Intensification des ransomwares dans la santé : "payer ou ne pas payer, telle est la question"

Les cybercriminels s’attaquent volontiers au secteur de la santé dans l’objectif de collecter des données et les utiliser à des fins de violation médicale d’identité et fraude.

En France, les attaques par ransomware constituent une menace croissante pour les établissements de santé et de plus en plus d’hôpitaux s’y retrouvent confrontés, sommés de payer une rançon pour reprendre le contrôle de leurs systèmes et récupérer leurs données. Une récente étude de Healthcare IT News révèle que plus de 50% des professionnels de santé ont été victimes de ransomwares au cours des 12 derniers mois.

Les cybercriminels se sont rendu compte que les établissements de santé sont des cibles vulnérables du fait de la nature sensible des données des patients et de leur dépendance vis-à-vis des systèmes IT pour assurer la gestion des processus cliniques. A peine cinquante responsables sécurité des systèmes d’information sont en charge de 1 000 hôpitaux en France. Que ce soit des structures publiques ou privées, dans 95% des cas aucun employé n’assure la gestion de la sécurité informatique, favorisant l’augmentation des failles de sécurité. Imaginez qu’un service d’urgences n’ait plus accès aux résultats d’analyses de patients gravement malades ou que des médecins ne puissent établir de diagnostic faute de pouvoir consulter les dossiers médicaux. Si la vie d’un patient est en jeu, payer une rançon peut sembler la meilleure décision à prendre.

La technique du ransomware est connue depuis longtemps mais elle n’a jamais été aussi populaire et lucrative. Selon une étude Bitdefender, 58% de tous les fichiers malveillants diffusés via e-mail en France contenaient une forme de ransomware en 2015. Durant cette même année, les ransomwares ont causé plus de 350 millions de dollars de dommages au niveau mondial et la moitié des victimes ont déclaré être prêtes à payer jusqu’à 450 euros pour récupérer leurs données chiffrées.

Contrairement à d’autres types de logiciels malveillants utilisés pour exfiltrer des données, les ransomwares visent à entraver le bon fonctionnement de l’entreprise victime, soit par le chiffrement de fichiers et données critiques soit par le verrouillage du système jusqu’au paiement d’une rançon. Dérober des numéros de carte bancaire et s’en servir pour commettre une fraude devient de plus en plus difficile maintenant que les banques et commerçants mettent en place des contrôles stricts à chaque étape de la procédure pour détecter et empêcher la transaction.

A l’inverse, la technique du ransomware comprend un moins grand nombre d’étapes et elle profite du caractère d’urgence et du climat de panique instauré pour contraindre la victime à payer. De plus, le réseau TOR (comprenez le Dark web) et les bitcoins aident à opérer sous couvert d’anonymat. Selon Forbes, le ransomware Locky infecte 90 000 systèmes par jour environ et promet aux utilisateurs de déverrouiller leur système en échange de 0,5 à 1 bitcoin (environ 420 dollars).

Un vecteur d’attaque typique des ransomwares

Le plus souvent, tout commence par la réception d’un e-mail de phishing. L’édition 2015 du rapport Data Breach Investigation Report (DBIR) de Verizon montre que 23% des destinataires d’e-mails de phishing les ouvrent et que 11% vont même jusqu’à ouvrir les pièces jointes. Conclusion, 2 victimes sur 100 destinataires !

Une approche de phishing plus ciblée, celle de harponnage, aussi appelée « spear phishing », s’avère plus efficace encore. Quelle est la probabilité que vous cliquiez sur un e-mail qui provient apparemment de votre médecin traitant avec des résultats d’analyses en pièce jointe ? Ou d’un e-mail de source officielle concernant un excès de vitesse commis à une date, une heure et un endroit qui peuvent correspondre avec vos horaires habituels et où il faut cliquer sur un lien pour obtenir plus de détails sur l’amende ?

Une fois que vous cliquez sur le lien, un site web trompeur s’affiche qui déclenche le téléchargement intempestif (drive-by-download) et l’installation d’un ransomware sur votre ordinateur. D’autres moyens de propagation sont possibles : par une clé USB infectée, l’exploitation de vulnérabilités d’applications faute d’avoir déployé les derniers correctifs à jour, de fausses publicités malveillantes (un clic sur une publicité peut suffire à rediriger des utilisateurs d’un site inoffensif vers la page d’accueil d’un site malveillant), etc.

Les contrôles de sécurité traditionnels peinent souvent à détecter des ransomwares car ils se focalisent uniquement sur les comportements inhabituels et les signes standard de compromission. Une fois installé sur un système, le ransomware se comporte comme une application de sécurité et peut interdire l’accès à d’autres systèmes / programmes. Les fichiers et systèmes sous-jacents demeurent souvent intacts et seul l’accès à l’interface est restreint. Cette technique couplée à de l’ingénierie sociale peut s’avérer très efficace.

Exemple : une page s’affiche qui informe la victime que son ordinateur est verrouillé sur décision de justice pour cause de téléchargement de films piratés, puis la victime reçoit un appel téléphonique d’un agent qui réclame le paiement d’une amende. Outre les ordinateurs traditionnels, des smartphones, appareils médicaux, accessoires vestimentaires connectés et capteurs IoT sont aussi vulnérables.

