Le nombre d’attaques de ransomwares est de nouveau en hausse. Découvrez les dernières tendances en matière de ransomware dans ce dossier.
Alors que les gouvernements réduisent lentement les exigences en termes de confinement en cas de pandémie ; et qu’une plus grande partie de la population se fait vacciner, les auteurs de malwares continuent de créer des logiciels. Ces derniers tirent parti des anciennes et nouvelles craintes créées par le Coronavirus.
Les chercheurs se sont focalisés sur les dernières tendances concernant l’évolution de nouvelles formes de ransomware ciblant les entreprises. Rappelons qu’en 2020, les malwares visaient principalement les particuliers travaillant à domicile.
Alors que de plus en plus d’employés retournent dans leurs bureaux, les attaquants tournent leur attention vers les entreprises et les nombreuses erreurs humaines qui permettent une violation de données réussie.
Le ransomware Babuk et ses caractéristiques
Le tout dernier ransomware — appelé Babuk — a été conçu pour cibler les données des entreprises. Les pirates l’utilisent pour chiffrer les données des organisations en vue de demander aux victimes ciblées de payer une rançon d’environ 50 000 à 70 000 euros en échange des clés privées nécessaires au déchiffrement des données.
Les chercheurs ont constaté que Babuk était principalement un ransomware standard, mais qu’il présentait quelques caractéristiques qui le rendaient spécifiquement conçu pour les entreprises plutôt que pour les particuliers. Principalement, il désactive de nombreux services utilisés dans un environnement d’entreprise et non par des utilisateurs individuels.
Babuk désactive de nombreuses fonctions de sauvegarde disponibles dans Windows. La première fonction désactivée est le service de copie d’ombre de volume (VSS – Volume Shadow Copy) utilisé pour effectuer des sauvegardes des fichiers en cours d’utilisation.
Lorsque cette fonction est désactivée, les utilisateurs ne peuvent plus récupérer leurs fichiers actifs. Elle désactive également le mécanisme de verrouillage des fichiers utilisé sur les fichiers ouverts et actifs. Pour les entreprises qui utilisent les fonctions de sauvegarde de Microsoft Office, Babuk désactive également ces fonctions.
Après avoir désactivé les fonctions de sauvegarde de Windows, Babuk lance la phase de chiffrement. Il double le chiffrement des petits fichiers de moins de 41 Mo et divise les gros fichiers en petites parties avant de les chiffrer. Le ransomware utilise un algorithme de chiffrement appelé ChaCha8, généré à partir d’un hachage SHA-256, un algorithme qui représente une famille de fonctions de hachage.
Pour les ransomwares qui ciblent les particuliers, les pirates utilisent plusieurs clés pour chaque utilisateur. Babuk n’utilise qu’une seule clé privée, ce qui est une autre indication qu’il cible les entreprises. La plupart des activités de Babuk sont similaires à celles d’autres ransomwares, mais il est tout aussi dangereux pour l’intégrité et la confidentialité des données d’entreprise que ses prédécesseurs.
Comment se protéger de Babuk et des autres ransomwares ?
Les ransomwares sont considérés comme des applications malveillantes très agressives et représentent une grande menace pour l’intégrité des données. Ils peuvent paralyser une organisation en détruisant des données et en menaçant la réputation de sa cybersécurité. À cause de ces malwares, les clients peuvent également perdre confiance dans la cybersécurité de l’organisation ciblée et peuvent choisir de travailler avec un concurrent.
Aucune stratégie de cybersécurité ne permet de réduire à 100 % ces menaces, mais vous pouvez prendre des mesures pour réduire considérablement les risques d’être la prochaine victime de Babuk. La première stratégie consiste à chiffrer les fichiers importants. En faisant cela, vous rendez beaucoup plus difficile pour Babuk d’identifier les fichiers qui pourraient contenir vos informations importantes.
