Archives de catégorie : cyberattaque

cyberattaque, Justice, Sécurité

Le développeur de NetWire arrêté

En Croatie, le développeur de NetWire RAT, Mario Žanko, a été arrêté et l’infrastructure du malware a été saisie par les autorités.

Mario Žanko, 40 ans, est un informaticien recherché par le FBI depuis des années. Il faut dire aussi que son logiciel pas comme les autres a permis d’orchestrer des dizaines de milliers de piratages de part le monde. L’outil en question, un cheval de Troie baptisé NetWire RAT (Remote Access Trojan). Des centaines de pirates utilisent cet outil d’espionnage comme vous pourrez le lire plus bas.

L’opération internationale, à laquelle ont participé le FBI et les forces de l’ordre de nombreux pays, dont la Croatie, la Suisse et l’Australie, a conduit à l’arrestation du créateur du malware. Les autorités ont saisi son site web (World Wired Labs) ainsi que du serveur d’hébergement.

Vendu comme outil pour entreprise

En 2012, Netwire était vendu, comme je vous le montre dans ma capture écran datant de cette époque, comme un logiciel d’entreprise, ayant pour mission d’augmenter la productivité de la société acquéreuse. « NetWire fournit une collection intégrée d’utilitaires d’administration au sein d’une interface centralisée pour la gestion à distance des serveurs, postes de travail, ordinateurs de bureau et ordinateurs portables Windows, Linux et Solaris. Une interface intuitive et simple offre un accès simplifié aux versions personnalisées des utilitaires d’administration, dont beaucoup ont été considérablement améliorés pour offrir des performances supérieures, des fonctionnalités supplémentaires et une facilité d’utilisation. » dixit le service marketing de l’époque.

Seulement, l’outil va très vite être détourné. Il va devenir le cheval de Troie le moins cher du marché, et le plus utilisé. Les licences allaient de 10$ à 1200 dollars par mois, les pirates avaient en main un outil particulièrement efficace. Le mandat d’arrêt contre l’auteur du Netwire RAT a été émis le 3 mars 2023.

Quelques jour plus tard, dans le cadre d’une opération internationale coordonnée, le développeur a été arrêté en Croatie. Le FBI a confisqué le nom de domaine, la police suisse a saisi le serveur hébergeant le site.

La presse Croate a révélé que son auteur, Mario Žanko (40 ans), originaire de Sinja, passera les prochains jours en garde à vue à Remiteče, afin de ne pas influencer les potentiels témoins. Les enquêteurs ont trouvé plus de 650 000 dollars américains, et 268 615 euros sur des comptes bancaires.

L’enquête a débuté à l’automne 2020. Le FBI a acheté une licence NetWire et tiré les ficelles durant trois mois pour remonter à l’auteur. Pas bien compliqué, son adresse Gmail était accessible depuis 2012.

Des pirates Nigérians adeptes de Netwire

Cela peut paraître drôle et moins pathétique que ce à quoi nous sommes habitués. Mais des pirates nigérians ont été actifs dans des attaques visant des entreprises de transport en Amérique du Nord, en Europe et au Moyen-Orient. Les détails concernant les attaquants ont été révélés par les chercheurs de Proofpoint, qui ont étudié en profondeur les formes et les méthodes du groupe TA2541 pendant plusieurs années. Selon les experts, les pirates ciblent exclusivement les industries de l’aérospatiale, de l’aviation, de la défense, de la fabrication et du transport. Le groupe est actif depuis au moins 2017 et a utilisé des sujets liés à l’aviation, aux transports et aux voyages pour infecter des cibles avec divers chevaux de Troie d’accès à distance (RAT), dont Netwire.

Toujours la même méthode : des courriels de phishing contenant des pièces jointes Word activées par macro pour déployer des charges utiles malveillantes. Ils ont une tactique et s’y tiennent, et apparemment cela fonctionne puisque le groupe se comporte de la même manière depuis 5 ans.

