Les acteurs du rançongiciel cubain, sans lien avec la République de Cuba, ont continué d’attaquer des entités américaines, y compris des organisations de santé, depuis qu’ils ont été identifiés pour la première fois en novembre 2021. Le FBI et la Cybersecurity and Infrastructure Security Agency ont publié un nouvel avis de cybersécurité (CSA) avertit ce mois-ci les responsables informatiques de la santé que le nombre d’entités américaines compromises par le rançongiciel cubain a doublé depuis décembre 2021.
Non seulement la fréquence des attaques a augmenté, mais leurs tactiques, techniques et procédures (TTP) sont devenues plus sophistiquées. Selon le CSA, des sources tierces ont identifié des liens possibles entre les acteurs du ransomware Cuba, les acteurs du cheval de Troie d’accès à distance RomCom et les acteurs du ransomware Industrial Spy.
Les acteurs cubains des rançongiciels ont pénétré dans les systèmes de santé et d’autres secteurs d’infrastructure critiques grâce à des vulnérabilités logicielles connues, des campagnes de phishing, des informations d’identification compromises et des outils de protocole de bureau à distance.
Cliquez sur la bannière ci-dessous pour plus SantéTech contenu sur la sécurité et la confiance zéro.
Depuis le printemps 2022, les acteurs cubains des rançongiciels ont déployé de nouveaux TTP pour compromettre les réseaux. Selon l’unité 42 de Palo Alto Networks, ces acteurs se déplacent latéralement dans des environnements compromis tout en utilisant des outils pour échapper à la détection.
« En plus de déployer des ransomwares, les acteurs ont utilisé des techniques de » double extorsion « , dans lesquelles ils exfiltrent les données des victimes, et (1) exigent une rançon pour les décrypter et, (2) menacent de les rendre publiques si une rançon est payée. pas fait », indique le CSA.
Une organisation de soins de santé étrangère a été compromise par des acteurs cubains du ransomware déployant le ransomware Industrial Spy.
Comment les systèmes de santé peuvent se protéger contre Cuba Ransomware
Les organisations de santé peuvent prendre plusieurs mesures pour atténuer les effets d’une attaque de rançongiciel Cuba. Parmi eux, la mise en œuvre d’un plan de récupération des données, exigeant que tous les comptes dotés de mots de passe se conforment aux normes de l’Institut national des normes et de la technologie pour le développement et la gestion des politiques de mot de passe, et exigeant une authentification multifacteur.
Les autres tactiques d’atténuation comprennent :
- Maintenir à jour les systèmes d’exploitation, les logiciels et les micrologiciels
- Segmentation des réseaux
- Mettre en œuvre un outil de surveillance du réseau pour identifier, détecter et enquêter sur les activités anormales
- Installation et mise à jour régulière de la détection en temps réel des logiciels antivirus
- Audit des comptes d’utilisateurs avec des privilèges administratifs et mise en œuvre de l’accès au moindre privilège
- Désactivation des ports inutilisés
- Maintenir des sauvegardes de données hors ligne
- S’assurer que toutes les données de sauvegarde sont cryptées et immuables
Les organisations de santé confrontées à une menace de ransomware doivent signaler l’incident au FBI, à la CISA ou aux services secrets américains.
SUIVANT: Comment la confiance zéro protège les données des patients contre les menaces de sécurité les plus graves.
