Les craintes de violation de données de LabCorp n'étaient pas fondées. C'était une attaque de ransomware.
Laboratory Corporation of America Holdings ou LabCorp compte 60 000 employés dans le monde, participe aux essais cliniques dans près de 100 pays et traite environ 2,5 millions de tests de laboratoire chaque semaine. Cela signifie que LabCorp gère et stocke des données potentiellement très sensibles liées à la santé de millions de personnes. Comme vous pouvez l'imaginer, lorsque la société a annoncé qu'elle avait détecté une `` activité suspecte '' sur son réseau informatique, les réactions n'étaient pas exactement positives. Les gens avaient vraiment peur de leurs informations de santé. En fait, ils n'avaient pas grand-chose à craindre.
La nouvelle a éclaté lundi lorsque la société a déposé un dossier 8-K auprès de la Securities and Exchange Commission. Le document ne dit pas grand-chose à part le fait que pendant le week-end, certains ordinateurs et serveurs de LabCorp ont agi de manière inhabituelle. Bien que le dossier suggère que l'équipe informatique de l'entreprise n'avait aucune idée de ce à quoi ils faisaient face à l'époque, de nombreux systèmes ont été arrêtés afin d'éviter tout dommage réel.
Hier, CSO a rapporté plus de détails sur l'attaque. Apparemment, à minuit le 13 juillet, les pirates ont commencé leurs tentatives d'infiltration du réseau de LabCorp en forçant brutalement les informations d'identification de connexion du protocole de bureau à distance (RDP). À 18 heures le 14 juillet, ils étaient arrivés et ils ont abandonné leur charge utile - une souche de ransomware connue sous le nom de SamSam.
La bonne nouvelle
De toute évidence, une cyberattaque ne peut jamais être une bonne nouvelle, en particulier pour l'organisation ciblée, mais dans ce cas, nous sommes à peu près sûrs que les employés de LabCorp et les patients ont poussé un soupir de soulagement collectif lorsqu'ils ont appris que le réseau de laboratoires avait été touché. par ransomware.
L'alternative était un logiciel malveillant qui dérobe et expose les données des patients, ce qui aurait pu avoir des conséquences dévastatrices. Après avoir soigneusement examiné les preuves, LabCorp déclare avec confiance qu'aucune information n'a été divulguée. Donc, vous pouvez certainement dire que cela aurait pu être bien pire.
Après avoir appris l'attaque, l'équipe informatique de LabCorp a immédiatement commencé à mettre les systèmes hors ligne afin de limiter les dégâts. En cinquante minutes, l'infection était contenue, mais à ce moment-là, SamSam avait déjà réussi à crypter les données sur 7 000 systèmes et 1 900 serveurs.
Malgré les dégâts importants qu'ils ont causés, les pirates sont partis les mains vides. Selon les annonces officielles, le ransomware a été " supprimé ", ce qui suggère que LabCorp disposait de sauvegardes fonctionnelles d'où il avait restauré les informations chiffrées. La société indique que la plupart des tests ont repris et que tout redeviendra normal dans quelques jours.
Dans l'ensemble, la réaction de LabCorp à l'attaque mérite un certain niveau de louange. La société a réagi rapidement et le ransomware a été contenu avant de pouvoir complètement casser l'infrastructure du réseau de laboratoires. Après cela, leur gestion responsable des données sensibles a permis de garantir qu'aucune information ne sera perdue.
Les moins bonnes nouvelles
LabCorp n'a pas encore identifié la souche exacte des ransomwares, mais CSO et leurs sources semblent être à peu près certains que c'est SamSam car cette famille particulière a touché plus de quelques organisations de soins de santé au cours de la dernière année. De plus, bien que ce ne soit pas leur seul vecteur d'infection, le gang SamSam attaque souvent les victimes en forçant brutalement les informations d'identification RDP.
Encore une fois, les détails ne sont toujours pas clairs, mais les preuves suggèrent que LabCorp n'avait pas d'authentification à deux facteurs protégeant leurs comptes RDP. En d'autres termes, il y avait des preuves que LabCorp était une cible potentielle, et pourtant, bien qu'il ait bien répondu à l'attaque, il n'avait pas franchi la seule étape qui aurait pu l'arrêter.
Les experts disent souvent qu'un pirate n'a besoin de réussir qu'une seule fois pour lancer une attaque réussie. Les utilisateurs et les organisations de l'autre côté, cependant, doivent réussir tout le temps s'ils veulent éviter un incident de sécurité. L'attaque par ransomware contre LabCorp prouve à quel point cette déclaration est correcte.