Toutefois, dans les attaques récentes, le groupe a commencé à utiliser fréquemment des liens vers des services nuagiques (cloud), notamment Google Drive, OneDrive, GitHub, Pastetext et Sharetext. Les URL de Google Drive récemment découvertes ont conduit à un fichier VBS malveillant conçu pour recevoir des charges utiles provenant d’autres plateformes. Les attaques utilisent également des scripts PowerShell et Windows Management Instrumentation (WMI) pour interroger les produits de sécurité que l’attaquant tente de désactiver. TA2541 recueille également des informations sur le système avant d’installer des RAT et envoie généralement plus de 10 000 messages à la fois pendant l’attaque.

Les experts estiment que le groupe n’est pas très compétent, car il utilise des familles de logiciels malveillants populaires de 2017 accessibles au public. Mais récemment, les attaquants ont privilégié AsyncRAT, NetWire, Parallax et WSH RAT aux côtés de Revenge RAT, vjw0rm, Luminosity Link, njRAT.

L’objectif ultime des attaquants reste inconnu à l’heure actuelle.

cyberattaque, Cybersécurité

Medusa ransomware, le groupe de pirates aux dents longues

Le jeune groupe de hackers Medusa, spécialise de la prise d’otage d’entreprise, montre un appétit et des cibles de hauts niveaux !

Voilà qui est inquiétant, et étonnant. Le jeune groupe de pirates informatiques du nom de Medusa est apparu « publiquement » début janvier 2023.

Ce groupe de malveillants affiche déjà plus de 25 entreprises victimes, menacées et/ou dont les informations internes, sensibles ont été diffusées dans le darkweb et sur des messageries sécurisées.

Parmi les victimes, L’Institut des Technologie de l’Espace du Pakistan, l’Autorité des aéroports du Kenya, la Banque d’Afrique, l’entreprise indonésienne PetroChina, le Casino Eureka de Las Vegas, ou encore, Tonga Communication et, ce 7 mars, l’école publique de Minneapolis.

Les demandes de rançons peuvent dépasser plusieurs centaines de milliers de dollars. Ils diffusent les informations exfiltrées en cas de non paiement aprés un compte à rebours pouvant atteindre une dizaine de jours.

Pour la casino de Las Vegas, par exemple, plus de 12 ans de données internes, dont l’analyse des joueurs !

Les pirates informatiques de Medusa filment leurs infiltrations et les diffusent sur le web.

Chiffrement, cyberattaque

Ransomware : 4 entreprises sur 10 ne récupèrent pas toutes leurs données

Plus de 4 entreprises sur 10 ne récupèrent pas toutes leurs données après le versement d’une rançon. Plus d’un tiers des entreprises ayant payé une rançon ont été visées une seconde fois par des cybercriminels.

En complément de son Rapport 2022 sur la gestion des cyber risques, Hiscox, assureur spécialiste de la protection cyber pour les petites et moyennes entreprises, a dévoilé un nouveau focus dédié aux ransomwares. Pour rappel, le business des assurances cyber s’est vue renforcée, en décembre, avec la possibilité pour les entreprises impactées par un ransomware (ou une cyber attaque) d’être remboursée par leur assureur. L’assureur Hiscox met en évidence les limites du paiement des rançons par les entreprises : 59% des entreprises ayant payé une rançon à des cybercriminels n’ont pas réussi à récupérer toutes leurs données.

Les statistiques montrent que le paiement des rançons ne résout pas tous les problèmes. Il n’est, par exemple, souvent pas possible de restaurer pleinement son système informatique ou d’éviter une fuite des données. Le rapport montre qu’il est plus efficace d’investir dans la mise en œuvre d’une cyber défense solide – en maintenant les logiciels à jours, en organisant des formations internes régulières, en sauvegardant fréquemment ses données – ainsi que dans la préparation d’une réponse appropriée en cas d’attaque, plutôt que de payer systématiquement les cybercriminels.

Un chiffre est particulièrement éloquent : plus d’un quart (26%) des entreprises qui ont payé une rançon dans l’espoir de récupérer leurs données l’ont fait parce qu’elles n’avaient pas de sauvegardes.