La deuxième stratégie consiste à utiliser des sauvegardes en ligne. Babuk désactive de nombreux services de sauvegarde intégrés à Windows, mais une solution de sauvegarde secondaire qui stocke les fichiers hors site ou dans le cloud améliore la reprise après sinistre. Même si vous êtes victime de Babuk, vous disposez alors de sauvegardes qui peuvent être utilisées pour récupérer les données au lieu de vous retrouver dans une situation où les sauvegardes sont également chiffrées et où il faut payer une rançon pour avoir accès à vos données essentielles.
Les ransomwares pénètrent dans les entreprises de plusieurs façons, c’est pourquoi il faut plus d’un produit pour les combattre. Une troisième stratégie consiste à adopter une approche de la sécurité par couches. La sécurité multicouche ne consiste pas simplement à superposer de nouveaux outils de sécurité à l’infrastructure existante. Il s’agit d’une architecture qui nécessite un plan bien conçu. La mise en œuvre n’est pas toujours simple, car elle exige de la planification et de l’expertise.
S’appuyer sur une seule couche de sécurité n’est plus judicieux dans le paysage actuel des menaces cybercriminelles. Les organisations doivent se concentrer sur les données qu’elles protègent et construire des couches de sécurité autour d’elles. Vos clients vous en remercieront et vos résultats financiers n’en seront que meilleurs.
Cette approche de sécurité multicouche doit également inclure le filtrage des emails. Les filtres de messagerie dotés d’intelligence artificielle (IA) identifient les messages et les pièces jointes suspects et les envoient en quarantaine, où ils peuvent être examinés par un administrateur.
En empêchant les messages malveillants d’atteindre la boîte de réception d’un utilisateur ciblé, on réduit les risques en éliminant l’erreur humaine. Toute pièce jointe contenant des macros, des fichiers exécutables ou des messages dont l’adresse d’expéditeur est usurpée est bloquée par les filtres de messagerie. Les administrateurs examinent les messages mis en quarantaine et envoient les faux positifs au destinataire prévu afin que les courriels ne soient jamais perdus ou automatiquement supprimés.
Les logiciels de surveillance détectent le trafic suspect sur le réseau. Il s’agit donc également d’une stratégie utilisée pour détecter les malwares lorsqu’ils recherchent des ressources. La surveillance de la détection et de la prévention des intrusions empêche les malwares de chiffrer des fichiers ou d’exfiltrer des données, puis elle alerte les administrateurs.
Les administrateurs peuvent alors enquêter et identifier tous les fichiers et services suspects actifs sur le réseau. N’oubliez pas que les appareils des utilisateurs peuvent également exécuter des malwares qui vont analyser le réseau à la recherche de données et de fichiers critiques.
Enfin, l’éducation des employés contribue à réduire les risques. Les erreurs humaines constituent toujours une menace pour l’organisation, mais en leur donnant les connaissances nécessaires à la détection des menaces, vous réduisez le risque qu’ils se laissent prendre au piège d’une attaque de phishing ou de malwares via la messagerie électronique.
Lorsqu’ils voient les drapeaux rouges inclus dans un message électronique malveillant, ils seront capables de le reconnaître et d’alerter les administrateurs. En même temps, ils pourront éviter d’exécuter les pièces jointes sur leurs appareils.
En combinant l’éducation des utilisateurs avec les bonnes stratégies de cybersécurité, votre organisation pourra éviter d’être la prochaine victime d’un ransomware.
Protégez votre organisation contre les attaques de phishing avec SpamTitan Email Security. Commencez un essai gratuit pour découvrir comment SpamTitan peut aider votre organisation à prévenir les attaques de ransomwares. Démarrer l’essai gratuit dès aujourd’hui.
Lorsque nous parlons d’application de la loi en relation avec une attaque de ransomware, nous nous attendons à ce qu’il s’agisse d’une enquête en cours menée par la police locale et d’autres agences. Nous ne nous attendons certainement pas à ce que le service de police soit la véritable victime de l’attaque. Or, c’est exactement ce qui s’est passé dans la capitale américaine il y a plus d’une semaine, lorsque la police de Washington DC a été victime d’une attaque de ransomware.
