L'écosystème de la cybercriminalité et les soins de santé aux États-Unis en 2023

Par : Eric Clay, chercheur en sécurité

Télécharger le PDF

Introduction : Analyse de la cybercriminalité ciblant le secteur de la santé

L’écosystème de la cybercriminalité continue d’atteindre de nouveaux sommets en matière d’organisation, de coordination et de sophistication. Chaque année, les cybercriminels développent et utilisent de nouveaux outils, de plus en plus banalisés et vendus dans le cadre de modèles commerciaux as-a-service. Les progrès rapides de la cybercriminalité posent des défis importants aux professionnels de la cybersécurité des soins de santé. 

La santé est également l’un des secteurs les plus ciblés par les acteurs malveillants. Les données des patients sont très prisées sur le dark web en raison de leur utilisation potentielle à des fins de fraude médicale, créant ainsi une cible lucrative pour les criminels. En outre, de nombreuses organisations de soins de santé peuvent être soumises à des pressions supplémentaires pour payer des rançons afin de maintenir la disponibilité de leurs systèmes critiques. 

Ce rapport examinera l'impact de la cybercriminalité sur le secteur de la santé. Nous exploiterons plus que :

  • sept ans de données archivées de Tor
  • 21 millions de journaux voleurs
  • des milliers de messages sur les forums du dark web de premier plan 

pour mieux comprendre comment les cybercriminels ciblent les soins de santé et comment le paysage des menaces évolue pour les établissements de santé. 

Section I : Journaux des voleurs, SSO et menace émergente pour les soins de santé se concentrera sur les infections par des logiciels malveillants infostealer et les organisations de soins de santé. Nous aborderons le cycle de vie des voleurs d'informations, les journaux des voleurs et les informations d'identification d'authentification unique avant d'analyser enfin les données des journaux des voleurs de plus de 800 établissements de santé. 

Section II : Courtiers d'accès initial, économie du piratage du Dark Web et soins de santé se concentrera sur les courtiers d’accès initial vendant un accès privilégié aux organismes de santé sur les forums du dark web. 

Section III : Soins de santé et ransomwares : principales tendances 2022 et 2023 couvrira les principales tendances liées aux ransomwares et aux soins de santé.

Le point de vue du RSSI sur le risque de cybercriminalité

Les attaques de ransomware contre les établissements de santé ont augmenté de plus de 100 % à un rythme annualisé en 2023. Cette croissance se produit dans le contexte d'un écosystème de cybercriminalité de plus en plus sophistiqué, avec plus de 50 groupes de ransomware en activité. 

Une variante du malware appelée infostealer entraîne la distribution de centaines de milliers d'informations d'identification d'entreprise sur le dark web et Telegram, et on estime que 20 % des établissements de santé ont été touchés au cours des 6 derniers mois. Nous estimons qu’il est très probable que les journaux de vols soient l’un des principaux moteurs de l’augmentation des attaques de ransomwares. La mise en œuvre d’une plateforme continue de gestion de l’exposition aux menaces pour détecter et remédier automatiquement aux expositions à haut risque est une étape essentielle dans la création d’un environnement sécurisé. 

Cybercriminalité et soins de santé : principales statistiques

  • 19.4 % des établissements de santé ont subi une fuite d'informations d'identification contenant un accès d'entreprise distribué sur le dark web et Telegram au cours des six derniers mois. Dans de nombreux cas, ces informations d'identification permettaient d'accéder à des services essentiels, notamment une messagerie sécurisée, des environnements d'authentification unique, Active Directory, les dossiers des patients et même des centres de chirurgie. 
  • Les courtiers d'accès initial ont vendu un accès informatique privilégié à six organisations de soins de santé au cours des 12 derniers mois. L'accès à trois sociétés pharmaceutiques, à deux organisations de soins de santé non définies et à un grand fabricant de dispositifs médicaux a été vendu au cours de cette période. Les acteurs malveillants vendent le plus souvent des privilèges d’administrateur de domaine avec un accès VPN ou RDP.
  • Les journaux de vol contenant l'accès aux applications d'authentification unique de l'entreprise constituent un risque important et croissant. Flare a identifié plus de 300,000 21 informations d'identification pour les applications SSO d'entreprise dans un ensemble de données de plus de XNUMX millions de journaux. 
  • Les attaques de ransomware contre les établissements de santé ont augmenté de 144 % sur une base annualisée en 2023, ce qui représente une expansion significative et rapide des tactiques de ransomware d'extorsion de données. 