Outre la perte de données, une part significative des entreprises ayant payé les rançons a été confrontée à d’autres problèmes :
43 % ont dû reconstruire leurs systèmes, alors même qu’elles avaient reçu la clé de déchiffrement
36 % ont subi une autre attaque par la suite
29 % ont vu leurs données divulguées
Dans 19 % des cas, le pirate a ensuite exigé plus d’argent
Dans 15 % des cas, la clé de déchiffrement n’a pas fonctionné
Plus d’un quart (26 %) a estimé que l’attaque avait eu un impact financier important, menaçant la solvabilité et la viabilité de leur entreprise.

cyberattaque, Cybersécurité

Défendre la liberté numérique en temps de cyberguerre

Au vu du contexte en Ukraine et de l’invasion Russe, nous sommes témoins en temps réel d’une cyberguerre totale qui se déroule sous nos yeux. Aujourd’hui en Europe, la cybersécurité et la liberté numérique sont, au sens propre, des questions de vie ou de mort… le champion des echecs Garry Kasparov donne son avis !

On me demande souvent, depuis l’invasion lancée par Poutine en Ukraine, comment j’avais compris qu’il allait lancer une guerre. La réponse est simple : je ne suis pas devin, je ne tire pas les cartes mais j’écoute attentivement ce que dit Poutine. Les dictateurs peuvent affabuler et mentir à leur guise sur le passé, mais ils sont plutôt honnêtes quand il est question de leurs plans d’avenir. Il y a quelques années durant un dîner chez l’auteur de l’article « Pourquoi j’aurais dû écouter Garry Kasparov quand il parlait de Poutine », j’avais expliqué que Poutine n’abandonnerait pas ses projets pour l’Ukraine, à moins qu’il ne soit arrêté avant. D’ailleurs, lorsque Poutine a nié l’existence de l’Ukraine en tant que pays, j’ai aussitôt tiré la sonnette d’alarme. Il s’agissait là clairement d’un appel à la guerre.

Pourquoi la Russie perd la cyberguerre

Nous savons que le Kremlin a lancé des dizaines de cyberattaques contre des cibles ukrainiennes depuis le début de cette nouvelle invasion, le 24 février. Mais malgré tous les plans et toutes les stratégies de Poutine, la Russie perd la cyberguerre en Ukraine. Pourquoi ?

L’une des raisons de cet échec est la force du peuple ukrainien : tout comme l’armée ukrainienne a gagné la bataille de Kiev et continue à lutter contre l’armée de conscrits de Poutine en rendant coup pour coup, les spécialistes ukrainiens en cybersécurité défendent le pays des attaques du Kremlin.

Cet échec russe s’explique également par le fait que les systèmes russes et ukrainiens étaient si imbriqués que chaque attaque contre l’Ukraine pouvait se retourner contre la Russie. Un détail que ZATAZ avait indiqué, en premier, dés le mois de février 2022, démontrant la faiblesse des russes sur les réseaux sociaux.

Enfin, cette guerre nous a montré la grande vulnérabilité des systèmes russes. Des individus ou des groupes tels que les Anonymous n’ont eu aucune difficulté à pirater des sites du gouvernement russe.

Nous pouvons en tirer une leçon importante : la guerre en Ukraine nous a montré que les forces de la démocratie sont plus fortes, plus perfectionnées et plus avancées que les forces de l’autoritarisme. Nous devons, à juste titre, nous inquiéter de ce mal, mais nous ne devons pas en avoir peur.

