Que se passe-t-il avec la cyberattaque HSE?


Qu’est-ce que le ransomware Conti? Qui est Wizard Spider? Voici ce que vous devez savoir sur la cyberattaque HSE.

Dans la nuit de jeudi dernier (13 mai), l’Irish Health Service Executive (HSE) a subi une cyberattaque «importante et grave».

Considérée comme la cyberattaque la plus grave jamais atteinte aux infrastructures essentielles de l’État, les services de santé à travers le pays ont été touchés. Contraints d’arrêter leurs systèmes informatiques vendredi, les hôpitaux et autres services HSE se sont retrouvés sans accès aux dossiers de santé électroniques, ce qui a provoqué d’importantes perturbations.

Les perturbations se sont poursuivies tout au long du week-end et le HSE continue de fournir des mises à jour sur l’impact de l’attaque via HSE.ie.

À partir d’aujourd’hui (17 mai), la plupart des rendez-vous médicaux se poursuivront comme prévu. Cependant, le HSE a indiqué que les rendez-vous aux rayons X en particulier sont gravement affectés.

Les services de vaccination contre le Covid-19 continuent de fonctionner sans interruption. Les services de santé d’urgence à travers le pays se poursuivent également comme d’habitude, mais il peut y avoir des retards dans la prestation des services.

Que s’est-il passé?

Les enquêtes sur la cyberattaque HSE sont en cours, mais ce que nous savons jusqu’à présent, c’est que Cobalt Strike Beacon, un outil qui peut donner un accès à distance aux pirates informatiques, a été trouvé sur le système informatique du HSE. Cela a permis aux attaquants de se déplacer dans le réseau informatique et d’exécuter leur malware.

Le malware déchaîné par les pirates informatiques est une forme de ransomware connue sous le nom de Conti.

Qu’est-ce que le ransomware Conti?

«Conti est conçu pour être exploité par l’attaquant, plutôt que via un processus automatisé, et il contient des fonctionnalités uniques qui permettent une attaque plus ciblée et plus rapide», a déclaré Patrick Wragg, responsable de la réponse aux incidents cybernétiques chez Integrity360.

«Les opérations de ransomware de Conti ont ciblé une grande variété de secteurs dans le monde, notamment la construction, la fabrication et la vente au détail», a ajouté Wragg.

Ransomware crypte les fichiers sur un système et exige un paiement pour restaurer l’accès. Les informations détenues contre rançon dans ce cas pourraient inclure des données sur les patients, bien que cela n’ait pas encore été confirmé. Cependant, si des pirates ont eu accès à des informations sensibles comme celle-ci via l’attaque, le HSE pourrait être doublement vulnérable.

Conti est connu sous le nom de ransomware «  double extorsion  », ce qui signifie qu’en plus de conserver l’accès aux systèmes pour obtenir une rançon, le logiciel malveillant peut également voler des informations stockées sur le système. Les pirates peuvent alors menacer de divulguer ces informations privées en ligne si aucun paiement n’est effectué.

La cyberattaque HSE a-t-elle infiltré d’autres systèmes?

Jeudi, le National Cyber ​​Security Center (NCSC) a été mis au courant de la cyberattaque HSE ainsi que d’une tentative d’attaque contre le ministère de la Santé.

Le NCSC a mis en œuvre un plan d’intervention qui prévoyait la suspension de certaines fonctions des systèmes informatiques par mesure de précaution. Dans le cas du ministère de la Santé, la tentative d’exécution du ransomware a été détectée et empêchée par les mesures de cybersécurité en place.

Cette attaque et la cyberattaque HSE font toujours l’objet d’une enquête de la part du NCSC, aux côtés d’An Garda Síochána, du bureau du directeur général de l’information du gouvernement et de sous-traitants tiers.

Qui est derrière la cyberattaque HSE?

Wizard Spider, un groupe organisé de cybercriminels basé en Europe de l’Est, serait à l’origine de la cyberattaque HSE et de la tentative d’attaque contre le ministère de la Santé. Ce groupe a pris pour cible les grandes organisations avec des rançons élevées ces dernières années.

«Ce que nous avons vu dans notre travail, c’est que les personnes derrière ces attaques de ransomware sont généralement des syndicats du crime organisé», a déclaré Ronan Murphy, PDG et fondateur de Smarttech247.

«Certaines des attaques très médiatisées contre des infrastructures essentielles en Europe et en Amérique du Nord ces derniers temps ont été menées par des syndicats du crime organisé venant d’Europe de l’Est et de Russie.»

Pourquoi les systèmes informatiques HSE ont-ils été arrêtés?

Soutenir Silicon Republic

L’arrêt des systèmes informatiques du HSE sert à la fois de mesure de précaution et permet aux équipes de cybersécurité d’enquêter sur l’attaque.

«En fermant tout, il semblerait que HSE ait été incapable d’isoler le problème en toute confiance en désactivant une partie seulement du réseau ou même en mettant simplement en quarantaine les actifs informatiques problématiques du réseau», a suggéré Amit Serper, vice-président adjoint de la recherche en sécurité à Guardicore Labs.

Combien de temps faudra-t-il pour remettre les services HSE en ligne?

Actuellement, des spécialistes s’efforcent de nettoyer les appareils infectés et de restaurer les systèmes informatiques du HSE. Brooks Wallace, vice-président de la branche EMEA de Deep Instinct, a expliqué: «Non seulement ils devront trier les machines infectées, mais ils devront également arrêter la propagation latérale, probablement en utilisant plusieurs outils et consoles, mais avec des ressources limitées.»