Un ransomware peut aussi se comporter comme un programme de chiffrement qui opère silencieusement en arrière-plan et chiffre des types de fichiers spécifiques (Excel, pfd, Word, pst…). L’extension des fichiers chiffrés est alors modifiée pour que les applications natives ne puissent plus les ouvrir. La demande de rançon ne tardera pas, avec un compte à rebours au bout duquel la clé de déchiffrement sera prétendument détruite de façon définitive. Les cybercriminels utilisent à présent des algorithmes standards (RSA, 3DES, AES) et des techniques de chiffrement asymétrique qui rendent le décryptage quasiment impossible sans la clé. Une fois la rançon payée, la clé de déchiffrement est adressée à la victime pour qu’elle puisse récupérer ses fichiers.

Samsam, Maktub Locker, Locky, TeslaCrypt et WinPlock4 sont quelques-uns des récents ransomwares ayant visé les établissements et institutions de santé.

Comment se protéger des ransomwares

La première étape et probablement la plus importante pour se protéger contre les ransomwares consiste à former et sensibiliser les utilisateurs. Il faut toujours se méfier des e-mails suspects. Vérifier le nom de domaine de l’expéditeur de l’e-mail. Rechercher les fautes d’orthographe, vérifier la signature et s’interroger sur la légitimité de la requête. Il est recommandé de passer la souris sur les liens pour voir où ils mènent et, si l’URL en question paraît suspecte, de taper directement l’adresse du site web ou de le rechercher dans les moteurs de recherche plutôt que de cliquer sur le lien figurant dans le corps de l’e-mail. Dans tous les cas, il convient de déployer une solution de sécurité des e-mails qui analyse les pièces jointes en plus de filtrer les messages à la recherche de spywares et de spams. Enfin, parallèlement à la formation continue des utilisateurs et à une évaluation régulière des risques, programmez des tests de vulnérabilité aux techniques de phishing.

Comme la plupart des utilisateurs se servent essentiellement de terminaux personnels et/ou professionnels, ces derniers sont particulièrement exposés s’ils ne sont pas administrés correctement ou équipés d’une protection adéquate contre les logiciels malveillants. La plupart des solutions antivirus se basent sur l’analyse de signature et ne sont donc pas efficaces si elles ne sont pas mises à jour régulièrement. Les variantes de ransomwares les plus récentes sont hachées de façon à tromper les techniques à base de signature. Souvent aussi, les utilisateurs en viennent à désactiver leur protection antivirus pour ne pas risquer de ralentir leur système. Pour contrer ces obstacles, il existe des solutions de protection des terminaux qui ont recours aux technologies avancées de machine learning et d’intelligence artificielle pour détecter les logiciels malveillants. Du fait de leur faible encombrement, le ralentissement des performances est négligeable.

L’administration des terminaux est aussi un enjeu de taille dans l’actuel contexte de prolifération des appareils aux multiples formats et systèmes d’exploitation dans les hôpitaux. Les terminaux mobiles sont particulièrement vulnérables en raison de la progression des attaques de ransomwares visant la plateforme Android comme le souligne l’édition 2016 du rapport Dell Security Annual Threat Report. Face à la diversité des cybermenaces, ransomwares compris, les organisations seraient avisées de choisir une solution capable de programmer le déploiement automatique des correctifs et des mises à jour de versions au sein des environnements hétérogènes, au niveau des terminaux, des systèmes d’exploitation et des applications.

La plupart des ransomwares ont vocation à se propager du terminal jusqu’au serveur/système de stockage où résident toutes les données et les applications stratégiques. Le fait de segmenter le réseau et d’isoler les terminaux et applications stratégiques sur un réseau distinct ou un réseau LAN virtuel peut limiter la progression. Un pare-feu d’entreprise performant capable d’analyser tout le trafic indépendamment de la taille des fichiers est aussi très utile. Du fait de la progression rapide du trafic chiffré SSL, comme le souligne le rapport Dell Security Threat Report, télécharger des malwares chiffrés invisibles pour les pare-feu traditionnels représente un risque important.

Il est donc important de s’assurer que le pare-feu / système IPS est bien capable de déchiffrer et d’inspecter le trafic chiffré sans ralentir le réseau. Le pare-feu d’entreprise doit pouvoir surveiller le trafic entrant et sortant ainsi que bloquer toute communication avec les adresses IP en liste noire dès qu’un ransomware tente d’établir le contact avec ses serveurs de commande et de contrôle. Enfin, le pare-feu doit pouvoir se mettre à jour automatiquement à chaque nouvelle variante de logiciel malveillant détectée et pouvoir compter sur un processus central d’administration capable de déployer rapidement les mises à jour et les règles uniformément, à l’échelle de tous les nœuds.

Pour les utilisateurs distants en-dehors du périmètre du pare-feu de l’entreprise, l’accès par VPN devrait non seulement permettre d’établir une connexion sécurisée mais aussi de vérifier le degré de conformité aux règles des terminaux. Ainsi, si un appareil n’est pas à jour au niveau de la sécurité, l’accès au réseau lui sera refusé ou limité à un pool de ressources uniquement.

Pour éviter de devoir payer une rançon, une stratégie robuste de sauvegarde et de restauration est recommandée. Selon le délai de détection de la compromission, son degré de propagation et l’ampleur acceptable de la perte de données, effectuer une restauration des données à partir d’une sauvegarde pourrait être une bonne option. Mais cela suppose d’adopter une stratégie de sauvegarde intelligente, adaptée à l’importance critique des données et aux exigences de l’entreprise en termes de point et de délai de restauration. Il s’agit de pouvoir restaurer les données les plus stratégiques dans le délai le plus court. Et avoir une stratégie ne suffit pas. Il est tout aussi important de tester régulièrement les conditions de reprise après sinistre et de continuité des opérations.