Le département est l’une des 26 agences gouvernementales qui ont été touchées par cette menace de ransomware en 2021 jusqu’à présent. Ce n’est pas non plus la première fois que le service de police d’une grande ville américaine est victime d’une attaque. Le département de police de Miami Beach a été touché en février de l’année dernière, tandis que quelques mois plus tôt, la Policy Academy du Queens, à New York, avait été attaquée.
L’attaque contre la Policy Academy de Washington DC a utilisé ce que l’on appelle le ransomware 2.0. Avec cette nouvelle approche du ransomware, les attaquants commencent par exfiltrer les données d’une organisation avant de les chiffrer. Les données sont transférées vers un cloud sécurisé géré par les attaquants. Ceux-ci disposent ainsi d’une autre possibilité d’extorsion pour se faire payer. Si la tentative de chiffrement échoue ou si l’organisation remédie à l’attaque sans la clé obligatoire, les attaquants utilisent alors la menace de la divulgation des données pour se faire payer.
Dans le cas de la police de Washington, le groupe à l’origine de l’attaque a remis une demande de rançon, accordant à la police un délai de grâce de trois jours, après quoi il a menacé de remettre toute information volée entre les mains d’organisations criminelles. Ils ont ensuite publié des captures d’écran sur le dark web pour confirmer qu’ils avaient soulevé des données pendant l’attaque.
Ils ont affirmé être en possession de 250 Go de données comprenant des informations sensibles, notamment des dossiers personnels d’agents de police et d’informateurs, ainsi que des informations concernant des enquêtes en cours.
Selon les experts, les services de police sont une cible de plus en plus importante pour les pirates informatiques en raison de l’immense quantité d’informations qu’ils détiennent sur le public. Les pirates ciblent leurs données afin d’altérer les enquêtes en cours ou d’obtenir des informations à des fins de chantage. Les organisations criminelles sont prêtes à payer pour des données qui les aideront à échapper aux efforts de la police.
Le service de police a confirmé qu’une partie non autorisée avait accédé à son système et que des informations personnelles identifiables concernant des employés avaient été compromises. Il a assuré le public que les opérations de base n’avaient pas été affectées, mais n’a pas confirmé si l’attaque impliquait un ransomware. Ils ont également déclaré que le FBI avait été appelé pour enquêter sur cette affaire.
Qui est Babuk ?
Le groupe à l’origine de l’attaque est connu sous le nom de Babuk, une organisation de piratage dont les membres résident en Russie ou dans les pays voisins. Le groupe a été découvert au début de l’année 2021, selon un document d’analyse publié par McAfee. Le rapport attribue à ce groupe une série d’attaques similaires au cours de l’année écoulée.
Babuk est en fait plus qu’un groupe de cyberattaquants. Le code de leur ransomware est disponible en tant que service pour les affiliés prêts à payer pour le logiciel. Le groupe est entré en scène l’année dernière et a lancé la première attaque connue de ransomware en 2021, et il est actif depuis.
Pas d’échappatoire aux attaques de ransomware
L’une des attaques les plus notoires mises en œuvre par Babuk concernait la franchise de la NBA, les Houston Rockets. Le groupe a réussi à installer un ransomware sur divers systèmes internes des Rockets. Bien qu’un porte-parole de l’équipe ait déclaré que ses systèmes de défense avaient limité la portée de l’attaque et nié que des opérations de l’équipe aient été affectées, Babuk affirme avoir volé 500 Go de données dans les systèmes des Rockets. Les données volées comprenaient des contrats, des accords de non-divulgation et des données financières.
Une autre attaque en 2021 a impliqué une entreprise de défense et d’aérospatiale appelée PDI Group, basée à Dayton, dans l’Ohio. L’entreprise est un important fournisseur d’équipements militaires pour l’armée de l’air américaine et d’autres armées dans le monde. Babuk a pu obtenir un ensemble d’informations sensibles, notamment des contrats, des informations sur les paiements des clients et des données sur les employés.
