Les hôpitaux sont l’une des infrastructures critiques les plus importantes en temps normal, et encore plus en ce moment avec l’urgence sanitaire mondiale causée par COVID-19. Pour l’heure, il est donc impératif que les hôpitaux fonctionnent aussi bien qu’ils le peuvent, sans impondérables.
Cependant, nous ne devons pas perdre de vue que tout le secteur est actuellement en pleine révolution technologique et que toutes les informations sont désormais stockées sous forme numérique, ce qui est au demeurant au premier bénéfice des patients. Toutes ces informations sont également disponibles en ligne, de sorte que si le patient change de médecin, ses antécédents médicaux sont facilement accessibles. C’est cette dernière évolution technologique qui a créé un sérieux problème de sécurité pour le secteur de la santé. Les informations médicales etant très précieuses, un cybercriminel pourra en tirer un grand profit s’il réussit à mettre la main dessus.
Actuellement, les hôpitaux sont des cibles très populaires pour la cybercriminalité. Cela est dû, entre autres, à la quantité de données personnelles qu’ils traitent, ainsi qu’à la vulnérabilité de leurs systèmes informatiques, qui sont souvent dépassés. Certains groupes de cybercriminels ont déclaré qu’ils n’attaqueraient pas les hôpitaux pendant la pandémie actuelle, mais certains groupes ont ignoré cette louable initiative. On en a eu un exemple en République tchèque où, à la mi-mars, une cyberattaque a paralysé un hôpital universitaire qui menait des tests et des recherches pour atténuer la propagation du coronavirus.
Coup de projecteur sur les infections et le rançongiciel Netwalker en Espagne
L’Espagne est l’un des pays les plus touchés par la pandémie, et ses hôpitaux travaillent sans relâche pour soigner les patients. Mais les hôpitaux espagnols doivent maintenant faire face à un autre problème urgent : les demandes de rançon.
Le 29 mars, les agences nationales de cybersécurité ont détecté une tentative de blocage des systèmes d’information des hôpitaux espagnols par l’envoi de courriels malveillants au personnel de santé. Ces courriels contiennent une pièce jointe censée contenir des informations sur le coronavirus dans un fichier appelé « CORONAVIRUS_COVID-19.vbs ».
Ce fichier contient un exécutable du rançongiciel Netwalker et un code masqué pour extraire et lancer ce ransomware sur l’ordinateur de la victime. Une fois exécuté, Netwalker crypte les fichiers sur l’ordinateur et ajoute une extension aléatoire aux fichiers cryptés.
Une fois ce processus terminé, le rançongiciel laisse une note de rançon appelée [extension]-Readme.txt. Cette note contient des instructions sur la manière de récupérer les fichiers cryptés.
La bonne nouvelle est que cette cybermenace n’a pas encore fait l’objet d’une diffusion massive. Cependant, étant donné la situation d’urgence que connaît le pays, une telle cyber-attaque sur un centre médical aurait des conséquences dévastatrices.
Une technique d’évasion : Le Process hollowing
Netwalker s’attaque aux systèmes Windows 10 et est capable de désactiver les logiciels antivirus. Cependant, pour éviter de déclencher des alarmes, il ne désactive pas les systèmes de sécurité de la protection de l’endpoint mais injecte un code malveillant directement dans l’explorateur Windows.
Pour éviter la détection, Netwalker utilise également une technique appelée « process hollow ». Ce processus consiste à démapper la mémoire des processus dont l’état est suspendu, et à la remplacer par du code malveillant. Cette technique lui permet de contourner les solutions de cybersécurité qui utilisent des listes blanches et des signatures pour détecter les logiciels malveillants.
Comment protéger les hôpitaux
En ce moment, il est plus important que jamais d’assurer la sécurité des hôpitaux. Afin de garantir leur protection, il est essentiel que chacun fasse un effort pour empêcher les rançongiciels de s’infiltrer dans les systèmes informatiques des acteurs de la santé.
La première étape consiste à être extrêmement prudent avec les courriels. Le courrier électronique est l’un des principaux vecteurs d’entrée des logiciels malveillants, et c’est aussi un vecteur qui existe dans chaque entreprise. Pour s’en protéger, il est impératif de ne jamais ouvrir les pièces jointes provenant d’expéditeurs inconnus. Il est également essentiel de ne jamais cliquer sur les liens contenus dans les courriels d’inconnus, car ils peuvent également faciliter l’installation de logiciels malveillants.
Les solutions avancées de cybersécurité constituent une autre mesure essentielle de prévention. Panda Adaptive Defense est capable de surveiller toute activité sur tous les terminaux du réseau. Il n’utilise pas de signatures pour détecter les logiciels malveillants. Au lieu de cela, tout processus inconnu est bloqué et analysé avant exécution, et n’est autorisé à s’exécuter que s’il est classé comme légitime. Cette posture de type Zero Trust garantit la sécurité de votre système informatique.
En raison de l’importance de la protection de ce secteur vital, pendant l’état d’alerte en Espagne, Cytomic, une entité de Panda Security, fournit gratuitement des solutions de protection pour endpoint aux acteurs du secteur de la santé. Ainsi, elles peuvent continuer à effectuer efficacement toute leur activité en ces temps critiques, sans avoir à se soucier de leur cybersécurité.