Le système de santé irlandais paralysé par le ransomware Conti

0
149

Les experts cyber de One Identity et Zscaler vous proposent leur commentaire ainsi que des informations sur le ransomware Conti, à l’origine de la cyberattaque de ransomware paralysant le système de santé Irlandais, HSE (selon la Chief Operations Officer du HSE).

Tribune – Le ThreatLab Z, l’équipe de recherches du spécialiste de la sécurité du Cloud Zscaler, vient de publier un rapport sur les principaux groupes de ransomware et présente Conti comme le 2ème groupe de ransomware le plus actif au cours de la dernière année, avec 190 attaques documentées. Conti a été repéré pour la 1ère fois en février 2020 et partage le code du ransomware Ryuk dont il semble être le successeur. Il fait partie des groupes de ransomware qui pratiquent la double extorsion : les données sont chiffrées et donc rendues inaccessibles mais elles sont également exfiltrées en amont, puis menacées d’être rendues publiques si l’entreprise ne paye pas la rançon demandée.

Les victimes de Conti qui ne veulent pas ou ne peuvent pas payer la rançon voient ainsi leurs données régulièrement publiées sur le site de Conti consacré aux fuites de données… Techniquement, Conti utilise l’API du gestionnaire de redémarrage de Windows avant de chiffrer les fichiers, ce qui lui permet de chiffrer davantage de fichiers dans le cadre de son approche de double extorsion. En revanche le laboratoire de recherches de Zscaler référence habituellement 3 principaux secteurs particulièrement touchés par Conti : l’industrie manufacturière (12,4 %), les services (9,6 %) et les services de transport (9,0 %) et peu de cas d’attaques vers des organismes de santé.

Patrick Hunter, expert cybersecurité de la société One Identity (spécialiste mondial de la gestion des accès et des identités, et de la protection des comptes à privilèges) déclare :

« C’est une très grosse semaine sur le front des attaquants. Les groupes d’attaquants désormais bien identifiés que sont DarkSide et Conti semblent être hyperactifs avec pour DarkSide des attaques retentissantes aux US avec Colonial Pipeline et semble-t-il encore plus récemment en France avec Toshiba, et ni plus ni moins que le système de santé irlandais pour le variant Conti. Pour cette dernière, il semblerait que l’attaque ait bien été ciblée, le directeur du HSE expliquant récemment qu’il s’agissait d’une « opération criminelle internationale » et que l’attaque était «significative» et non « une attaque standard ».

Le HSE a déclaré que l’attaque provenait de son système d’enregistrement, car le système a été touché en premier et a ensuite donné l’alerte. Les professionnels du HSE ont alors rapidement fermé les autres systèmes non essentiels par précaution, ce qui est une bonne réaction.

Ce que nous savons de ce type d’attaques c’est que malgré un haut niveau de sophistication, elles débutent souvent par un email de phishing. Il est donc fort probable que l’infection initiale résulte d’un clic malencontreux dans un email de la part d’un employé. Pour stopper l’hémorragie, il existe un certain nombre de choses que les entreprises peuvent faire pour éviter ce type d’attaques et l’éducation est la première, avant même de penser à l’informatique.  Former l’ensemble de son personnel à être sur le qui-vive, jusqu’à en devenir paranoïaque. Un pirate n’a besoin que d’un seul point d’entrée, il est donc essentiel de faire en sorte que ce point initial soit le plus difficile à trouver.

Il y a ensuite une autre réalité : les organisations du secteur public sont bien loin d’être autant financées que le secteur privé et cela joue également un rôle, les outils de sécurité de base étant soit obsolètes, soit absents.

Aujourd’hui, l’une des clés pour arrêter la propagation des dommages à d’autres utilisateurs et systèmes plus critiques, c’est l’utilisation de l’authentification multifacteurs (MFA). Tous les professionnels peuvent en témoigner, le MFA serait efficace/aurait été efficace dans un très grand nombre d’attaques. Ensuite, les mots de passe administratifs et privilégiés peuvent être enfermés dans un coffre-fort sécurisé, puis récupérés uniquement moyennant une authentification multifactorielle plus poussée. Ce sont des technologies relativement peu coûteuses qui ont le meilleur impact. Enfin, aujourd’hui, pour sécuriser les comptes à privilèges, l’approche Zero Trust est vraiment le top des approches de sécurité, mais il faut être pragmatique en cours de route. »