[Etats-Unis] Un fournisseur de service Cloud pour des maisons de retraite médicalisées, victime d'une attaque par cryptogiciel

Le 17 novembre 2019, Virtual Care Provider Inc. (VCPI), une entreprise offrant divers services de cybersécurité dans le Wisconsin aux Etats-Unis a été la cible d’une attaque par le cryptogiciel Ryuk. VCPI fournit à 114 maisons de retraite américaines des services de consulting en cybersécurité, des accès à Internet, du stockage de données et des services de sécurité.

Si l’attaque ne s’est produite que récemment, la société Hold Security affirme que le système a été compromis depuis 14 mois.

Les clients de VCPI ont accès à leurs dossiers patient via une plate-forme de réseau virtuel privé (RPV) basée sur Citrix. L’indisponibilité des systèmes causés par l’attaque empêche le personnel hospitalier d’accéder aux dossiers médicaux des patients. Au total, ce sont près de 80 000 ordinateurs et serveurs qui sont affectés par cet incident.

Les impacts pour VCPI et ses clients sont nombreux. En effet, la PDG de VCPI, Karen Christianson, a déclaré que l’attaque avait touché toutes les prestations de l’entreprise, y compris le service Internet, les messageries électroniques, l’accès aux données des patients, la facturation des clients, les systèmes téléphoniques et même les opérations de paie de près de 150 employés de VCPI.

Le PDG de VCPI a déclaré que l'entreprise se concentrait entièrement sur la reconstruction des systèmes d'information ainsi que sur les mesures d'information nécessaires afin que les clients soient tenus au courant à chaque étape du processus.

Les premières informations fournies par VCPI permettent d’obtenir un premier aperçu du déroulé de l’attaque :

  • D’après les informations récoltées sur le dark web par l’entreprise Hold Security, l’intrusion aurait eu lieu en septembre 2018 ;
  • Un mail de hameçonnage est envoyé, contenant une pièce jointe qui permet de télécharger un maliciel –comme Trickbot et Emotet ;
  • Une fois dans le système, Ryuk détourne les accès privilégiés pour prendre le contrôle d’au moins un compte administrateur et effectue différents rebonds via le protocole RDP (Remote Desktop) dans l’infrastructure ciblée ;
  • Les logiciels de sécurité et d’antivirus sont contournés grâce au statut d’administrateur ;
  • A 1h30 du matin heure locale, le 17 novembre 2019, des attaquants ont déployé le cryptogiciel Ryuk dans les réseaux de VCPI qui a chiffré tous les hébergeurs de leurs clients et demandant une rançon de $14 millions en Bitcoins pour récupérer les fichiers ;

Ryuk sévit depuis 2018 et serait associé, selon FireEye, au groupe Grim Spider. Ce programme malveillant opère un ciblage précis des entreprises qu’il va infecter, privilégiant en particulier les fournisseurs de solutions cloud (cloud-data firms). Au sein de réseau cible, le cryptogiciel infectera une machine utilisée par un cadre ou un dirigeant car ces derniers seront susceptibles de pouvoir payer des rançons importantes. Ryuk aurait ainsi déjà permis d’extorquer, en 6 mois, 3.7 millions de dollars en bitcoins.

Recommandations
+
  • S’assurer que son fournisseur Cloud est certifié HDS (Hébergeur de Données de Santé) et qu'il dispose d'un plan de continuité d'activité ;
  • Ne pas dépendre d’un seul fournisseur Cloud ;
  • S’assurer des capacités de continuité d’activité de ses fournisseurs ;
  • Mettre en place une sauvegarde automatique sur des périphériques distants et protégés ;
  • Prévoir dans le contrat de fourniture de service que le fournisseur de service Cloud se soumet à des pentest réguliers ;
  • Prévoir dans le contrat de fourniture de service que les données confiées à un fournisseur de service Cloud sont sauvegardées sur la base d'un cahier des charges ;
  • Disposer de procédures de travail dégradé.