[Etats-Unis] Menace d’attaques par rançongiciel sur les établissements de santé

Plusieurs agences fédérales ont récemment alerté les établissements de santé américains à propos de menaces imminentes de cyberattaques. 

Celles-ci seraient menées par le groupe Wizard Spider (ou UNC1878) avec un but financier. Trois hôpitaux ont été touchés la semaine dernière et plusieurs autres avaient déjà été attaqués durant le mois dernier. 

Le vecteur d’infection initial est un mail contenant des liens malveillants. Cependant, suite à cette première intrusion, les TTPs (Tactiques, Techniques et Procédures) changent constamment en fonction de l’établissement visé, ce qui rend difficile les analyses et la mise en place d’une stratégie de défense. 

Toutes ces attaques ont pour point commun l’utilisation du rançongiciel Ryuk en tant que charge active suite au déploiement de TrickBot. 

Pour rappel, TrickBot est un cheval de troie aux multiples fonctionnalités, capable entre autres, de voler des identifiants et des données, effectuer de la reconnaissance de réseaux et des mouvements latéraux. Il peut aussi télécharger des charges actives et permettre un accès distant à un attaquant. Quant à Ryuk, il s’agit d’un rançongiciel qui est apparu vers août 2018 et qui est vraisemblablement dérivé du rançongiciel Hermès. Ces deux malwares sont en constante évolution depuis plusieurs années. 

Pour plus de détails techniques ainsi qu’une liste d’indicateurs de compromission, des liens vers des articles et bulletins de sécurité sont disponibles dans la partie Références.