Lorsque le FBI émet un avertissement concernant une nouvelle tendance en matière de cyberattaques, il ne s’agit pas simplement d’un battage médiatique. Les équipes informatiques du secteur de la santé doivent y prêter attention et ajuster leurs tactiques, le cas échéant. L’année dernière, les forces de l’ordre fédérales ont mis en garde contre les mauvais acteurs utilisant plusieurs attaques pour cibler les mêmes victimes. Voici ce que les organismes de santé doivent savoir.
1. Qu'est-ce que le double ransomware ?
Le double ransomware est la version cybercriminelle de « l’attaque en profondeur ». Plutôt que de dépendre d'une seule boîte à outils de ransomware, les criminels déploient plusieurs packages de ransomware en même temps ou dans un délai d'un jour ou deux après avoir pris pied dans un réseau. Le FBI prévient également que les cybercriminels laissent derrière eux des effaceurs de données dormants, ce qui constitue un autre moyen de faire pression sur les victimes pour qu'elles répondent aux demandes de paiement.
2. Pourquoi cette méthode d’attaque ?
Les acteurs malveillants ont de plus en plus de mal à s’introduire dans les réseaux d’entreprise. À mesure que les responsables informatiques et les fournisseurs parviennent à mieux bloquer les attaques, les cybercriminels doivent tirer parti d'un plus petit nombre d'intrusions réussies pour s'assurer de pouvoir détenir une organisation contre une rançon. Le cambriolage est la partie la plus difficile ; le ransomware est désormais un produit disponible auprès de plus d’une demi-douzaine de fournisseurs du dark web. Cela vaut donc la peine pour les criminels de s'assurer qu'une fois qu'ils sont à l'intérieur, ils peuvent en prendre le contrôle, le maintenir et maximiser leurs chances d'obtenir un gain élevé. En combinant plusieurs outils avec des techniques de cryptage et d’exfiltration des données, les doubles attaques de ransomware sont deux fois plus difficiles à vaincre.
3. Pourquoi est-ce un gros problème pour l'informatique de santé ?
La santé est l’un des secteurs les plus vulnérables en matière de ransomware. Qu’il s’agisse d’une attaque de chiffrement qui verrouille les données importantes des patients ou d’une attaque d’exfiltration qui risque d’exposer les informations sur la santé des patients, cela peut causer de nombreux dégâts. Le fait que les deux se produisent en même temps est un véritable coup de poing lorsqu’un cybercriminel vous appelle.
4. Quelles tactiques de défense faut-il utiliser ?
Lorsque les équipes informatiques du secteur de la santé réagissent à une attaque, elles doivent garder à l’esprit que plusieurs outils sont susceptibles d’être déployés : une fois que vous avez trouvé un « wormsign », vous devez continuer à chercher car il y en a probablement d’autres. Si vous détectez une attaque rapidement mais ne parvenez pas à bloquer l'accès des attaquants à votre réseau, vous pouvez également découvrir de nouveaux ransomwares déployés pendant que vous effectuez le nettoyage.
D'autres conseils standards s'appliquent toujours, comme conserver des sauvegardes hors ligne, cryptées et immuables ; restreindre étroitement l'accès aux applications à distance ; et disposer d'un plan de récupération indiquant quoi faire lorsque des criminels endommagent des données ou arrêtent des réseaux.
5. Comment l’informatique du secteur de la santé peut-elle se protéger ?
Les réseaux et applications de santé comportent un niveau particulièrement élevé d’interactions avec des tiers : sociétés de facturation, fournisseurs de laboratoires, prestataires de services d’imagerie, etc. De nombreuses attaques d'exfiltration récentes dans le secteur de la santé ont eu lieu via ces tiers. Les responsables informatiques doivent donc procéder à des examens réguliers de la posture de sécurité de tous les fournisseurs. Ils devraient également limiter activement l’étendue de l’accès aux données pour tous les tiers. Dans la mesure du possible, des limites de tarifs doivent être mises en place pour réduire les dommages si un fournisseur est compromis.