Section I : Journaux des voleurs, SSO et menace émergente pour les soins de santé

Les journaux de vol représentent aujourd’hui l’un des vecteurs les plus à haut risque pour les organisations. Le malware Infostealer infecte les ordinateurs et extrait l'empreinte digitale du navigateur avec tous les mots de passe enregistrés dans le navigateur, y compris les cookies de session actifs. Les acteurs malveillants regroupent ensuite des milliers de journaux individuels dans des « fichiers journaux » qui sont distribués dans des réseaux publics et privés payants. chaînes de télégrammes illégales

Principales conclusions sur les journaux de vols et les soins de santé

  • 19.4 % des établissements de santé interrogés ont été infectés par un infostealer lors de l'accès aux informations d'identification de l'entreprise au cours des 6 derniers mois. 9.6 % des organisations ont publié au moins deux journaux de voleurs avec un accès d'entreprise unique. 
  • L'accès trouvé dans les journaux comprenait des informations d'identification et des cookies de session pour ADFS, applications SSO, Citrix, VPN, RDP, et des dizaines d'autres ressources internes.
  • Nous l'évaluons comme hautement probable que les journaux de vol ayant accès aux environnements d'entreprise sont un vecteur principal pour les groupes de ransomwares et courtiers en accès initial.

Ces résultats sont particulièrement alarmants en raison de l’augmentation spectaculaire que nous constatons d’année en année des ransomwares et de la cybercriminalité. La création d'une solution interne efficace pour la détection et la correction rapides des journaux de vol avec accès d'entreprise est probablement l'une des activités avec le retour sur investissement le plus élevé qu'une équipe de sécurité puisse entreprendre en 2023.

Ces résultats sont également étroitement parallèles aux résultats d'une rapport de recherche que nous avons réalisé il y a plusieurs mois, dans lequel nous avons trouvé des milliers d'informations d'identification d'entreprise dans un échantillon de journal de vol de 21,000,000. 

Un acteur menaçant fait de la publicité pour Atomic Malware 

Chaînes de télégrammes publics

Les acteurs malveillants partagent chaque semaine des centaines de milliers de nouveaux journaux sur les canaux publics, contenant des millions de paires d’identifiants uniques. (Chaque journal contient toutes les informations d'identification enregistrées sur un seul hôte.) Les acteurs de la menace publient ces journaux directement sur Telegram public afin de « faire de la publicité » pour les salles privées payantes. 

Canaux de télégramme privés

Dans les canaux Telegram privés à accès payant, les acteurs malveillants offrent un accès exclusif à des journaux plus complets et plus précieux contenant un volume plus élevé de journaux avec accès aux environnements informatiques de l'entreprise. Ces chaînes nécessitent souvent un abonnement ou une adhésion, attirant des personnes prêtes à payer pour des informations plus ciblées et spécialisées. 

L'acteur menaçant sur Telegram annonce deux formes d'accès au malware voleur RedLine

Marché russe

Le marché russe fonctionne comme un marché Web sombre avec achat automatisé et liste des journaux. Les acteurs malveillants peuvent rechercher des journaux avec des informations d’identification spécifiques et acheter un journal qui semble prometteur pour seulement 10 $. 

La plupart des infections par des logiciels malveillants infostealer ciblent les individus plutôt que les entreprises. Les infostealers sont principalement distribués via des logiciels piratés, des publicités malveillantes et du phishing. Les acteurs malveillants recherchent des moyens simples de voler leurs identifiants bancaires, leurs numéros de carte de crédit enregistrés, leurs comptes VPN, leurs comptes Netflix et d'autres applications SaaS facilement accessibles. 

Cependant, dans de nombreux cas, les auteurs de la menace finissent par détecter informations d'identification d'entreprise dans le cadre de leur distribution, et celles-ci peuvent présenter un risque extrêmement élevé. Pour mieux comprendre la présence d'identifiants de santé d'entreprise dans les journaux des voleurs, nous avons trié manuellement les journaux des voleurs ayant accès à près de 1,000 XNUMX établissements de santé afin d'identifier les journaux susceptibles de contenir un accès d'entreprise.

Recommandations urgentes pour les établissements de santé

Nous recommandons aux établissements de santé d’adopter immédiatement les politiques et mesures suivantes.

  • Surveillez le marché russe et Telegram à la recherche de journaux de voleurs pouvant contenir un accès aux environnements informatiques d'entreprise et aux applications SaaS. 
  • Imposez des restrictions importantes aux politiques BYOD.
  • Utilisez un gestionnaire de mots de passe et créez une politique interdisant l’enregistrement des ensembles d’informations d’identification dans le navigateur.
  • Réduisez la durée de vie des cookies de session pour les applications d'entreprise afin de réduire le risque que les journaux contournent les contrôles 2FA présents. 