La guerre et la cyberguerre peuvent nous sembler abstraites, mais elles nous aident à nous rappeler l’importance de la cybersécurité dans notre vie quotidienne. En effet, nous avons tous fait l’expérience de cybermenaces. Vous avez déjà reçu un spam, vu de fausses informations débitées dans des commentaires Facebook ou Twitter par des bots ou aidé une personne âgée à éviter les pièges d’une tentative de phishing ? Alors, vous savez que la cybercriminalité ne cesse d’augmenter. Nos vies se passent de plus en plus en ligne. Les outils de l’autoritarisme et de l’exploitation sont de plus en plus perfectionnés. Nous avons donc besoin de technologies qui évoluent sans cesse pour protéger la démocratie et notre confidentialité en ligne. La meilleure défense contre les cyberattaques, c’est un bon moyen de dissuasion.

La liberté numérique diffère d’une nation à l’autre

La révolution numérique a vécu une accélération sans précèdent. La pandémie de COVID-19 nous a tous forcé, ainsi que les gouvernements et les pays, à nous adapter à une vie virtuelle et hybride. Dans la plupart des pays démocratiques, cette transition numérique a exposé les utilisateurs à plus d’escroqueries en ligne et à un risque plus grand de piratage. Mais dans des endroits où est encore en place le rideau de fer de l’autoritarisme, comme la Russie de Poutine ou le Myanmar de la junte militaire, la pandémie a offert l’occasion au totalitarisme de réprimer davantage les citoyens et de limiter encore leur liberté numérique.

Ces citoyens du monde entier, privés d’un accès libre à Internet, doivent trouver des moyens créatifs, peu fiables et risqués pour contourner les pares-feux et la censure de leurs gouvernements. Cependant, ce dont nous sommes témoins aujourd’hui en Russie est du jamais vu. La coupure d’Internet en Russie par Poutine est un exemple historique d’une nation entière qui disparait du réseau Internet mondial. Les utilisateurs en Russie seront donc plus vulnérables aux malwares que jamais auparavant. Cependant, il nous reste encore à découvrir toutes les conséquences que ce changement cataclysmique aura sur Internet.

backdoor, cyberattaque

Black Basta aurait des liens avec les pirates de FIN7

Des recherches sur le ransomware Black Basta démontreraient des preuves reliant le groupe de rançongiciels aux pirates informatiques FIN7, un groupe de hackers malveillants connu sous le nom de Carbanak.

Le ransomware Black Basta, apparu en avril 2022, a attaqué plus de 90 entreprises et organisations en septembre 2022. La rapidité et le volume des attaques prouvent que les acteurs à l’origine de Black Basta sont bien organisés et disposent de ressources importantes.

Pourtant, rien n’indique que ce ransomware ait tenté de recruter des affiliés ou de faire sa promotion en tant que RaaS sur les forums habituels du darknet. Cette posture a donné lieu à de nombreuses spéculations sur son origine, son identité et son fonctionnement.

Les chercheurs de la société SentinelLabs auraient remarqué des chevauchements entre des cas apparemment différents – estime qu’il est très probable que ce ransomware ait des liens avec FIN7. Plus précisément il semblerait que le développeur de ces outils d’évasion EDR est, ou ait été, un développeur de FIN7.

Les personnes à l’origine de Black Basta développent et maintiennent leur propre boîte à outils et excluent les affiliés ou ne collaborent qu’avec un ensemble limité d’affiliés de confiance, de la même manière que d’autres groupes de ransomware « privés » tels qu’avaient pu le faire Conti ou encore Evilcorp.

Ce qui n’a pas empêché ces deux entités malveillantes de disparaitre. Pour rappel, des membres du groupe CONTI feront cession aprés l’invasion Russe en Ukraine.

Parmi les outils « maison », WindefCheck.exe. Ecrit avec Visual Basic, la fonctionnalité principale repérée est d’afficher une fausse interface graphique de sécurité Windows et une icône de barre d’état système avec un état système « sain », même si Windows Defender et d’autres fonctionnalités du système sont désactivés.