La fin des attaques de ransomware de Babuk
Ironiquement, le groupe a indiqué sur son site Web que l’incident de la police de Washington serait sa dernière attaque de ransomware et qu’il ne mettrait plus son logiciel à la disposition de ses affiliés. Bien que le groupe ait cessé d’orchestrer des attaques par ransomware, il prévoit de se concentrer sur le vol de données de grandes organisations bien financées. Même si Babuk se retire de la lutte contre les ransomwares, ne vous attendez pas à ce que les attaques de ce type disparaissent.
Prévenez les attaques de ransomware avec une sécurité multicouche avancée. TitanHQ fournit une protection contre les menaces avancées et bloque les activités malveillantes telles que les attaques de ransomware.
Contactez dès aujourd’hui un expert en sécurité de TitanHQ et découvrez comment nous pouvons vous aider à protéger votre entreprise contre les attaques de ransomware. Contactez-nous.
Tout le monde sait que les escrocs utilisent des emails malveillants pour inciter leurs cibles à se laisser prendre par des campagnes de phishing. Cependant, la plupart des personnes ciblées ne sont pas familières avec ce type d’attaque.
Même lorsque les utilisateurs connaissent les campagnes de phishing, ils ne savent toujours pas comment les identifier et éviter de devenir une victime.
Une récente campagne de phishing consiste à envoyer des emails liés au COVID pour inciter les utilisateurs à divulguer leurs données personnelles. En réalité, le but de cette campagne est de voler l’identité des patients vaccinés.
Emails de vaccins contre le COVID à la marque du NHS
En raison de la pandémie, le monde entier se précipite actuellement pour se faire vacciner afin de pouvoir profiter de ses étés et de contribuer à accélérer l’immunité collective. Certains pays exigent une preuve de vaccination pour franchir leurs frontières, ce qui motive fortement les voyageurs à se faire vacciner. L’anxiété et la pression exercée sur les voyageurs pour qu’ils se fassent vacciner constituent un levier pour les auteurs d’attaques de phishing.
La peur et le sentiment d’urgence sont des avantages pour les escrocs. Cela joue en leur faveur et trompe même les utilisateurs éduqués sur le plan technologique. Avec cette dernière attaque de phishing, les escrocs utilisent les logos et la marque du National Health Service (NHS) pour donner à leurs messages électroniques une apparence légitime. Le message de phishing informe les utilisateurs ciblés qu’ils ont été sélectionnés pour recevoir le vaccin.
En utilisant le logo du NHS, le message électronique demande diverses informations privées, telles que le nom, les dates de naissance et les détails de la carte de crédit, afin de pouvoir programmer le vaccin. Bien entendu, aucune de ces informations n’est nécessaire et les patients doivent prendre rendez-vous pour se faire vacciner auprès d’un prestataire de soins agréé. Si les patients n’identifient pas le message comme étant malveillant, ils divulguent leur identité à l’expéditeur, et ces détails peuvent être utilisés pour ouvrir des comptes financiers ou être vendus sur les marchés du darknet.
Les attaques de phishing reposent sur l’erreur humaine
L’erreur humaine est le meilleur atout d’un attaquant. Elle est à l’origine d’un grand nombre de violations de données dans le monde. Cette attaque de phishing cible les particuliers pour leurs informations privées, mais les ransomwares sont également courants. Ces deux types d’attaques permettent aux escrocs de toucher des sommes importantes, et le phishing est le moyen le plus courant de tromper les utilisateurs pour qu’ils tombent dans le piège de l’escroquerie.
Selon les experts, les attaques de phishing exploitant les craintes liées à la vaccination contre le COVID ont augmenté de 350 % cette année, ce qui en fait l’une des plus grandes campagnes à ce jour.
Comme la plupart des gens ont peur des problèmes liés au COVID, la campagne de phishing utilise la peur pour susciter un sentiment d’urgence, ce qui entraîne des erreurs humaines. Même les utilisateurs familiarisés avec le fonctionnement des campagnes de phishing pourraient tomber dans le panneau, car la peur est un avantage pour les escrocs qui utilisent le phishing comme principal vecteur d’attaque.
