « menace » cybernétique non traditionnelle qui a le potentiel de nuire au déploiement de la vaccination, et pourquoi les solutions ne sont peut-être pas si faciles à trouver.

Pour rappel, il s'agit de la version publique du blog Hacking Healthcare. Pour des analyses et des avis plus approfondis, devenez membre de H-ISAC et recevez la version TLP Amber de ce blog (disponible sur le portail des membres).

 

Bon retour à Le piratage des soins de santé.

 

1. Évaluation des ransomwares 2020

Il semble que les ransomwares continueront d’être un fléau en 2021, mais certaines informations récemment publiées suggèrent que l’évolution des méthodes et des tactiques contribuera à garantir que la situation restera fluide. Un certain nombre de rapports récents ont contribué à mettre l’ampleur du problème en contexte, et l’impact démesuré des ransomwares sur le secteur de la santé n’est pas une surprise. Ces données permettent de tirer plusieurs enseignements notables, notamment des nouvelles potentiellement encourageantes qui suggèrent que les attaques par ransomware deviennent moins lucratives pour les auteurs. Cependant, notre section d’analyse examinera pourquoi cela ne signifie peut-être pas un avantage pour le secteur de la santé.

 

RECAP

 

Commençons par un bref récapitulatif de la situation. Les défis auxquels le secteur de la santé a été confronté au cours de l’année écoulée ont été énormes, et les cybercriminels n’ont certainement pas facilité la gestion de la COVID-19. VMware Carbon Black a signalé 239.4 millions de tentatives de cyberattaques contre ses propres clients du secteur de la santé en 2020, ce qui a abouti à une statistique presque incroyable selon laquelle « les entités de santé ont subi 816 attaques par point de terminaison l’année dernière, soit une augmentation incroyable de 9,851 2019 % par rapport à XNUMX ».[1] Ces informations surviennent quelques semaines seulement après que la société de cybersécurité Emsisoft a signalé qu'au moins 560 établissements de soins de santé ont été touchés par un ransomware en 2020.[2]

 

Malheureusement, le ransomware le plus répandu dans le secteur de la santé semble être Cerber. Très répandu en 2017, Cerber a considérablement diminué en 2018, avant de repartir à la hausse l'année dernière et de représenter 58 % des attaques de ransomware contre les clients de VMware Carbon Black dans le secteur de la santé.[3] Bien que Carbon Black ait noté que Cerber avait subi des mises à jour et des adaptations, certains des succès des variantes en 2020 sont presque certainement liés à des vulnérabilités non corrigées, soulignant une fois de plus une difficulté supplémentaire de cybersécurité dans le secteur de la santé.[4]

 

Un signe positif avec un potentiel dangereux

 

Pour terminer avec des nouvelles potentiellement bonnes, la société de réponse et de récupération de ransomware Coveware a publié son Rapport trimestriel sur les ransomwares pour le quatrième trimestre 4 lundi dernier. Le point le plus important à retenir semble être leur rapport selon lequel les paiements de rançon ont considérablement diminué. Selon leurs chiffres, le paiement moyen de rançon a chuté d'environ 2020 % par rapport au troisième trimestre 34, passant de 3 2020 $ à 154,108 233,817 $.[5] De plus, le paiement médian des rançons effectuées au quatrième trimestre a connu une baisse encore plus importante d'environ 4 %, passant de 55 49,450 $ à 110,532 XNUMX $.[6]

 

Avant ce dernier rapport, Coveware avait déjà signalé une augmentation constante des paiements moyens et médians de ransomware remontant au quatrième trimestre 4.[7] Coveware attribue en partie ce récent déclin à l’érosion de la confiance dans le fait que les auteurs de ransomware qui exfiltrent des données les supprimeront effectivement après avoir reçu une rançon. De nombreux exemples de données « supprimées » revendues sur le marché noir ou utilisées pour demander une seconde rançon à une organisation ont modifié le calcul des risques pour les victimes de ransomware.