Bilan, l’image permet de leurrer les utilisateurs de la machine infiltrée. Ces derniers ne voyant aucune alerte de sécurité concernant leur ordinateur.

cyberattaque, DDoS

Les attaques DDoS restent l’un des principaux types d’incidents identifiés en 2022

Selon le dernier Data Breach Investigations Report (DBIR) publié par Verizon, en 2022 les attaques DDoS restent l’un des principaux types d’incidents identifiés avec les attaques par botnets. Mirai, Emotet, LemonDuck sont autant de noms qui, hors contexte, pourraient faire sourire, mais qui, dans le monde de la cybersécurité, donnent du fil à retordre aux équipes informatiques des organisations du monde entier, et ce avec des méthodes d’attaques somme toute très simples.

Les cybercriminels se sont non seulement banalisés – aujourd’hui n’importe qui peut s’improviser hacker, grâce aux outils disponibles sur le darkweb – mais ils ont également amélioré leurs méthodes d’attaque, pour la plupart établies de longue date, en y apportant de nouvelles modifications et stratégies. C’est le cas des botnets, qui existent depuis les années 1980.

En effet, un rapide historique de ces réseaux de bots informatiques – des programmes connectés à internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches –, met en évidence la manière dont, en l’espace de 20 ans, les pirates ont modifié leur façon de les utiliser.

Les premiers du genre ont été déployés sur des ordinateurs de type serveur. Par la suite, les attaquants ont commencé à créer des botnets capables de mener des attaques par déni de service distribué (DDoS) en compromettant des ordinateurs personnels (PC) ; ils continuent d’ailleurs aujourd’hui à les utiliser afin de créer des botnets et lancer des attaques DDoS.

« À l’heure actuelle, les botnets de l’internet des objets (IoT) sont monnaie courante, les cybercriminels lançant généralement des attaques DDoS par l’intermédiaire de dispositifs IoT, via une infrastructure commune de commande et de contrôle (C2). Ces botnets ont vu leur popularité monter en flèche après la fuite du code source du botnet IoT Mirai en 2016. » confirme Philippe Alcoy, de chez NETSCOUT.

La stratégie malveillante évolue

Cependant, les acteurs malveillants ont à nouveau modifié leur stratégie en augmentant la taille des botnets IoT et en intégrant des serveurs puissants dans des botnets plus importants. Les serveurs sont utilisés pour lancer des attaques DDoS ciblées contre des actifs de grande valeur. Toutefois, il est intéressant de remarquer que les attaquants font évoluer leur stratégie pour créer de puissants botnets Mirai.

De nouveaux botnets Mirai de type serveur sont désormais créés et utilisés pour lancer des attaques DDoS directes à fort impact. Ainsi, malgré un coût beaucoup plus élevé pour une organisation malveillante, les cybercriminels privilégieront une attaque DDoS directe par botnet, pour s’assurer de dommages de très grande envergure, comme l’ont démontrés deux des attaques de plus de 2,5 Tbps détectées au deuxième semestre 2021.

Si ce type d’attaque est coûteux, il est accessible à toute personne ayant les moyens de le provoquer, ce qui en fait un outil redoutable. Explication en vidéo.

Si différentes tendances fluctuent à travers le monde, les attaques DDoS par botnet ne doivent surtout pas être minimisées. Elles constituent bel et bien une menace de taille pour les entités gouvernementales, les établissements de santé et les entreprises, et ce sans distinction. De plus, si on remarque une sophistication des techniques d’attaque, il est intéressant de noter que les profils des acteurs malveillants sont variés et parfois loin de la professionnalisation ; d’où la nécessité d’anticiper tout type de menace afin de mieux s’en prémunir.

cyberattaque, Social engineering, Téléphonie

Une nouvelle version d’un logiciel espion visant les citoyens iraniens, Furball, caché dans une application de traduction

Une nouvelle version du malware Android FurBall utilisée dans une campagne « Domestic Kitten » impacte les citoyens iraniens. Et cela dure depuis 2016 !

Des chercheurs ont récemment identifié une nouvelle version du malware Android FurBall. Cette version est utilisée dans une campagne nommée Domestic Kitten. Le groupe de pirates APT-C-50 opère des actions de surveillance visant des smartphones de citoyens iraniens. Depuis juin 2021, le malware est diffusé sous couvert d’une application de traduction par l’intermédiaire d’une copie d’un site web iranien fournissant des articles, des revues et des livres traduits. La campagne Domestic Kitten remonte au moins à 2016 et est toujours active.