Les filtres de messagerie empêchent les escroqueries par phishing
Les administrateurs de Gmail de Google affirment bloquer chaque jour 240 millions d’escroqueries liées au COVID. Les filtres de messagerie constituent donc une défense de premier plan contre les campagnes de phishing.
Au lieu de compter sur l’intervention humaine pour stopper l’attaque, les filtres de messagerie éliminent les emails malveillants avant même qu’ils n’atteignent la boîte de réception du destinataire ciblé. Cela permet de stopper la plupart des campagnes de phishing et de protéger les personnes qui, autrement, se laisseraient prendre au piège de l’escroquerie.
L’élimination des courriels frauduleux envoyés à des particuliers est une bonne chose pour les comptes personnels, mais la suppression automatique des courriels dans un contexte professionnel peut créer des problèmes dus à de faux positifs.
Si un faux positif supprime des messages importants, cela entraîne des interruptions dans les communications professionnelles, les contrats, les délais et d’autres flux de travail critiques pour la productivité.
Au lieu d’ignorer ou de supprimer les emails dans un environnement professionnel, les filtres de messagerie devraient mettre en quarantaine les messages suspects. En mettant les messages en quarantaine, les administrateurs peuvent alors les examiner pour y déceler tout contenu suspect. Si le contenu s’avère légitime et que la mise en quarantaine du message était un faux positif, les administrateurs peuvent alors le transmettre au destinataire prévu. Si le message est considéré comme malveillant, les administrateurs peuvent examiner les autres messages mis en quarantaine pour déterminer si l’organisation est ciblée par une quelconque attaque.
En combinaison avec les filtres de contenu, les organisations réduisent le risque d’être la prochaine victime d’une attaque. Ces messages liés aux vaccins du NHS contiennent des informations convaincantes qui ressemblent à un message légitime. Il n’est donc pas surprenant que de nombreuses victimes ciblées continuent de se laisser prendre au piège des campagnes de phishing.
Les utilisateurs doivent savoir qu’aucun message légitime ne demandera de données privées sensibles, surtout par courrier électronique.
Une façon de traiter les messages de phishing est d’appeler la source de la marque pour valider sa légitimité, mais cela est fastidieux et n’est pas efficace dans un contexte professionnel. Au lieu de cela, les entreprises peuvent utiliser des filtres qui exploitent l’intelligence artificielle pour s’assurer que ces messages malveillants n’atteignent jamais le destinataire prévu.
Il suffit d’un seul courriel de phishing réussi pour nuire à une entreprise, que ce soit parce que la victime divulgue des informations privées à l’attaquant ou que l’utilisateur exécute un malware sur le réseau. Avec les filtres de messagerie en place, vous ne vous soucierez plus de l’erreur humaine et vous vous fierez à la technologie pour détecter et bloquer les attaques.
Le filtrage des emails de SpamTitan fournit une couche protectrice de sécurité aux clients d’Office 365 pour bloquer les spams, les virus, les malwares et les ransomwares. Réduisez le risque d’erreur humaine qui peut entraîner des violations de données avec SpamTitan. Faites un essai de 14 jours pour voir des résultats immédiats. Commencez l’essai gratuit de 14 jours dès maintenant.
Alors que la crise causée par la pandémie du Covid-19 a contraint les entreprises, les écoles et les prestataires de soins de santé à passer au virtuel, les escrocs ont créé des malwares spécifiquement adaptés à la situation mondiale.
Quel que soit le pays ciblé, les développeurs de malwares sont sûrs de trouver des victimes. Ils ne recherchent plus des victimes multiples parmi des milliers d’adresses électroniques. Au lieu de cela, ils se concentrent sur des industries et des individus spécifiques pour augmenter leurs gains.
La cybersécurité ayant été reléguée au second plan alors que de plus en plus d’entreprises et d’écoles devenaient virtuelles, les attaques se sont avérées fructueuses, car de plus en plus de ransomwares ont touché les entreprises et leurs employés.
Les attaques de ransomwares avant le Covid-19
Avant la pandémie, les développeurs de ransomwares ont fait en sorte qu’un maximum de personnes puisse être victimes d’une attaque. Ils utilisaient principalement les emails pour envoyer des pièces jointes malveillantes, et envoyaient des milliers de messages à leurs cibles.
