[Etats-Unis] Multiples attaques avec rançongiciel contre des établissements de santé

Trois établissements de santé aux Etats-Unis ont été victimes d’attaques par rançongiciel, toutes trois orchestrées par différents groupes d’attaquants.  

Les trois établissements de santé touchés sont Wilmington Surgical Associates, une clinique spécialisée basée en Caroline du Nord, Riverside Community Care, une entreprise spécialisée dans les problèmes mentaux, et  Beacon Health Solutions qui est un fournisseur de services support à la gestion des structures de santé. REvil, NetWalker et Conti sont les groupes de hackers à l’origine des attaques et on peut remarquer beaucoup de points communs dans leurs modes opératoires. 

Ces trois groupes ont utilisé une méthode dite de double extorsion, avec une intrusion initiale qui leur permet de s’installer durablement dans le réseau de la victime avec pour but le vol de données. Les attaquants exploitent principalement les e-mails de phishing, la récupération d’identifiants par force brute sur le protocole de bureau à distance Windows (RDP) et les réseaux privés virtuels (VPN) pour s’introduire sur le réseau de la victime.

Cette phase ou les attaquants ont un pied dans le réseau et récupèrent des données sans toutefois être détecté peut durer un certain temps mais dès qu’ils ont trouvé le bon moment, ils passent alors à la phase de déploiement du rançongiciel. Les données extorquées préalablement (informations relatives à la gestion de la structure, aux soins, aux patients, etc…) sont alors publiées sur internet petit à petit et permettent de mettre une pression supplémentaire lors de la négociation d’une rançon.

Pour plus d’informations, un lien vers l’article d’origine est disponible dans la section Références.