Cette version de FurBall possède les mêmes fonctionnalités de surveillance que les versions précédentes. Comme la fonctionnalité de cette variante n’a pas changé, l’objectif principal de cette mise à jour semble être d’échapper aux logiciels de sécurité. Ces modifications n’ont cependant eu aucun effet sur les solutions ESET, qui ont détecté cette menace sous le nom de Android/Spy.Agent.BWS. FurBall,. Ce malware Android utilisé depuis le début de ces campagnes, a été créé à partir du stalkerware commercial KidLogger.

L’échantillon analysé par l’éditeur d’antivirus ESET ne demande qu’une seule permission intrusive ; celle d’accéder aux contacts. La raison pourrait être son objectif d’éviter d’être détecté, mais d’un autre côté, nous pensons également qu’il pourrait s’agir de la phase préliminaire d’une attaque d’hameçonnage ciblé menée par SMS. Si l’auteur de la menace élargit les autorisations de l’application, il pourrait être également possible d’exfiltrer d’autres types de données à partir des téléphones concernés, comme les SMS, la géolocalisation de l’appareil, les appels téléphoniques et bien plus encore.

Cette application Android malveillante est diffusée via un faux site web imitant un site légitime qui propose des articles et des livres traduits de l’anglais au persan (download maghaleh). D’après les coordonnées du site web légitime, ce service est proposé depuis l’Iran, ce qui nous amène à penser avec quasi-certitude que le faux site web cible des citoyens iraniens. « Le but est de proposer une application Android à télécharger après avoir cliqué sur un bouton qui indique en persan « Télécharger l’application ». Le bouton porte le logo Google Play, mais cette application n’est pas disponible dans Google Play Store. Elle est téléchargée directement depuis le serveur de l’attaquant « déclare Luká tefanko, chercheur chez ESET.

APT, backdoor, cyberattaque

Cyber attaque : campagne de cyber-espionnage du groupe POLONIUM contre des cibles basées en Israël

Des pirates s’intéressant uniquement à des cibles israéliennes, POLONIUM, ont attaqué plus d’une douzaine d’organisations dans différents secteurs, tels que l’ingénierie, les technologies de l’information, le droit ou encore les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM a ciblé plus d’une douzaine d’organisations en Israël depuis au moins septembre 2021, et les actions les plus récentes du groupe ont même été observées en septembre 2022. Les secteurs ciblés par ce groupe comprennent l’ingénierie, les technologies de l’information, le droit, les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM est un groupe de cyber espionnage décrit par Microsoft pour la première fois en juin 2022. Selon Microsoft, le groupe est basé au Liban et coordonne ses activités avec d’autres acteurs affiliés au ministère iranien du Renseignement et de la Sécurité.

Selon ESET Research, POLONIUM est un acteur très actif qui dispose d’un vaste arsenal de malwares, et qui les modifie et en développe constamment de nouveaux. L’utilisation de services dans le Cloud tels que Dropbox, Mega et OneDrive pour les communications de commande et de contrôle (C&C) est une caractéristique commune à plusieurs des outils du groupe. Les renseignements et les signalements publics sur POLONIUM sont très rares et limités, probablement parce que les attaques du groupe sont très ciblées et que le vecteur d’infection initial n’est pas connu.

« Les nombreuses versions et modifications que POLONIUM a introduites dans ses outils personnalisés démontrent un effort continu visant le long terme pour espionner les cibles du groupe. ESET en déduit que ce groupe de pirates est intéressé par la collecte de données confidentielles auprès de ses cibles, et ne semble pas s’engager dans des actions de sabotage ou de ransomwares, » explique Matías Porolli, chercheur chez ESET qui a analysé la campagne.

