Attaques de ransomwares ciblant le secteur de la santé

Une cyberattaque ciblant une clinique ou un hôpital représente littéralement une question de vie ou de mort. En 2020, les systèmes de santé du monde entier souffraient déjà énormément de la pandémie de la COVID-19, et les cybercriminels n’ont fait qu’aggraver la situation en ajoutant une charge supplémentaire. L’année dernière, les attaques de ransomwares étaient l’une des menaces principales pour les établissements médicaux. Lors de ces cyberattaques, les cybercriminels chiffrent les données ou extorquent de l’argent en menaçant de publier les données volées.

Les répercussions de ces attaques sont nombreuses. La plus évidente et la plus dangereuse est la perturbation des services médicaux. Mais en plus de cela, les entreprises du secteur de la santé peuvent en subir les conséquences à long terme, avec des amendes forfaitaires ou des plaintes déposées par les patients dont les données ont été volées.

Les cas de ransomwares les plus connus

L’année dernière, l’un des cas qui a fait le plus de bruit et qui montre l’ampleur du problème est l’attaque du ransomware Ryuk contre Universal Health Services (UHS) en septembre dernier. Le groupe possède 400 centres médicaux aux États-Unis, au Royaume-Uni et dans d’autres pays. Heureusement, quelques cliniques seulement ont été touchées, mais l’attaque a en effet affecté des centres UHS de plusieurs états américains. L’incident s’est produit tôt un dimanche matin : les ordinateurs de l’entreprise n’ont pas pu démarrer, et certains employés ont reçu une demande de rançon. Le réseau téléphonique a également été touché. Le département informatique a dû demander aux employés de travailler à l’ancienne, c’est-à-dire sans avoir recours aux technologies. Naturellement, cela a perturbé le fonctionnement habituel de la clinique, touchant les soins aux patients, les tests de laboratoires, et bien plus. Certains centres ont été obligés de transférer des patients vers d’autres hôpitaux.

Dans leur communiqué officiel, UHS a déclaré qu’il n’y avait « aucune preuve d’accès non autorisé, de copie ou d’utilisation malveillante des données des patients ou de celles des employés ». En mars dernier, l’entreprise a publié un rapport déclarant que l’attaque avait causé 67 millions de dollars de dégâts, dont les coûts pour récupérer les données, la perte de revenus à cause du temps d’inactivité et du nombre de patients qui a baissé, et bien plus.

Pendant ce temps, un autre incident au Ascend Clinical, spécialisé dans le dépistage des maladies rénales, a provoqué la divulgation des données de plus de 77 000 patients. L’origine de l’infection a été découverte, et il s’agit d’un employé qui avait cliqué sur un e-mail d’hameçonnage. Les cybercriminels ont pénétré dans le système et se sont emparés, entre autres, des données personnelles des patients : noms, dates de naissance et numéros de sécurité sociale.

Une attaque contre Magellan Health en avril 2020 a compromis les données personnelles des employés ainsi que des patients (365 000 victimes au total, selon les médias). Les cybercriminels ont réussi, à l’aide de méthodes d’ingénierie sociale, à se faire passer pour un client, à obtenir l’accès au réseau interne, à utiliser un malware pour collecter les identifiants de connexion et à chiffrer les données sur le serveur.

En général, lorsque les cybercriminels s’en prennent aux centres médicaux, ils préfèrent chiffrer et voler les données se trouvant dans les serveurs plutôt que celles des postes de travail. Il s’est passé la même chose avec les serveurs de Florida Orthopedic Institute : les hackers ont chiffré les données (précédemment volées) de 640 000 patients, ce qui a donné lieu à un recours collectif plutôt désagréable.

Les incidents précédemment mentionnés ne sont qu’une partie des cas les plus graves qui ont fait la une l’année dernière. En effet, nous avions le choix entre une dizaine d’autres.

Comment les établissements médicaux peuvent-ils se protéger ?

Un malware peut pénétrer dans un système de plusieurs façons : via une pièce jointe dans un e-mail, des liens d’hameçonnage, des sites Web infectés, etc. Les cybercriminels peuvent voler les identifiants d’accès à distance, les extraire via une brèche humaine ou juste utiliser la méthode force brute. Le fameux dicton médical selon lequel il vaut mieux prévenir que guérir s’applique tout aussi bien à la cybersécurité, et notamment quand il s’agit de se protéger contre les ransomwares. Voici quelques conseils de prévention en ce qui concerne la cybersécurité :

• Protégez tous vos appareils et pas seulement les ordinateurs, mais aussi les smartphones utilisés pour le travail, les tablettes, les terminaux, les points d’information, le matériel médical et absolument tous les dispositifs ayant accès au réseau de l’entreprise et à Internet ;
• Gardez tous vos appareils à jour. Là encore, il ne s’agit pas seulement des ordinateurs. Par exemple, vous ne pensez peut-être à la cyber-protection d’un appareil de tomographie, et pourtant ce dispositif fonctionne comme un ordinateur puisqu’il dispose d’un système d’exploitation qui pourrait posséder des vulnérabilités. Dans l’idéal, la sécurité devrait être prioritaire quant au choix du matériel. Demandez au moins au vendeur avant de l’acheter si les mises à jour de son logiciel sont publiées fréquemment ;
• Installez une solution de sécurité pour Kaspersky Security for Mail Servers. Protéger les communications électroniques est primordial car les organismes médicaux reçoivent un bon nombre d’e-mails, y compris des spams qui peuvent contenir non seulement des contenus sans intérêts et inoffensifs, mais aussi des pièces jointes malveillantes ;
• Formez tous vos employés – administrateurs et docteurs ainsi que n’importe quelle personne ayant affaire à la technologie – grâce aux principes de base de la sensibilisation à la cybersécurité. De plus en plus d’établissements médicaux rejoignent la technologie : numérisation des dossiers médicaux, consultations en ligne, etc. La sensibilisation à la cybersécurité doit être aussi instinctive qu’utiliser un masque pour opérer.
• De nos jours, de nombreuses attaques de ransomwares sont effectuées « manuellement ». En d’autres termes, les cybercriminels derrière les attaques modernes de ransomwares n’ont plus tendance à distribuer des malwares à tout va, mais recherchent plutôt comment infecter les ordinateurs et les serveurs d’une victime en particulier, souvent par le biais de méthodes d’ingénierie sociale. Parfois, après avoir infiltré le réseau, ils étudient l’infrastructure en long et en large à la recherche des données les plus sensibles. Pour détecter ces attaques pour lesquelles la plupart des protections des terminaux ne sont pas suffisantes, nous vous recommandons d’utiliser notre service Managed Detection and Response afin de surveiller votre infrastructure à distance.