Les établissements de santé pris pour cible dans une campagne d'attaque informatique sophistiquée de grande envergure

by sih solutions avril 09, 2016


Signature HITGPLExpert

Les semaines passent, les menaces informatiques se ressemblent mais elles se spécialisent. Une nouvelle étape vient d’être franchie dans le domaine des attaques informatiques des établissements de santé. En effet, depuis plusieurs jours un nouveau mal frappe les SIH.

Nous vous parlions précédemment des attaques informatiques de type « ransomware », diffusées par email. Leur objectif était de faire ouvrir la pièce-jointe d’un salarié afin de contaminer son poste informatique et ainsi de prendre en otages les fichiers qui s’y trouvaient.

Visiblement les pirates ne se contentent plus de cette méthode et passent à la vitesse supérieure. Aujourd’hui, ils s’attaquent directement aux serveurs informatiques des établissements de santé, et ce, sans intervention humaine.

Appelez les « Cryptolocker » ou « Ransomware », une chose est sûre, la tendance ne cesse de se confirmer

Notre dernier article vous présentait « Locky » et « Petya », deux malwares qui faisaient des ravages dans les SI, en visant les particuliers puis les professionnels.

Désormais, une nouvelle variante est utilisée pour attaquer spécifiquement les établissements de santé. Nommé « SamSam » par ces concepteurs, il s’agît là encore d’un malware qui cherche à crypter les données informatiques et à exiger une rançon.

Toutefois, deux caractéristiques majeures distinguent cette nouvelle vague d’attaques des précédentes, qui, à l’heure où je rédige ce document, est encore en cours. Désormais la cible est spécifique au secteur de la santé et le mode de propagation est orienté serveur.

Une seule cible, les établissements de santé !

Tandis que les premières vagues d’attaques visaient tous les postes informatiques, sans distinction entre particuliers et professionnels, une seconde vague a émergée. Celle-ci n’a pour ligne de mire que les professionnels, en s’orientant particulièrement vers les services des ressources humaines.
Nous faisons actuellement face à une troisième vague d’attaques par « Ransomware » qui prend pour unique cible les établissements de santé.
Les pirates, en ne ciblant qu’un seul secteur d’activité, affinent leurs attaques en visant les points faibles spécifiques des SIH. Ainsi, ils peuvent développer des outils encore plus efficaces.

Un nouveau mode de propagation

L’inconvénient des attaques par email est que celles-ci reposent sur une action humaine. La plupart du temps, pour que le malware ne puisse s’activer, un utilisateur devait ouvrir une pièce-jointe. Les campagnes de sensibilisation du personnel, et la mise en place de formation spécifique à la sécurité nous permettaient de limiter, voire d’endiguer en grande partie ce fléau.

La nouvelle campagne d’attaques virales qui vise les établissements de santé, aborde une approche différente dans laquelle plus aucune action humaine n’est requise pour contaminer un SIH.

En effet, cette fois les attaquants identifient directement des failles de sécurité sur les serveurs des hôpitaux, cliniques … Ces failles sont présentes, la plupart du temps, parce qu’un ou plusieurs éléments n’ont tout simplement pas été maintenu à jour.

Une fois la faille identifiée, il suffit pour les pirates d’exploiter cette faiblesse afin de déposer sur le serveur le malware (Samsam).

Une fois déposé sur le serveur, il est capable de crypter les fichiers présents mais aussi de transférer le contrôle du serveur à l’assaillant par l’intermédiaire d’un « shell ».

Un blocage du SIH complet et instantané

En prenant directement pour cible les serveurs informatiques et non plus les postes client, la propagation du virus au sein du SIH s’accélère considérablement. De plus, en cryptant les fichiers présents sur le serveur, le blocage complet de l’établissement se produit beaucoup plus rapidement.

Un « ransomware » autonome.

« Samsam », contrairement à ses prédécesseurs, n’a pas besoin de se connecter à un serveur distant pour crypter les fichiers. En effet, ce virus embarque en son sein toutes les fonctions nécessaires au verrouillage du serveur. Isoler un serveur identifié comme contaminé ne l’empêchera pas de « s’auto-crypter ».

La riposte

Il est clair que nous faisons face à une menace sophistiquée et spécialisée dans le milieu médical. La procédure de contamination par exploitation de faille garantie aux assaillants un excellent taux de réussite, si l’on peut dire ainsi.
Toutefois, ce qui fait la force de cette attaque en fait aussi sa faiblesse. En effet, tout le déroulement offensif de ce « Malware » repose sur la présence d’un serveur non maintenu à jour et/ou souffrant de failles de sécurité. Dès lors, il apparaît évident que l’application d’un programme d’infogérance spécialisé dans le secteur de la santé, avec application des mises à jour et correctifs de sécurité, bloquera ces attaques.
En effet, GPLExpert accompagne certains établissements avec des offres d’audit clé en main (EBIOS/ISO 27005) et conçues spécifiquement pour les établissements de santé mais aussi par l’intermédiaire de services managés sur la sécurité (Tests d’intrusions et analyse des journaux périodiques).
Enfin, des procédures de sauvegardes garantiront une restauration des services dans le cadre de la mise en place d’un Plan de Reprise d’Activité spécifiquement élaboré pour chaque établissement.
GPLExpert peut vous accompagner également sur tous ces points. N’hésitez pas à prendre contact avec nous ici ou à venir nous rencontrer au salon HIT du 24 au 26 mai 2016 à Paris-Expo sur le stand G10.

Laisser un commentaire