Il n’y a pas de solution miracle. Sortir ce long chemin d’un réseau enchevêtré est ce qu’il faut faire, car la seule alternative est de céder aux demandes des attaquants. «L’option la plus judicieuse est de récupérer les données compromises et de reconstruire les systèmes à partir de zéro, mais dans certains cas, cela peut prendre des semaines», a déclaré Noel O’Grady, directeur de Sungard Availability Services Ireland.

Pourquoi ne pas simplement payer la rançon?

Il n’est pas conseillé de payer des rançons pour des cyberattaques. «Le premier instinct peut être de simplement céder aux demandes, mais payer les pirates informatiques envoie le message qu’une organisation est prête à remettre de l’argent et peut leur mettre une cible pour de futures attaques», a déclaré O’Grady.

Malheureusement, parce que certaines victimes de ransomwares ont déboursé de grosses sommes aux attaquants, cela est devenu une grosse affaire, ce qui conduit à davantage d’attaques. Dans le cas de la récente cyberattaque de Colonial Pipeline, il a été rapporté que le paiement d’une rançon de 5 millions de dollars n’a fait qu’exaspérer ce problème croissant.

Le HSE, en revanche, «a tout à fait raison de contenir le problème», selon Paul Donegan, directeur national de Palto Alto Networks pour l’Irlande.

Selon une étude de l’Unité 42, la branche de renseignement sur les menaces de Palo Alto Networks, la rançon moyenne payée a plus que triplé en 2020 pour atteindre plus de 300000 dollars, tandis que la demande la plus élevée des cyber-extorsionneurs a atteint 30 millions de dollars. Cela augmente déjà en 2021, les paiements moyens ayant presque triplé à nouveau et une nouvelle demande record de 50 millions de dollars rapportée par l’Unité 42.

Les autres organisations devraient-elles être en alerte pour des attaques similaires?

En un mot, oui. Le NCSC a publié un avis sur la cyberattaque HSE qui offre des conseils aux autres organisations pour détecter et prévenir une attaque similaire. Cet avis sera mis à jour au fur et à mesure que plus de détails seront révélés au cours de l’enquête.

Brian Honan, PDG et fondateur de BH Consulting et ancien conseiller spécial sur la cybersécurité auprès d’Europol, vivement recommandé toutes les agences gouvernementales et les entreprises du secteur privé suivent les directives du NCSC et vérifient dans les systèmes les indicateurs de compromis dans son avis.

Honan a également recommandé les informations du rapport DFIR sur le ransomware Conti pour plus d’indicateurs ainsi que les tactiques, techniques et procédures connues de cette cyber-menace.

Que peut-on faire pour se prémunir efficacement contre de telles attaques à l’avenir?

En réponse à la cyberattaque HSE, certains professionnels de la cybersécurité ont pointé du doigt le principe de «confiance zéro» comme une réponse à ces menaces croissantes des attaquants.

«Le principe directeur de la confiance zéro est de« ne rien faire confiance et de tout vérifier »», a expliqué Donegan. «Il aide ceux qui l’implémentent à se défendre contre tous les vecteurs d’attaque connus, y compris les attaques internes malveillantes et les attaques de phishing, en limitant la capacité de l’attaquant à se déplacer sur le réseau et en alertant sur ses activités lorsqu’ils tentent de le faire.»

D’autres ont souligné les dangers d’un personnel surchargé de travail pour des politiques de cybersécurité efficaces. «Compte tenu de la nature du secteur, le personnel de santé est souvent confronté à de fortes contraintes de temps, ce qui les conduit à cliquer, télécharger et traiter rapidement les e-mails, tout en étant peut-être victime d’attaques par e-mail soigneusement conçues basées sur l’ingénierie sociale», a déclaré Peter Carthew, directeur du service public secteur pour le Royaume-Uni et l’Irlande chez Proofpoint.

«Presque toutes les attaques ciblées reposent sur l’interaction humaine pour fonctionner. Éduquer et former les employés sur ce qu’il faut surveiller, maintenir des sauvegardes hors ligne, mettre en œuvre des politiques de mot de passe strictes et développer des playbooks de réponse aux ransomwares sont des défenses vitales contre les nombreuses menaces auxquelles le secteur est confronté aujourd’hui », a-t-il déclaré.

Oz Alashe, PDG et fondateur de CybSafe, a souligné cette nécessité de se concentrer sur les facteurs humains du risque de cybersécurité. «Il est essentiel que les organisations du secteur public prennent des mesures non seulement pour sensibiliser à ces cybermenaces, mais également pour fournir une formation et un soutien en matière de sécurité qui prennent cet aspect humain en considération afin d’aider à prévenir ces attaques à l’avenir.»

Cette approche globale est un moyen d’alléger le fardeau des équipes de cybersécurité, qui luttent pour se protéger contre la variété et la force des attaques. Une récente enquête de Proofpoint auprès des directeurs mondiaux de la sécurité de l’information (RSSI) a montré qu’ils se sentent dépassés par la vaste gamme de menaces provenant de tous les angles. Avec autant de menaces à protéger, la hiérarchisation devient un problème, avec seulement 25% des RSSI du secteur public répertoriant les ransomwares dans leurs trois principales cybermenaces.

Pour plus d’informations sur la prévention des ransomwares, le livre blanc de BH Consulting propose des conseils sur la manière de planifier ces défenses.



Partager:

Partager sur facebook
Partager sur twitter
Partager sur telegram
Partager sur reddit
Partager sur linkedin
Partager sur pinterest

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles Similaires