Certains messages électroniques étaient filtrés, tandis que d’autres étaient simplement ignorés ou supprimés par les utilisateurs. Pourtant, un petit pourcentage de destinataires se laissait prendre au piège de l’attaque et installait le malware.
Avec des milliers d’emails envoyés, un escroc pourrait s’attendre à recevoir de l’argent du petit pourcentage de destinataires qui tombent dans le piège du message. Les victimes ouvraient une pièce jointe, exécutaient une macro malveillante, puis payaient la rançon pour récupérer leurs fichiers.
La plupart des ransomwares ciblaient les particuliers et demandaient une petite somme en échange de la clé privée. Un escroc pouvait gagner des milliers d’euros avec des malwares traditionnels ciblant des particuliers.
Attaques de ransomwares depuis le Covid-19
En 2020 et en 2021, les escrocs ont changé de cible pour s’attaquer aux entreprises et à leurs employés travaillant à domicile.
La plupart des entreprises ayant été contraintes de passer au virtuel, les employés travaillaient à domicile et la cybersécurité n’était plus qu’une question de second ordre après la configuration initiale de l’environnement.
En réalité, les entreprises ont migré les données et les applications vers le cloud pour permettre aux employés d’accéder à l’infrastructure nécessaire, mais cela a été fait d’une manière qui a laissé des vulnérabilités.
L’accès d’un seul utilisateur à haut niveau de privilèges peut s’avérer très payant pour un escroc. Les ransomwares peuvent se propager de la machine d’un utilisateur ciblé au réseau mondial, ce qui leur donne l’occasion de chiffrer les fichiers essentiels de toute une organisation.
Si l’organisation ne dispose pas de sauvegardes appropriées et d’un plan de reprise après sinistre, elle sera contrainte de payer la rançon. Les escrocs qui ciblent les entreprises demandent des dizaines de milliers de dollars plutôt que quelques centaines en cryptomonnaie, sachant que les entreprises ont plus d’argent à payer.
Extorsion et déni de service distribué (DDoS)
Si une organisation choisit de ne pas payer la rançon, une autre évolution des nouvelles attaques de ransomware est l’extorsion et le chantage. Les escrocs menacent de rendre les données publiques ou de lancer un DDoS contre l’organisation.
L’extorsion est la sauvegarde secondaire la plus populaire pour les escrocs afin de faire chanter les organisations pour qu’elles paient la rançon, même si elles ont des sauvegardes.
En publiant les données volées, l’organisation souffre d’une atteinte à sa réputation. Il s’agit d’un outil efficace si l’organisation ne parvient pas à payer la rançon.
L’autre option pour les escrocs est de lancer un DDoS sur l’organisation. Cela met hors service les services essentiels, obligeant l’organisation à payer une rançon pour que l’attaque cesse.
La cybersécurité devrait être une priorité pour le personnel distant
Il est inévitable que les entreprises aient plusieurs membres du personnel travaillant à domicile, au moins jusqu’en 2021.
Lorsque les gens reviendront au bureau, le monde du travail reviendra à la normale. Mais les escrocs continueront à se concentrer sur les employés vulnérables travaillant à domicile.
Des contrôles de cybersécurité multicouches doivent être installés pour prévenir les menaces avancées telles que les ransomwares, pour tout employé ouvrant des messages électroniques à la maison.
Les filtres de courrier électronique constituent une couche importante de la cybersécurité. Ils détectent les messages et pièces jointes malveillants avant qu’ils n’atteignent la boîte de réception de l’utilisateur.
Ils sont installés sur les serveurs de messagerie afin que les administrateurs puissent examiner les messages potentiellement malveillants. Les messages signalés par les systèmes de cybersécurité du courrier électronique sont envoyés dans un emplacement de quarantaine où les administrateurs peuvent les examiner.
Les administrateurs peuvent alors transférer les faux positifs au destinataire prévu ou supprimer les messages malveillants.
