Les facteurs contribuant à de telles attaques comprennent, entre autres :
- Les activités commerciales décentralisées.
- Les installations COVID-19 d’urgence mises en place sans une sécurité organisée au niveau de l’infrastructure IT.
- L’augmentation significative du volume de données médicales des patients stockées par les établissements de santé.
- La télésanté et des télétravailleurs dispersés aux quatre coins du globe presque du jour au lendemain, générant ainsi de potentielles failles de sécurité.
Le ransomware Ryuk, en particulier, a récemment connu une résurgence. Sophos a récemment identifié une nouvelle campagne de spam liée aux acteurs se cachant derrière Ryuk, et notre équipe MTR (Managed Threat Response) a aidé une entreprise à mitiger une attaque Ryuk, en fournissant un aperçu de l’évolution des outils, techniques et pratiques utilisés par les cybercriminels à l’origine du déploiement de ce ransomware.
L’investigation a montré une évolution des outils utilisés pour compromettre les réseaux ciblés et déployer le ransomware. En effet, la rapidité avec laquelle les attaques ont pu passer de la compromission initiale au déploiement du ransomware à proprement parler était tout simplement impressionnante. Moins de trois heures et demie après l’ouverture d’une pièce jointe envoyée via un email de phishing, les attaquants effectuaient déjà une reconnaissance du réseau. En l’espace d’une journée, ils avaient eu accès à un contrôleur de domaine et avaient déjà lancé les premières phases de la tentative de déploiement du ransomware.
Les techniques d’évasion utilisées par les ransomwares évoluent rapidement. Ces dernières années, les attaques de ransomwares sont passées des attaques par force brute, à grande échelle, aux attaques ciblées, planifiées et déployées manuellement, beaucoup plus difficiles à détecter et à bloquer. A l’heure actuelle, des cybercriminels ‘humains’ fabriquent leurs propres malwares artisanaux.
Les cybercriminels ont développé des attaques hybrides, en utilisant notamment l’automatisation pour trouver des victimes avec des failles au niveau de leurs défenses : par exemple, des serveurs exposés avec le protocole RDP (Remote Desktop Protocol) activé, des administrateurs sans authentification multifacteur au niveau de l’accès à distance et des serveurs Web non corrigés. Notons que les problèmes que nous venons de citer, lorsqu’ils sont présents au niveau d’un partenaire de confiance ou bien d’un fournisseur de services, suffisent pour que votre réseau, vos systèmes et vos ressources se retrouvent sous la menace d’une demande de rançon.
Voici les cinq mesures que les prestataires de santé peuvent prendre pour se protéger contre les attaques de ransomwares :
- Maintenez une bonne hygiène informatique : assurez-vous d’avoir mis en place une hygiène informatique de base, incluant l’installation de tous les derniers correctifs, la désactivation complète du RDP (ou bien la mise en place d’un VPN pour le sécuriser), ainsi que la réalisation de sauvegardes régulières, conservées hors site là où de potentiels attaquants ne pourront pas les trouver. Enfin, n’oubliez pas l’utilisation de l’authentification multifacteur au niveau des services hébergeant les données les plus sensibles de votre entreprise. Il ne s’agit là que de quelques-unes des mesures essentielles que vous pouvez prendre, dès aujourd’hui, pour vous protéger et sécuriser votre réseau.
- Formez vos utilisateurs : apprenez-leur l’importance des mots de passe forts et déployez l’authentification à deux facteurs partout où vous le pouvez. Sensibilisez-les au phishing, qui est l’un des principaux mécanismes de diffusion des ransomwares.
- Minimisez le risque de mouvements latéraux au sein de votre réseau : segmentez vos LAN en zones isolées et plus petites ou bien en VLAN qui seront sécurisés et connectés via le pare-feu. Veillez à appliquer des politiques IPS appropriées aux règles régissant le trafic traversant ces segments LAN afin d’empêcher les exploits, les vers (worms) et les bots de se propager entre les segments LAN. Enfin si une infection devait survenir, isolez automatiquement les systèmes infectés jusqu’à ce qu’ils puissent être nettoyés correctement.