 

Bien que le rapport complet contienne beaucoup plus d’informations, quelques remarques intéressantes ont retenu notre attention. Tout d’abord, le phishing par courrier électronique continue sa progression en tant que vecteur d’attaque, dépassant la barre des 50 % et dépassant la compromission RDP. Ensuite, environ 70 % des attaques de ransomware au quatrième trimestre impliquaient une menace de fuite de données exfiltrées, soit une augmentation de 4 points de pourcentage par rapport au troisième trimestre.[8] En outre, Coveware signale que des acteurs malveillants vont jusqu'à « fabriquer des exfiltrations de données dans des cas où elles n'ont pas eu lieu ». Cependant, l'information la plus inquiétante est peut-être la hausse signalée par Coveware de « l'augmentation de l'incidence de la destruction irréversible des données par rapport à la simple destruction ciblée des sauvegardes ou du chiffrement des systèmes critiques ».[9]

 

Action et analyse

**Adhésion requise**

 

 

2. Le secteur de la santé fait face à une « cybermenace » non traditionnelle

Alors que les équipes de cybersécurité et d’informatique du secteur de la santé sont déjà confrontées au défi de taille de maintenir la confidentialité et la sécurité de leurs réseaux et de leurs données face à toutes sortes de menaces étatiques et non étatiques traditionnelles, il peut exister un autre défi technique non traditionnel où leurs compétences pourraient être utiles.

 

Dans la précipitation pour vacciner des pays entiers, les organisations de santé sont confrontées à la tâche administrative et logistique sans précédent consistant à organiser les rendez-vous des patients tout en s'efforçant de gaspiller le moins possible de précieuses doses de vaccin. Pour contribuer à cet effort, de nombreuses organisations ont utilisé une forme de portail ou de planificateur en ligne. Le ministère américain de la Santé et des Services sociaux (HHS) a même publié un avis de pouvoir discrétionnaire d'application pour Applications de planification en ligne ou sur le Web.[10] Malheureusement, ces planificateurs sont devenus la victime d'attaques de « bot » orchestrées par des scalpers.

 

Selon Reuters, « les détaillants et les pharmacies américaines comme Walgreens et CVS Health se préparent à une nouvelle série d’attaques de « robots » par des revendeurs espérant obtenir des rendez-vous pour le vaccin contre le COVID-19. »[11] Si ce type de comportement est familier à tous ceux qui essaient d’acheter des articles en quantité limitée, comme le dernier gadget technologique ou les billets pour un événement sportif, ces deux circonstances sont plus facilement classées comme une nuisance. On ne peut pas en dire autant si un tel comportement commence à avoir un impact significatif sur le déploiement de la vaccination.

 

Selon Reuters, « ces dernières semaines, des gens ont partagé sur les réseaux sociaux des histoires d’horreur sur des tentatives d’obtenir des rendez-vous de vaccination auprès de sources gouvernementales, certains accusant les robots d’être responsables des pannes de sites et des vols de créneaux horaires ». Walgreens et CVS ont tous deux indiqué qu’ils étaient conscients du problème et ont mis en place de multiples défenses pour la détection et la prévention.

 

Action et analyse
**Adhésion requise**

 

 

Congrès -

 

Mardi, 9th février:

– Aucune audience pertinente

 

Mercredi, Février 10th:

– Chambre des représentants – Audition du Comité de la sécurité intérieure : Cybersécurité nationale : évaluer les cybermenaces et renforcer la résilience

 

 

Jeudi, février 11th:

– Aucune audience pertinente

 

 

International Audiences/Réunions -

 

– Aucune audience pertinente

 

 

UE -

 

– Aucune audience pertinente

 

 

 

Divers –

 

 

 

 

Conférences, webinaires et sommets –       

 

 

https://h-isac.org/events/

 

Contactez-nous : suivez @HealthISAC et envoyez un e-mail à contact@h-isac.org

 

[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point

[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020

[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf

[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S

  • Ressources et actualités connexes