Les experts en sécurité avertissent que les victimes d'attaques de ransomwares DOIVENT changer tous les mots de passe

Lorsqu'une organisation est touchée par un ransomware, de nombreuses personnes ont tendance à penser que la seule chose à craindre est de restaurer les données le plus rapidement possible. Plus tôt cette semaine, cependant, le journaliste de cybersécurité Brian Krebs a raconté l'histoire d'une attaque de ransomware contre un fournisseur de services informatiques qui s'appelle Virtual Care Provider Inc. (VCPI), et ce faisant, il nous a montré combien d'autres facteurs entrent en jeu. jouer lorsque les pirates tiennent en otage les données d'autrui.

Nous devrions probablement commencer par le fait que VCPI fournit des services à plus de 100 maisons de soins infirmiers et établissements de santé dans 45 États. Il ne devrait pas être trop difficile de voir que perturber l'infrastructure informatique d'une telle entreprise pourrait être assez dévastateur, mais l'ampleur réelle du danger ne devient apparente que lorsque vous examinez le déroulement de l'attaque.

Cela a été remarqué pour la première fois aux premières heures du matin du 17 novembre lorsque les attaquants ont lancé le rançongiciel Ryuk sur le réseau de VCPI. Peu de temps après, toutes les données hébergées par le fournisseur de services cloud ont été cryptées, et VCPI a été informé qu'il peut avoir la clé qui déverrouille les fichiers s'il paie 14 millions de dollars de bitcoins. C'est une rançon assez importante, mais là encore, il en va de même pour la quantité de données retenues en otage.

L'attaque a eu un impact horrible sur VCPI et ses clients

Les clients de VCPI ont perdu tout accès à la messagerie électronique, au téléphone et aux systèmes de facturation, aux opérations de paie. Les dossiers des patients étaient inaccessibles et certains médecins n'étaient pas en mesure de passer des commandes de médicaments vitaux en raison de l'attaque, ce qui signifiait que pour certains patients, l'infection par ransomware pouvait avoir des conséquences fatales. Quelques jours après l'incident, Karen Christianson, PDG de VCPI, a déclaré à Brian Krebs que son entreprise n'avait pas les ressources pour payer la rançon et que l'attaque pourrait très bien mettre fin à l'activité d'hébergement de données.

Les prévisions initiales ne se sont cependant pas concrétisées. Bien que les clients de VCPI aient rencontré des problèmes importants à la suite de l'attaque, le fournisseur d'hébergement a réussi à restaurer les données. Probablement dans une tentative de limiter le montant des dommages PR subis par VCPI, Karen Christianson a demandé à Brian Krebs d'écrire un rapport de suivi sur la façon dont la société s'est rétablie. Krebs a accepté de planifier une entrevue, mais peu de temps après la date et l'heure convenues, il a reçu un e-mail qui a immédiatement attiré son attention.

L'étendue de l'infiltration devient apparente

Le message prétendument provenir d'un membre du groupe de piratage qui a attaqué VCPI, ce qui, pour Brian Krebs, du moins, n'est pas vraiment inhabituel. La demande de l'e-mail, cependant, était plutôt étrange. L'escroc a demandé à Krebs de rappeler au PDG de VCPI que l'offre de réduction sur la rançon était sur le point d'expirer.

L'opérateur présumé de ransomware avait en quelque sorte pris connaissance de l'entretien prévu, et Krebs doutait que cette connaissance soit basée sur des suppositions. Le journaliste de cybersécurité pensait qu'en plus du rançongiciel, les pirates avaient utilisé d'autres outils qui leur avaient donné accès aux systèmes internes et aux communications de VCPI. Krebs a appelé des experts de Hold Security et leur a demandé de l'aider à mieux comprendre la portée du compromis.

Bientôt, l'enquête a produit des preuves que l'infrastructure de VCPI a été infiltrée pour la première fois en septembre 2018, très probablement avec l'utilisation d'un document Word malveillant contenant des macro-instructions. Le document Word a téléchargé Emotet, une famille de logiciels malveillants connue pour ses fonctionnalités de type ver qui lui permettent de se déplacer latéralement au sein d'un réseau.

Les pirates informatiques se sont livrés à une volée de mots de passe avant de déployer le rançongiciel Ryuk

Après avoir utilisé Emotet pour s'implanter dans le réseau de VCPI, les escrocs ont déployé Trickbot - un cheval de Troie bancaire salué pour sa polyvalence et ses puissantes capacités de vol d'informations d'identification. Les experts de Hold Security ont même réussi à intercepter certaines communications entre des escrocs, ce qui suggère que pendant l'attaque VCPI, les noms d'utilisateur et les mots de passe de 300 sites Web et fournisseurs de services en ligne ont été compromis. Il s'agissait notamment de plates-formes de gestion de mots de passe, de portails bancaires, de facturation et de paie, de services de gestion des ordonnances et de fournitures médicales, de comptes d'expédition et d'affranchissement, etc. Brian Krebs a apporté des preuves lors de l'entretien avec Karen Christianson, et bien que VCPI ne l'ait pas admis. officiellement, le fait que l'interview se soit terminée brusquement peu de temps après cela suggère que le PDG n'avait absolument aucune idée du vol.

Depuis un certain temps, les opérateurs de ransomwares se concentrent sur les organisations plutôt que sur les utilisateurs finaux. Nous ne parlons plus de script-kiddies qui cherchent à faire des ravages et à faire de l'argent rapidement. Les attaques plus récentes sont exécutées par des équipes de piratage sophistiquées qui ont beaucoup d'outils et de ressources à leur disposition, et parfois, le déploiement du ransomware n'est qu'une petite partie de l'ensemble de l'opération. Des organisations comme VCPI doivent apprendre que les pirates peuvent frapper sur de nombreux fronts différents, et que les données de connexion sont souvent le fruit proverbial à faible portée. C'est pourquoi, comme l'a conclu Brian Krebs dans son rapport, le changement de mot de passe devrait figurer en tête de liste des priorités pour toute entreprise ayant subi une cyberattaque, que l'incident soit ou non lié à un ransomware.

January 9, 2020

Laisser une Réponse