En pleine deuxième vague de COVID-19, les hôpitaux sont devenus un objectif vulnérable pour la cybercriminalité. Le FBI a d’ailleurs averti qu’un nouveau botnet ciblait les services de santé.
À la fin du mois d’octobre, le FBI et le département de la Sécurité intérieure des États-Unis ont lancé une alerte sur une vague imminente de cyberattaques contre des hôpitaux et des fournisseurs de matériel et services de santé.
Le FBI a notamment mis en garde contre la détection d’une nuée de programmes malveillants (botnets), appelée TrickBot, et ciblant spécifiquement le secteur de la santé dans le but de voler des données sensibles et de prendre possession d’ordinateurs.
Ce qui était à l’origine un cheval de Troie bancaire s’est mué en une gamme complète d’outils pour la cybercriminalité ; les pirates peuvent désormais s’emparer des identifiants, distribuer des programmes de minage de cryptomonnaie, voler des données et déployer un ransomware tel Ryuk..
En Amérique du Nord, plus de six hôpitaux ont déjà été touchés par ce botnet au cours des dernières semaines. Plusieurs médias ont d’ailleurs rappelé que le virus se propageait principalement à travers des spams et infectait des dispositifs qui fonctionnaient ensuite comme des « machines zombies ».
Les cyberattaques se sont multipliées dans toute l’Europe
Les centres médicaux des États-Unis ne sont pas les seuls à connaître une augmentation de ces attaques. En septembre, une femme est décédée en Allemagne suite au détournement des serveurs de l’hôpital où elle attendait son traitement.
L’Agence de sécurité des système de l’information (ANSSI) a averti que cette tendance devrait s’accélérer au cours de l’année 2021 ; d’ailleurs, des attaques contre des organisations et des laboratoires impliqués dans la lutte contre le coronavirus ont déjà été recensées ».
C’est pourquoi en avril de cette année, Interpol a remis à ses 194 pays membres un communiqué sur l’augmentation significative des campagnes de ransomware ciblant des hôpitaux et infrastructures impliquées dans la lutte contre le virus.
Mécanique habituelle des attaques de ransomware
La plupart du temps, les logiciels malveillants naviguent sur le web sans but précis. Dans ce cas, l’attaque n’a pas de cible spécifique. Mais, parfois, les mafias informatiques recherchent des failles de sécurité au sein de certaines organisations afin d’exiger des rançons à la hauteur de leurs revenus.
En règle générale, le logiciel malveillant circule par courrier électronique. Comme le message prétend souvent contenir des informations ou des indications sur la COVID-19, la victime clique sur le lien ou ouvre la pièce jointe infectée. Certains experts ont également détecté que ces e-mails utilisaient l’image d’organisations telles que l’OMS ou l’UNICEF pour asseoir leur crédibilité.
Une fois qu’il a pénétré dans le réseau de l’entreprise, le programme se propage dans tous les dispositifs connectés, vole des informations et chiffre les fichiers, attendant que les victimes paient une rançon pour ne pas perdre les contenus ou les voir divulgués ou vendus au plus offrant.
Les hackers exploitent n’importe quelle faille
Parmi les principales raisons pour lesquelles les hôpitaux sont devenus la cible privilégiée des cybercriminels – outre, bien sûr, la valeur des données qu’ils traitent – il y a la fatigue des professionnels et la fragilité des nombreux systèmes de sécurité en ligne.
Il faut dire qu’après des mois de haute tension, l’épuisement des soignants fait qu’ils tombent plus facilement dans le piège. En effet, 90 % des pirates pénètrent dans les systèmes à travers des campagnes de phishing dupant les destinataires.
Le 27 novembre, par exemple, nous avons appris que des pirates informatiques avaient attaqué AstraZeneca, l’un des fabricants du vaccin contre la COVID-19. Se faisant passer pour des recruteurs, les pirates abordaient le personnel du laboratoire pharmaceutique sur LinkedIn et WhatsApp avec de fausses offres de travail contenant un code malveillant.
Outre cette situation, l’équipement informatique et les logiciels obsolètes avec lesquels un grand nombre de centres travaillent, le manque d’outils et de professionnels spécialisés dans la cybersécurité (entre autres facteurs) rendent la brèche plus accessible aux attaquants.
Comment faire face à cette menace
Les centres médicaux espagnols sont pour le moment parvenus à déjouer assez bien les attaques. Cependant, tous les organismes internationaux officiels recommandent de prendre des précautions pour se protéger. Le FBI exhorte ainsi les établissements de soins de santé à prendre les mesures suivantes :
- surveiller toute activité inhabituelle sur leurs réseaux ;
- rechercher des preuves de la présence de Trickbot ;
- chiffrer toutes les données possibles ;
- faire fréquemment des copies de sécurité ;
- vérifier que l’on utilise la dernière version de toutes les applications et que les vulnérabilités potentielles ont été corrigées ;
- utiliser un logiciel pour filtrer les messages suspects et les bloquer ;
- désactiver les ports de RDP ;
Il faut également se rappeler à tout moment que les connexions de téléassistance et autres points d’accès à distance sont susceptibles d’être attaqués. Il est donc conseillé de mettre en place un système d’authentification multi-facteurs, une sauvegarde et un contrôle d’accès, et de surveiller les journaux d’accès.
Si vous avez un doute sur la cybersécurité, Ubilibet vous aidera à l’éclaircir et à définir des plans de protection règlementaire, technique et opérationnelle à court, moyen et long terme pour sauvegarder les données de votre centre ou entreprise.