La boîte à outils de POLONIUM se compose de sept portes dérobées personnalisées : CreepyDrive, qui détourne les services de OneDrive et Dropbox dans le Cloud pour les communications de C&C ; CreepySnail, qui exécute les commandes reçues depuis l’infrastructure des attaquants ; DeepCreep et MegaCreep, qui utilisent respectivement les services de stockage de fichiers Dropbox et Mega; et FlipCreep, TechnoCreep et PapaCreep, qui reçoivent des commandes depuis les serveurs des attaquants. Le groupe a également développé plusieurs modules personnalisés pour espionner ses cibles en prenant des captures d’écran, en enregistrant les frappes au clavier, en espionnant via la webcam, en ouvrant des shells inversés, en exfiltrant des fichiers, etc.

« La plupart des modules malveillants du groupe sont concis, avec des fonctionnalités limitées. Dans un cas, les attaquants ont utilisé un module pour effectuer des captures d’écran et dans un autre pour les transmettre au serveur de C&C. Dans le même ordre d’idée, ils aiment diviser le code de leurs portes dérobées, en répartissant la fonctionnalité malveillante dans plusieurs petites DLL. Espérant peut-être que les défenseurs ou les chercheurs n’observeront pas la chaîne d’attaque complète », termine Matias Porolli.

cyberattaque, santé

Les cyberattaques entraîneraient une augmentation des décès dans les hôpitaux

Les cyberattaques contre les établissements médicaux entraîneraient, selon des chercheurs, une probabilité d’augmentation du taux de mortalité des patients.

L’étude, menée par le Ponemon Institute, un groupe de réflexion à Washington, a interrogé plus de 600 professionnels des technologies de l’information de plus de 100 établissements de santé. Les résultats de l’étude fournissent la preuve la plus concrète à ce jour que le piratage persistant des centres médicaux américains entraîne une détérioration de la qualité des soins aux patients et une augmentation de la probabilité de leur décès.

Les deux tiers des personnes interrogées qui ont subi des attaques de rançongiciels ont déclaré que ces attaques perturbaient les soins aux patients. 59 % des personnes interrogées ont signalé une augmentation de la durée de séjour des patients à l’hôpital, ce qui a entraîné une surcharge des ressources. Près d’un quart ont déclaré que les attaques avaient entraîné une augmentation du nombre de décès dans leurs établissements.

Lors d’une attaque par rançongiciel, les pirates accèdent aux réseaux informatiques d’une organisation, les bloquent et exigent un paiement. Ces dernières années, ces piratages sont devenus un véritable désastre pour le secteur de la santé. Les hôpitaux ne signalent pas toujours les cas dont ils ont été victimes. Cependant, depuis 2018, le nombre d’attaques documentées a augmenté chaque année depuis 2018, atteignant 297 l’année dernière, selon une étude de Recorded Future.

Au cours des trois dernières années, plus de la moitié des organisations de soins de santé de l’enquête ont été infectées par des logiciels malveillants au cours des trois dernières années, selon une étude de Ponemon.

Les établissements de soins de santé vont des chaînes d’hôpitaux géants aux petites cliniques privées avec seulement quelques employés et peu ou pas de professionnels de l’informatique ou de la cybersécurité. Les dernières cyberattaques de Centres hospitaliers, en France, ont remis sur la table cette problématique sécuritaire.

Les grands réseaux hospitaliers peuvent avoir des spécialistes de la sécurité de l’information plus qualifiés, mais ces hôpitaux sont également des cibles plus importantes. Une attaque peut ralentir les soins aux patients dans des centaines d’hôpitaux à travers le pays, comme cela s’est produit lors de l’attaque de 2020 contre les services de santé universels.

« Mais il est clair depuis longtemps que les cyberattaques persistantes contre les hôpitaux font des ravages sur les patients »  indique Korman, vice-président de la société de cybersécurité Claroty.

