[États-Unis] Rapport du H3C sur les attaques par rançongiciel en 2022 dans le secteur de la santé

10/05/2022

Le 5 mai 2022, le Centre de coordination de la cybersécurité du secteur de la santé (HC3), rattaché au ministère de la Santé et des Services sociaux américain, a émis un rapport sur l’activité des attaques par rançongiciel contre des acteurs du monde de la santé durant le premier trimestre 2022 sur le territoire des États-Unis.

Tendances & techniques

Selon le HC3, certains groupes d’attaquants utilisent de plus en plus d’outils légitimes (outils de contrôle à distance, de transfert de fichiers, etc.) déployés dans les systèmes visés pour déployer leur attaque. Cette technique, nommée « Living off the Land » (LOTL,) permet aux attaquants de minimiser les risques de détection en se dissimulant derrière des tâches administratives apparaissant comme légitimes. Pour contrer cette menace, une matrice d’aide à la sélection de techniques de détection adaptées au détournement d’outils légitimes tels que Cobalt Strike ou MegaSync est proposée dans le rapport du H3C.

Le rapport d’analyse offre également une présentation des tendances concernant les accès initiaux utilisés par les attaquants. Il est ainsi observé une offre développée d’accès initiaux VPN/RDP vers des structures de santé. De plus, il semble qu’environ 25 % de l'activité malveillante détectée est liée à la vente d'accès présumés à des appliances Citrix VPN compromises. De manière générale, le développement de l’usage de ce type d’accès s’explique principalement par la pandémie de coronavirus ayant poussé les organisations à accélérer l'adoption de l'accès à distance et des applications cloud, au détriment des fonctionnalités basiques de sécurité telles que le blocage d’exécution de fichiers exécutables ou l’utilisation de VPN.

Une dernière observation concerne la tendance croissante de collaboration entre courtiers d'accès initiaux et groupes RaaS, permettant à ces derniers de se consacrer au développement des charges utiles et à la coordination des opérations avec les affiliés.

En réponse à ces nouvelles tendances, le HC3 fournit une liste de mesures de contournement, afin que les organisations du secteur de la santé puissent avoir la capacité de déceler et de contrer au plus vite ce nouveau type d’attaque.

Pour rappel, le CERT Santé publie deux fiches réflexes et un guide concernant les attaques par rançongiciel.

HHS ransomware report

Fiche reflexes ANS maliciel 1

Fiche reflexes ANS maliciel 2

Fiche reflexes ANS rançongiciel