Débordés face à la pandémie Covid-19, les établissements de santé sont de parfaites cibles pour les cyberattaques. Par prétendue solidarité, plusieurs organisations de délinquants se sont engagées par email à les épargner le temps de résoudre la crise. Mais ces promesses n'ont pas tenu longtemps...

Les malfaiteurs sont-ils prêts à faire une trêve au nom de la solidarité en pleine pandémie Covid-19 ? C’est ce qu’espère Laurent Abraham, fondateur du site Bleeping Computer. De nombreux opérateurs de rançongiciel lui ont indiqué, le 18 mars, qu’ils épargneraient les hôpitaux et les organisations de santé,

Il a recueilli l’engagement écrit de plusieurs opérateurs qui ont fait les grands titres ces derniers mois : Maze, DoppelPaymer, Ryuk, Sodinikibi, mais aussi PwnLocker et Ako. D’après le bilan le plus récent de l’entreprise de cybersécurité Coverware, cette liste contient 3 des 5 plus gros opérateurs, et les 6 noms cités pèsent ensemble plus de 50 % de l’activité rançongiciel.

Reste que cet engagement éthique de la part de grands délinquants ne fait pas office de garantie, et que d’autres gros opérateurs comme Phobos, Dharma ou NetWalker ne se sont pas exprimés sur le sujet.

Plus tôt dans le mois, un rançongiciel a paralysé une agence de santé américaine. // Source : CUPHD

Surcharge de travail et urgence, deux faiblesses idéales pour le déploiement de rançongiciels

Les rançongiciels sont des attaques d’ampleur qui, selon la résilience des systèmes informatiques, peuvent paralyser le fonctionnement de toutes sortes d’appareils électroniques et services de l’organisation. En novembre 2019, le réseau du Centre hospitalier universitaire de Rouen avait été stoppé par le rançongiciel Clop : le logiciel malveillant avait chiffré les données, ainsi devenues illisibles. Et bien sûr, les opérateurs demandaient une rançon. La réponse la plus commune à ce genre d’attaque consiste à rétablir les dernières sauvegardes, quand cela est possible. Mais c’est un processus long, qui peut prendre plusieurs semaines, voire des mois dans le pire des cas.

Un contexte favorable au phishing

Pour insérer leur logiciel malveillant sur le réseau, les délinquants utilisent le plus souvent de l’hameçonnage personnalisé. Ils ciblent des personnes ayant suffisamment d’autorisations pour répandre facilement le rançongiciel dans l’ensemble du réseau. C’est ici que le contexte aggrave les risques, car se prémunir des tentatives d’hameçonnage demande du temps. Il faut vérifier le moindre détail louche pour ne pas ouvrir les pièces jointes infectées et privilégier la communication en face à face pour les informations critiques si les emails de dirigeants paraissent surprenants. Le personnel des hôpitaux étant débordé et devant prendre des décisions rapides pour répondre à l’urgence est donc une cible idéale.

Ok pour les hôpitaux, non pour les autres établissements de santé

Parmi les malfaiteurs interrogés par le Bleeping Computer, les opérateurs de DoppelPaymer se démarquent. Ils affirment que même en temps normal, ils épargnent les hôpitaux, les maisons de retraite médicalisées, et les services d’urgence. Si par erreur leur attaque touche ce genre d’organisation, ils prétendent qu’ils déchiffrent gratuitement les données. En revanche, les opérateurs ne sont pas aussi indulgents avec toutes les organisations de santé : « Quant aux entreprises pharmaceutiques, ils gagnent de nos jours beaucoup d’argent grâce à la panique, nous ne souhaitons pas les soutenir. Si les médecins font vraiment quelque chose, ces gens-là ne font que profiter », précise le gang dans son email au Bleeping Computer.

Les méchants, arrêtez d’être méchants (s’il vous plaît)

En cas d’urgence, certaines entreprises de cybersécurité, Emsisoft et Covveware, ont annoncé qu’ils aideraient gratuitement les organisations de santé. Ils proposent un diagnostic, une aide à la négociation ou encore un outil pour rétablir les données plus rapidement.

Emsisoft a d’ailleurs lancé un étrange appel aux criminels, rapporte The Register : «  S’il vous plaît, ne ciblez pas les établissements de santé pendant les prochains mois, et si vous en ciblez un de façon non intentionnelle, donnez-leur la clé de déchiffrement, sans coût, et le plus rapidement possible. Nous sommes tous ensemble dans cette galère, n’est-ce pas ?  »

Promesse déjà non respectée

Quelques heures à peine après cet engagement oral auprès de Bleeping Computer, les opérateurs de Maze ont attaqué une entreprise de recherche médicale londonienne, d’après The Register. De leur côté, les pirates de Sodinokibi ont annoncé le vol de données du laboratoire 10XGenomics, rapporte le site français spécialisé Zataz. L’entreprise fournit le matériel de test de très nombreux instituts de recherches et sociétés pharmaceutiques. Toujours d’après nos confrères, les opérateurs ont mis en ligne des données appartenant aux employés, car 10XGenomics n’a pas payé.

Des attaques aux quatre coins du monde

La semaine dernière, Zdnet avait repéré que l’hôpital universitaire de Brno, en République tchèque a été paralysé par un rançongiciel dans une attaque non revendiquée. Les dégâts causés par l’attaque ont causé le transfert de certains patients vers un autre hôpital. En plus d’assurer des soins, l’hôpital de Brno  mène également la recherche médicale du pays contre Covid-19.

Peu avant, une agence de santé locale des États-Unis, en charge de diffuser les informations médicales essentielles à plus de 200 000 personnes, avait également fait face à une attaque. Autant dire que les activités criminelles ne s’arrêtent pas malgré les belles paroles de certains d’entre eux.

Article publié initialement le 20 march 2020 et mis à jour le 30 june 2020

Partager sur les réseaux sociaux