« Nous savons que les retards d’assistance affectent le taux de mortalité, et nous savons que les cyberattaques causent des retards« , a déclaré le le Ponemon Institute.

cyberattaque, Social engineering

Le phishing, au plus haut depuis 2020

Les attaques par hameçonnage vocal hybride (téléphone et email) ont progressé de 625 % depuis le premier trimestre 2021. Plus de 58% des attaques de phishing destinées à dérober des identifiants visaient Office 365.

Les attaques basées sur la réponse ciblant les boîtes emails des entreprises viennent d’atteindre un niveau record depuis 2020, représentant à elles seules 41 % de la totalité des escroqueries par e-mail ciblant les salariés ayant eu lieu au cours du deuxième trimestre de cette année. Tel est le principal enseignement du dernier rapport trimestriel de la société HelpSystems. Entre avril à juin 2022 des centaines de milliers d’attaques par phishing et sur les réseaux sociaux visant les entreprises et leurs collaborateurs ont été repérées.

Les fraudes 419 toujours très présentes

La fraude 419 (scam 419 / arnaque nigériane) consiste en une attaque d’ingénierie sociale reposant sur la réponse des victimes à travers un canal de communication choisi. Phishing, vishing/smishing (ciblage par appel vocal ou SMS) et la fraude 419 ou “arnaque nigériane”. L’arnaque à l’amour, la plus connue, ou autres fausses ventes et propositions commerciales piégées.

Les escroqueries par fraude 419 ont représenté 54 % de toutes les menaces par e-mail basées sur la réponse au deuxième trimestre enregistrant une hausse de 3,4 % en part des signalements jusqu’à présent en 2022, et constituant régulièrement la majorité de ces attaques. La compromission des e-mails professionnels (BEC), qui permet aux acteurs de la menace de se faire passer pour une source de confiance, comme un salarié de l’entreprise ou un sous-traitant, s’est également intensifiée au cours de cette période, contribuant à 16 % du volume global des attaques. Si la part des attaques parmi les autres menaces de la catégorie « Response-Based » a baissé par rapport au premier trimestre, les attaques par vishing hybride (hameçonnage vocal amorcé par e-mail) ont pour leur part également progressé, atteignant un niveau record sur six trimestres, soit un bond de 625 % en volume par rapport à Q1 2021.

« Les attaques basées sur la réponse représentent toujours une part significative du volume de phishing, ce qui montre que les techniques d’ingénierie sociale continuent de se révéler efficaces pour les criminels », commente John Wilson, chercheur principal de l’unité Recherche sur les menaces de HelpSystems. « Nous constatons d’ailleurs que ces derniers continuent à perfectionner les leurres 419, de vishing et de BEC ; ils ne se réinventent pas, mais s’appuient majoritairement sur les nouvelles variantes des menaces d’ingénierie sociale ayant fait leurs preuves par le passé. »

Le site ZATAZ révélait, fin septembre, plusieurs fraudes aux paiements de loyer ou encore à la feuille d’imposition utilisant cette technique.

Autres enseignements clés de ce rapport

Le phishing ne cesse de progresser avec des attaques en croissance de 6 % par rapport au premier trimestre 2022. Au deuxième trimestre, les attaques sur les réseaux sociaux ont augmenté de 20 % par rapport au premier trimestre, avec une moyenne de près de 95 attaques par entreprise et par mois. Avec un bond de plus de 100 % des attaques au cours des 12 derniers mois, les plateformes sociales représentant les outils les plus accessibles pour escroquer le plus grand nombre de victimes.

Au deuxième trimestre, le cheval de Troie Emotet a officiellement regagné son statut de principale charge utile après avoir progressé de 30 % pour représenter près de la moitié de toutes les attaques par malware. Le nouveau venu, Bumblebee, s’établit à la troisième place, et serait potentiellement lié aux anciens payloads très prisés que sont Trickbot et BazaLoader.

Les attaques par vol d’informations d’identification visant les comptes Office 365 ont atteint un niveau record sur six trimestres en termes de part et de volume au cours de la période analysée. Plus de 58% de tous les liens de phishing destinés à dérober des identifiants visaient ceux liés à Office 365 (+ 17,7 % sur l’année).