Section II : Courtiers d'accès initial, économie du piratage du Dark Web et soins de santé

Les courtiers d’accès initial se spécialisent dans l’obtention et la vente d’accès aux environnements informatiques d’entreprise. Ils opèrent sur plusieurs forums du Dark Web, notamment les forums Exploit, XSS, Ramp et Breach, et répertorient l'accès informatique de l'entreprise sous forme d'enchères. 

Ces courtiers jouent un rôle important dans l’économie du piratage du dark web en facilitant l’accès non autorisé à des informations sensibles. Le secteur de la santé est particulièrement vulnérable à ces attaques, car les entreprises de soins de santé détiennent de précieuses données sur les patients qui peuvent être exploitées à des fins financières. 

Principales conclusions sur les courtiers à accès initial

  • Sur un échantillon limité de postes de courtiers d’accès, nous avons constaté que l’accès à six organismes de santé avait été vendu au cours des six derniers mois. 
  • L'accès a été vendu à trois sociétés pharmaceutiques, à deux sociétés de soins de santé non définies et à un organisme de pratique médicale.
  • Les accès RDP et VPN sont les types d'accès les plus courants vendus, l'administrateur de domaine étant le niveau d'accès le plus courant.
  • Les États-Unis étaient le pays le plus ciblé, avec 36 % des publications de l'IAB contenant un accès à des entreprises américaines. 
  • Nous estimons qu'il est très probable que l'accès à l'IAB soit régulièrement utilisé par groupes de ransomwares

L'anatomie d'un poste de courtier d'accès initial

De nombreuses publications de courtiers d'accès initial suivent un format extrêmement similaire, créant un ensemble cohérent de fonctionnalités que nous pouvons mesurer pour mieux comprendre l'économie de l'IAB. 

  • Type d'accès/Тип доступа : Décrit le type d'accès obtenu, le plus souvent un accès RDP ou VPN.
  • Activité/Деятельность : Décrit le secteur ou l’activité de l’entreprise victime. La finance, la vente au détail et l'industrie manufacturière sont les trois cibles les plus courantes.
  • Droits/Droits: Décrit le niveau de privilèges obtenu.
  • Chiffre d'affaires : Décrit les revenus de l'entreprise victime, souvent obtenus auprès de fournisseurs de données basés aux États-Unis et accessibles au public en ligne. 
  • Héberger en ligne : Décrit souvent le nombre d'hôtes de la victime et inclut parfois les systèmes antivirus et de sécurité en place. 
  • Date de début: Le prix de départ de l'enchère.
  • Étape: L'enchère augmente. 
  • Blitz: Le prix d'achat immédiat.

Publication de l'IAB annonçant l'accès RDP pour une organisation basée aux États-Unis

Nous estimons qu'il est très probable que les groupes de ransomwares utilisent les publications initiales des courtiers d'accès comme méthode clé pour accéder et persister aux systèmes informatiques de santé des entreprises. Nous avons vu de nombreux exemples comme celui illustré à droite où les acteurs de la menace ont spécifiquement dénoncé l'absence ou la compromission des systèmes de sauvegarde et de récupération dans les messages initiaux des courtiers d'accès.

Il s’agit d’un indicateur révélateur que le courtier d’accès s’attend probablement à ce que l’accès vendu soit utilisé pour des attaques de rançongiciels de chiffrement de données.  

La publication de l'IAB annonce l'accès RDP à une organisation ainsi que la documentation financière 

Section III : Soins de santé et ransomwares : principales tendances 2022 et 2023

Les ransomwares ont été un fléau pour les établissements de santé ces dernières années, mais les 12 derniers mois ont connu une augmentation particulièrement rapide. Pour mesurer le nombre de victimes de ransomwares, nous avons choisi de nous concentrer sur les victimes dont les données ont été publiées entre le 1er janvier 2022 et fin juin 2023.

Qu’est-ce qu’un ransomware d’extorsion de données ? 

Le ransomware d’extorsion de données est une innovation récente dans laquelle le groupe de ransomware exfiltre des données et demande une rançon. Ces attaques de ransomware impliquent des menaces de publication ou de vente des données volées si la rançon n'est pas payée. Cette tactique ajoute une pression supplémentaire sur les victimes, en particulier dans des secteurs comme la santé, où des informations sensibles sur les patients sont en jeu. Si la victime ne paie pas, ses fichiers sont divulgués sur des blogs dédiés aux ransomwares. 

 Principales conclusions sur les ransomwares et les établissements de santé

  • Les attaques de ransomware contre les établissements de santé ont augmenté à un taux annualisé de 144 % entre 2022 et 2023.
  • Lockbit et Cl0p restent deux des groupes les plus prolifiques jusqu'à fin juin 2023.
  • Certains groupes de ransomwares affirment qu'ils n'attaqueront pas les établissements de santé par principe, même si l'existence d'affiliés rend difficile le respect de cette règle dans la pratique.