- Utilisez des outils EDR (Endpoint Detection and Response) avec votre protection endpoint : aujourd’hui, stopper une attaque de ransomware ciblée ne se résume pas seulement à la neutralisation d’un malware unique : en effet, il s’agit d’arrêter un adversaire actif et de perturber la chaîne d’attaque qui lui permet de déployer le malware en question. Assurez-vous donc que chaque endpoint soit bien protégé et mis à jour. Un appareil qui ne fonctionne pas correctement peut ne pas être protégé et être vulnérable à une attaque de ransomware. Utilisez des outils EDR qui vous permettront de vous poser les bonnes questions afin de pouvoir traquer des adversaires actifs et identifier les menaces avancées au sein de votre réseau. Une fois que vous l’aurez fait, la fonctionnalité EDR vous aidera également à prendre rapidement les mesures appropriées pour arrêter ces menaces.
- Comblez vos lacunes en matière de cybersécurité avec une intervention humaine : les ordinateurs, l’automatisation et les outils sont incroyablement efficaces, mais l’intelligence humaine, la reconnaissance de schémas et notre capacité à utiliser un certain contexte offrent une défense encore plus redoutable. Les services MDR (Managed Detection and Response) sont ici essentiels. La collaboration de vos équipes internes au niveau IT et cybersécurité avec une équipe d’élite externe et composée d’experts en traque des menaces et en réponse aux incidents vous permettra d’obtenir des conseils exploitables afin de traiter les causes racines des incidents récurrents.
Sophos Intercept X Advanced with EDR
Sophos Intercept X Advanced with EDR comprend toutes les fonctionnalités dont vous avez besoin pour protéger votre entreprise contre les attaques de ransomwares telles que Ryuk, Sodinokibi, Maze et Ragnar Locker.
Intercept X inclut une technologie anti-ransomware qui détecte les processus de chiffrement malveillants et les stoppe avant qu’ils ne puissent se propager au sein de votre réseau. La technologie anti-exploit stoppe la diffusion et l’installation des ransomwares, le deep learning bloque les ransomwares avant qu’ils ne se déploient et CryptoGuard empêche le chiffrement malveillant des fichiers, les ramenant à leur état sécurisé antérieur.
De plus, Sophos EDR vous aide à mener une traque des menaces efficace et à maintenir une bonne hygiène de vos opérations IT au niveau de l’ensemble de votre environnement. Sophos EDR permet à votre équipe de se poser les bonnes questions afin d’identifier les menaces avancées, les adversaires actifs et les vulnérabilités IT potentielles, puis de prendre rapidement les mesures appropriées pour les stopper. Il vous permet également de détecter les adversaires qui se cachent au sein de votre réseau et qui attendent de pouvoir déployer leurs ransomwares, lesquels sont peut être parvenus, jusque-là, à passer inaperçus.
Sophos MTR (Managed Threat Response)
Le service Sophos MTR ajoute une expertise humaine à votre stratégie de sécurité par couches. Une équipe d’élite composée de traqueurs de menaces recherche et valide de manière proactive les menaces potentielles en votre nom. S’ils y sont autorisés, ils prennent des mesures pour stopper, contenir et neutraliser les menaces et fournir des conseils exploitables pour s’attaquer aux causes racines des incidents récurrents.
Sophos Rapid Response
Si votre entreprise est attaquée et a besoin d’une assistance immédiate en cas d’incident, Sophos peut vous aider.
Sophos Rapid Response apporte une assistance ultra-rapide, gérée par une équipe d’experts en réponse aux incidents, afin d’identifier et de neutraliser les menaces actives ciblant les entreprises. La prise en charge (onboarding) s’effectue en quelques heures seulement et la plupart des clients ont pu bénéficier sous 48h du processus de priorisation (triage) permettant de définir les actions à mener. Le service est disponible à la fois pour les clients Sophos actuels mais aussi pour des clients non-Sophos.
L’équipe de réponse aux incidents à distance de Sophos Rapid Response prend rapidement des mesures pour prioriser, contenir et neutraliser les menaces actives. Les adversaires sont expulsés hors de votre environnement afin d’éviter que davantage de dommages ne soient causés.
Pour en savoir plus
- Les bonnes pratiques Endpoint pour bloquer les ransomwares (livre blanc)
- Pare-feu : les bonnes pratiques pour bloquer les ransomwares (livre blanc)
- They’re back: inside a new Ryuk ransomware attack
- Sophos MTR : Blocage d’une attaque à 15 millions de dollars lancée par le ransomware Maze
- The realities of ransomware: Why it’s not just a passing fad
Pour finir, pensez à visiter notre page Web dédiée Healthcare Targeted Ransomware pour obtenir encore plus d’informations.
Billet inspiré de Healthcare and ransomware: 5 critical steps to take, sur le Blog Sophos.