Les escrocs ne font chanter les entreprises qu’après qu’elles ont été victimes d’un ransomware et d’une violation de données. La suppression des messages sur un serveur de messagerie arrête ces attaques dès le début.
Vous ne dépendez plus de la formation des utilisateurs ou des programmes antivirus locaux. Les appareils des utilisateurs pouvant avoir des programmes antivirus mal gérés, les réseaux d’entreprise ne peuvent pas compter sur les systèmes antimalware des utilisateurs pour détecter les ransomwares.
Avec les filtres de messagerie, l’utilisateur ne reçoit jamais le message, et le contrôle de la cybersécurité est rendu à l’organisation visée.
Les attaques DDoS sont toujours préoccupantes, mais les escrocs qui cherchent à faire chanter leurs cibles par des ransomwares se tourneront vers les organisations qui ne parviennent pas à stopper les messages électroniques malveillants
En éliminant la menace des ransomwares, une organisation réduit considérablement la probabilité d’être victime de chantage, d’extorsion et d’attaques DDoS.
Grâce à la cybersécurité des courriels, le personnel à domicile devient une menace moins importante pour l’organisation en raison du phishing, des malwares et d’autres menaces en ligne.
Une stratégie de sécurité à plusieurs niveaux est essentielle pour toutes les organisations afin de prévenir les attaques de ransomware et les violations de données.
Les données relatives aux soins de santé font partie des dossiers les plus précieux pour les escrocs. Chaque dossier contient des informations de contact, des numéros de sécurité sociale et potentiellement des comptes financiers.
Un attaquant pourrait vendre ces informations sur le darknet ou les utiliser dans le cadre d’une usurpation d’identité pour différentes raisons.
Quelle que soit la motivation des pirates informatiques, ces dossiers sont une cible de choix pour eux, et les campagnes de phishing visent à faire des prestataires de soins de santé les prochaines victimes.
Des millions de dossiers médicaux volés par le phishing
Depuis la pandémie, de plus en plus de personnes se préoccupent de leur santé ; se rendent dans les hôpitaux pour les tests COVID et souhaitent se faire vacciner. Les hôpitaux ont été submergés de patients et d’employés fatigués, ce qui a entraîné une vulnérabilité supplémentaire due aux erreurs humaines.
Les campagnes de phishing tirent parti des erreurs humaines et de l’incapacité d’un employé à remarquer les signaux d’alarme. Pour eux, les employés fatigués sont de meilleures cibles, et ils sont conscients des nombreux problèmes rencontrés dans les hôpitaux pendant le COVID et les fermetures pour cause de pandémie.
En 2021, des millions de dossiers de patients ont été volés, principalement lors d’attaques de phishing. Le prestataire de soins de santé New York American Anesthesiology a été par exemple victime d’une campagne de phishing qui a touché plus de 1,3 million de patients.
Le ministère de la Santé et des Services sociaux a également été victime d’une attaque au cours de laquelle environ 9,4 millions de dossiers des patients ont été exposés à des escrocs.
Tout prestataire de soins de santé responsable d’une violation de données doit en informer les patients, conformément à la loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA).
Le Department of Health and Human Services (ministère de la Santé et des Services sociaux) a mis en place une page web où les incidents peuvent être signalés, et les patients peuvent vérifier quand et où la violation s’est produite afin de savoir s’ils pourraient être la prochaine cible d’un vol d’identité.
Depuis le 1er janvier 2021, de nombreuses autres attaques par ransomware et de phishing ont été à l’origine de violations de données dans le secteur de la santé.
Comme les dossiers médicaux contiennent des informations personnellement identifiables, ils ont de la valeur sur le darknet. Tout patient qui pense que ses données ont été divulguées doit surveiller ses rapports de crédit et être à l’affût des courriels de phishing destinés à faire plus d’argent sur le dos de la victime.
Protéger le courrier électronique professionnel contre le phishing
Les campagnes de phishing peuvent être ciblées sur des individus avec des attaques à haut niveau de privilèges, ou elles peuvent être aléatoires lorsque des millions d’utilisateurs reçoivent le même email.