Dans notre analyse des attaques de ransomwares contre les établissements de santé au cours des années 2022 et du premier semestre 2023, des groupes de ransomwares spécifiques ont été identifiés comme particulièrement actifs. Ces groupes non seulement perturbent les services de santé, mais mettent également en danger les données des patients. Les cinq principaux groupes de ransomwares les plus responsables de ces attaques sont : 

  • Verrouillage: Avec 27 attaques documentées, LockBit s'impose comme le groupe le plus actif ciblant les organismes de santé. Le groupe est connu pour ses techniques d’attaque sophistiquées et constitue une menace importante pour les prestataires de soins de santé.
  • Fuites CL0P: Responsable de 10 attaques, CL0P Leaks est un autre groupe qui a concentré ses efforts sur les entités de santé. Leurs attaques impliquent souvent la fuite d’informations sensibles si la rançon n’est pas payée.
  • Royal: Royal a été impliqué dans huit attaques contre des organisations de soins de santé. Leur mode opératoire consiste généralement à chiffrer les fichiers critiques et à exiger une rançon pour les clés de décryptage.
  • ALPHV: Ce groupe a exécuté sept attaques contre des établissements de santé. ALPHV exploite souvent les vulnérabilités des systèmes de santé pour déployer son ransomware.
  • Karakurt: Egalement responsable de sept attentats, Karakurt est connu pour son approche ciblée. Ils ont souvent recours à des campagnes de spear phishing pour obtenir un premier accès aux réseaux de santé.

Variance de groupe et éthique des ransomwares

Les ransomwares d’extorsion de données continuent de constituer un défi important pour les établissements de santé en 2023. L’un des aspects les plus intéressants de la recherche sur les groupes de ransomwares est la diversité de leurs approches. Par exemple, le groupe CL0P affirme ne pas cibler les organisations de soins de santé et les associations caritatives par sentiment d'obligation éthique.

Message du CL0P indiquant qu'ils n'attaqueront pas et n'ont pas attaqué les hôpitaux, les orphelinats, les maisons de retraite et les fondations caritatives

D'autres groupes tels que BianLian ne font absolument aucune distinction entre les victimes et sont connus pour cibler directement les hôpitaux pour enfants, les cliniques médicales et autres infrastructures critiques. 

Dans certains exemples, nous avons vu des groupes de ransomwares se décrire comme des « pentesters », des « hackers éthiques » et leurs activités comme des « pentesting après coup » dans le but de créer un vernis de respectabilité et de considération éthique à leurs activités.

Cybercriminalité et soins de santé : conclusions de l'analyse

La santé est l’un des secteurs les plus exposés aux risques des acteurs malveillants. Les acteurs malveillants sont extrêmement motivés à cibler les entreprises de soins de santé, compte tenu de la richesse des données qu’ils détiennent et de la valeur de ces données. Dans de nombreux cas, les entreprises de soins de santé peuvent être incitées à payer des rançons et à traiter avec les cybercriminels plutôt que d’accepter des semaines d’arrêt ou de perte et d’exposition des données sensibles des patients.

Les tendances sont claires ; Les infections par des logiciels malveillants infostealer contenant l'accès aux informations d'identification SSO et aux organismes de santé constituent un vecteur de menace important, tandis que les groupes de ransomwares et les courtiers d'accès initial ciblent spécifiquement les soins de santé. Il est inquiétant de constater que tous les signes indiquent que ces tendances continueront de s’aggraver en 2024.

La gestion continue de l’exposition aux menaces, une opportunité

La mise en œuvre d’une surveillance externe robuste peut contribuer à atténuer un degré important de risque. La gestion continue de l’exposition aux menaces représente une opportunité pour les organisations de détecter et de remédier de manière proactive aux expositions à haut risque qui les rendent vulnérables aux acteurs malveillants. 

La prévention des infections par des logiciels malveillants infostealer est un élément clé de la bataille, mais la création et l'intégration d'un programme de sécurité axé sur le principe de défense en profondeur est encore plus importante. Les organisations qui élaborent des approches globales pour éviter une perte à grande échelle de confidentialité, d’intégrité ou de disponibilité trouveront le plus de succès dans l’atténuation des risques. 

À propos de Flare

Flare est la solution proactive de gestion continue de l'exposition aux menaces (CTEM) pour les organisations. Notre technologie basée sur l'IA analyse en permanence le monde en ligne, y compris le Web clair et sombre, pour découvrir des événements inconnus, hiérarchiser automatiquement les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité. Notre solution s'intègre à votre programme de sécurité en 30 minutes pour fournir à votre équipe des renseignements exploitables et des mesures correctives automatisées contre les menaces sur le Web clair et sombre.

Télécharger le PDF

Partagez cet article

Contenu similaire