Microsoft a déclaré avoir identifié plusieurs dizaines d’hôpitaux dont l’infrastructure comportait des passerelles et des dispositifs VPN vulnérables et les avoir informés de ces vulnérabilités.
Microsoft avertit les hôpitaux que des attaques sophistiquées par rançon tentent d’exploiter les travailleurs à distance pour accéder à leurs réseaux.
Alors que les organismes de santé déplacent leurs employés non essentiels pour travailler à distance pendant la pandémie COVID-19, les opérateurs de ransomware tentent de trouver des vulnérabilités dans les dispositifs de réseau comme les passerelles et les appareils de réseau privé virtuel (VPN).
Grâce au réseau de sources de renseignements sur les menaces de Microsoft, le géant technologique a identifié plusieurs dizaines d’hôpitaux dont l’infrastructure comporte des passerelles et des appareils VPN vulnérables, a écrit mercredi la Microsoft’s Threat Protection Intelligence Team dans un article de blog.
L’entreprise a envoyé des notifications ciblées à ces hôpitaux avec des informations sur les vulnérabilités, la manière dont les attaquants peuvent en tirer parti et une forte recommandation d’appliquer des mises à jour de sécurité qui les protégeront contre l’exploitation de ces vulnérabilités particulières et d’autres.
L’avertissement de Microsoft intervient également alors que la plateforme de vidéoconférence Zoom tente de résoudre les problèmes de sécurité et de protection de la vie privée. Les législateurs fédéraux et étatiques font pression sur l’entreprise pour obtenir plus de réponses sur ses pratiques en matière de confidentialité et de sécurité des données, alors que des trolls Internet auraient exploité une fonction de partage d’écran de Zoom pour détourner des réunions, ou ce que l’on appelle le « zoombombage ».
Alors que les cyber-attaquants sont connus pour exploiter les vulnérabilités des dispositifs de réseau, de plus en plus de campagnes de rançon exploitées par l’homme voient l’opportunité et sautent dans le train en marche, a déclaré Microsoft.
Les campagnes de ransomware gérées par des êtres humains sont bien supérieures aux campagnes de rançon « ordinaires » et constituent une menace importante et croissante pour les entreprises. Ces attaques manuelles au clavier, qui sont différentes des logiciels de ransomware à diffusion automatique comme WannaCry ou NotPetya, emploient des méthodes de vol d’identité et de déplacement latéral traditionnellement associées aux attaques ciblées comme celles des acteurs des États nations, a déclaré Microsoft dans un récent article de blog.
Une campagne de ransomware baptisée REvil (également connue sous le nom de Sodinokibi) exploite activement les vulnérabilités des passerelles et des VPN pour s’implanter dans les organisations ciblées. Une fois que les attaques pénètrent dans le réseau, elles volent les identifiants, augmentent leurs privilèges et se déplacent latéralement sur les réseaux compromis pour assurer la persistance avant d’installer des rançons ou d’autres charges utiles de logiciels malveillants, selon Microsoft.
Les cybercriminels à l’origine de ces attaques font preuve d’une « connaissance approfondie de l’administration des systèmes et de la mauvaise configuration courante de la sécurité des réseaux ».
« Ils emploient des méthodes d’attaque humaines pour cibler les organisations les plus vulnérables aux perturbations, c’est-à-dire celles qui n’ont pas eu le temps ou les ressources nécessaires pour vérifier leur hygiène de sécurité, comme l’installation des derniers correctifs, la mise à jour des pare-feu et la vérification de la santé et des niveaux de privilèges des utilisateurs et des points d’extrémité, ce qui augmente la probabilité de gains », a écrit l’équipe de Microsoft.
En outre, ces attaques persistent généralement sur les réseaux sans être détectées, parfois pendant des mois. Il est donc plus difficile de remédier à ces ransomwares, car les équipes de sécurité peuvent avoir du mal à trouver où les attaquants ont établi la persistance et à identifier les boîtes de réception de courrier électronique, les informations d’identification, les points d’extrémité ou les applications qui ont été compromis.
Pour réduire immédiatement le risque d’une attaque par un logiciel de rançon, Microsoft recommande aux hôpitaux de prendre les mesures suivantes
- Appliquer toutes les mises à jour de sécurité disponibles pour les configurations de VPN et de pare-feu.
- Surveiller et accorder une attention particulière à l’infrastructure d’accès à distance. Toute détection provenant de produits de sécurité ou d’anomalies constatées dans les journaux d’événements doit faire l’objet d’une enquête immédiate. En cas de compromission, assurez-vous que tout compte utilisé sur ces dispositifs a un mot de passe réinitialisé, car les informations d’identification pourraient avoir été exfiltrées.
- Activez les règles de réduction de la surface d’attaque, y compris les règles qui bloquent le vol de justificatifs d’identité et l’activité des logiciels de rançon. Pour lutter contre les activités malveillantes initiées par des documents Office armés, utilisez des règles qui bloquent l’activité des macros avancées, le contenu exécutable, la création de processus et l’injection de processus initiés par les applications Office. Pour évaluer l’impact de ces règles, les déployer en mode audit.
- Activez l’AMSI (Antimalware Scan Interface) pour Office VBA si l’organisation utilise Office 365.
Les organismes de santé doivent examiner les directives sur la sécurisation de l’infrastructure de serveur privé virtuel/ VPN de l’Agence de cybersécurité et de sécurité des infrastructures du ministère de la sécurité intérieure et de l’Institut national des normes et des technologies du ministère du commerce (Nous sommes aux Etats-Unis)
Microsoft a également publié un rapport sur les stratégies d’atténuation que les organisations peuvent adopter pour aider à rendre les réseaux résistants à ces menaces de logiciels rançonnés et aux cyberattaques en général.