Les attaques non ciblées privilégient la quantité à la qualité. Les escrocs espèrent qu’un petit pourcentage de personnes se laissera prendre au message de phishing. Avec une seule campagne, et même avec un faible pourcentage de victimes, ils peuvent toutefois générer des milliers d’euros de revenus.
Les campagnes de spear-phishing sont beaucoup plus ciblées et efficaces. Les pirates choisissent d’envoyer moins de messages électroniques aux utilisateurs ciblés, mais la campagne peut être beaucoup plus puissante.
Avec un compte à haut niveau de privilège ou l’installation réussie d’un ransomware, un attaquant peut gagner des millions grâce à ses efforts.
Lors d’une attaque de ransomware qui cible les organisations, les pirates peuvent demander des milliers d’euros en échange de clés privées pour déchiffrer les données. Ils peuvent également utiliser les informations d’identification qu’ils ont volées pour exfiltrer des données des serveurs de l’organisation.
Ces deux types de campagnes de phishing nuisent à la réputation d’un établissement de soins et de santé ainsi qu’à la confidentialité des données de ses patients.
C’est pour cette raison que les prestataires de soins de santé et les autres organisations doivent prendre plusieurs mesures pour protéger les utilisateurs contre le phishing.
Les utilisateurs n’ont pas la formation nécessaire pour identifier les campagnes de phishing, mais même les administrateurs informatiques sont victimes de ces attaques.
La meilleure façon de protéger les utilisateurs est d’empêcher les messages malveillants d’atteindre les boîtes de réception des destinataires ciblés. Cela peut se faire à l’aide de filtres de messagerie.
La cybersécurité sur les serveurs de messagerie est la première défense contre le phishing. Les filtres de messagerie qui exploitent l’intelligence artificielle fonctionnent encore mieux pour détecter les messages malveillants et les mettre en quarantaine avant qu’ils n’atteignent la boîte de réception du destinataire ciblé.
Même si les emails sont mis en quarantaine, ils sont toujours accessibles aux administrateurs pour examen, mais ils sont inaccessibles aux utilisateurs standards qui pourraient ne pas se rendre compte qu’un message est malveillant.
Les pièces jointes sont souvent utilisées pour inciter les utilisateurs à installer des ransomwares sur le réseau de votre organisation.
Les ransomwares constituent une autre attaque dangereuse visant la confidentialité et l’intégrité des données. Les pirates l’utilisent souvent contre les prestataires de soins de santé, sachant qu’ils peuvent paralyser les flux de travail et la productivité de votre organisation.
Sachez que les systèmes de cybersécurité du courrier électronique peuvent détecter les pièces jointes qui pourraient contenir des macros utilisées pour télécharger des ransomwares et les installer sur les systèmes de votre organisation.
Une cybersécurité multicouche est essentielle pour protéger le secteur de la santé contre les menaces avancées telles que le phishing et les ransomwares.
Sans une approche de cybersécurité à plusieurs niveaux, d’autres prestataires de soins de santé pourraient être victimes de la prochaine grande violation de données.
En utilisant le bon filtre de courrier électronique et les filtres de contenu web, vous pouvez réduire les risques liés aux erreurs humaines et confier la détection des campagnes de phishing aux contrôles de cybersécurité.
Un filtre d’email détecte les messages, met en quarantaine les emails suspects. Il donne également plus de contrôle aux administrateurs pour les permettre de les examiner à la recherche de contenu malveillant. Si l’administrateur détermine que le message mis en quarantaine est un faux positif, il peut alors le transmettre au destinataire prévu.
Ces contrôles permettent de stopper de nombreuses campagnes de phishing et de réduire les risques que votre organisation devienne la prochaine victime d’une violation de données médicales.
TitanHQ offre une sécurité multicouche avancée pour protéger votre organisation contre les ransomwares, les attaques de phishing et les violations de données.
Contactez l’un de nos experts en cybersécurité dès aujourd’hui pour savoir comment nous pouvons protéger votre organisation.
