Cyberveille relative aux secteurs de la santé et de l'assurance maladie

Cybermenaces dans les secteurs de la santé et de l'assurance maladie

Les secteurs de la santé et de l'assurance maladie sont sous la menace des types d'attaquants suivants :

  • Des groupes APT1 cherchent à s'emparer du capital intellectuel et d'autres informations propriétaires de nature à avantager les entreprises de l'État commanditaire ou à l'aider à réaliser ses objectifs stratégiques en matière de santé.
  • D'autres groupes APT convoitent les informations d'identification personnelle de patients, éventuellement dans le but de mieux cibler d'autres attaques et d'aider l'État commanditaire à collecter des renseignements.
  • Les cybercriminels aux motivations d'ordre financier cherchent à dégager un profit de la vente d'informations d'identification personnelle et de données financières.
  • Des hacktivistes peuvent tenter de perturber l'accès aux sites Web d'une entreprise et/ou de défigurer ses pages Web afin de sensibiliser l'opinion publique à leurs opinions politiques ou leurs convictions idéologiques, ou encore de protester contre l'activité de l'entreprise en question.
healthcare cyber threat intelligence

Horizon des menaces & perspectives pour le secteur

Les secteurs de la santé et de l'assurance maladie gèrent une mine de données à forte valeur économique (recherche, processus de fabrication, informations d'identification personnelle et autres données sensibles). Ils resteront donc la cible privilégiée de cyberattaques en tous genres. D'après nos prévisions, les facteurs ci-dessous sont susceptibles d'intensifier les menaces dirigées contre le secteur :

  • La tendance à la numérisation des dossiers médicaux et la connectivité accrue des équipements médicaux risquent d'augmenter la surface d'attaque des établissements de santé et d'accroître leur vulnérabilité face aux attaquants.
  • Les innovations technologiques et médicales peuvent inciter les groupes APT à multiplier les vols de capital intellectuel et d'autres informations propriétaires au profit de leurs entreprises nationales, publiques ou privées.
  • Soucieux d'améliorer leurs produits et services de santé en vue de réduire leurs dépenses dans ce domaine, certains États peuvent recruter des groupes APT pour obtenir des renseignements susceptibles de les aider à atteindre leurs objectifs.
  • Toute implication d'entreprises du secteur dans une affaire (soins médicaux, tests médicamenteux, manquements à l'éthique ou autres) peut attirer les foudres des hacktivistes qui chercheront à attirer l'attention de l'opinion et à jeter le discrédit sur les entreprises qu'ils jugent fautives.
Nous avons observé au moins 13 groupes responsables d'attaques avancées visant des entreprises appartenant aux sous-secteurs d'activité ci-dessous :
  • Fabrication de produits biopharmaceutiques & biothérapeutiques
  • Fabrication d'appareillage électromédical, électrothérapeutique & à rayons X
  • Assurance maladie
  • Logiciel de gestion des soins de santé
  • Fabrication de produits de soins de santé
  • Hôpitaux
  • Fabrication de fournitures & équipements médicaux
  • Fabrication de produits pharmaceutiques
Types de données volées à des entreprises du secteur de la santé
  • Business plans & objectifs commerciaux & stratégiques
  • Documents RH
  • Documents juridiques
  • Documents sur l'infrastructure réseau
  • Informations sur les patients

Étude de cas : un groupe APT s'introduit sur le réseau d'une compagnie d'assurance maladie

Dans le cadre d'une enquête menée auprès d'une compagnie d'assurance maladie, nous avons constaté que les attaquants avaient eu recours à une attaque de spear-phishing combinée ciblant des dizaines d'utilisateurs de l'assureur pour accéder aux systèmes de l'entreprise. Les messages contenaient des liens malveillants masqués aux utilisateurs, comme c'est souvent le cas dans les messages de phishing. Ces liens déclenchaient le téléchargement de backdoors permettant aux pirates de collecter les mots de passe nécessaires pour se déplacer latéralement sur le domaine du réseau de l'assureur. Les attaquants sont finalement parvenus à accéder aux informations d'identification personnelle d'un grand nombre d'assurés, qu'ils ont ensuite exfiltrées.

cyber threats targeting healthcare

LES 5 PRINCIPAUX MALWARES

FireEye a constaté une récurrence de certaines familles de malwares utilisées pour compromettre des entreprises des secteurs de la santé et de l'assurance maladie. En voici l'inventaire :

WITCHCOVEN Script de profilage conçu pour obtenir des informations sur les systèmes d'exploitation, les navigateurs et les applications utilisés par les visiteurs de sites Web. Nous soupçonnons les auteurs de menaces APT d'utiliser ces scripts à des fins de footprinting — une technique de récolte d'informations utilisée pour établir le profil des systèmes informatiques et des entreprises auxquelles ils appartiennent.
XtremeRAT Outil d'administration à distance (RAT) disponible sur Internet et capable de charger et télécharger des fichiers, interagir avec le registre Windows, manipuler des services et processus, et capturer des données (notamment audio et vidéo).
China Chopper Petit webshell qui fournit aux auteurs de menaces un accès non autorisé à un système informatique utilisant un simple mot de passe pour l'authentification. China Chopper peut également exécuter du code Microsoft .NET dans des commandes POST HTTP.
Gh0stRAT Outil d'administration à distance (RAT) dérivé de code source disponible sur Internet. Il peut réaliser des captures audio et d'écran, activer une webcam, lister et arrêter des processus, ouvrir un shell, effacer des journaux d'événements, ainsi que créer, manipuler, supprimer, lancer et transférer des fichiers.
PingBed Cheval de Troie capable d'une série de fonctions : téléchargement et exécution de fichiers, arrêt de processus, exécution de lignes de commandes et renvoi des résultats, entre autres. Nous avons observé que certains échantillons de cette famille utilisent des techniques d'ingénierie sociale pour inciter l'utilisateur à ouvrir une interface ZIP ou RAR où les noms et icônes de fichiers indiquent les fichiers accessibles en lecture.

LES 5 PRINCIPAUX CRIMEWARES

D'après le serveur sinkhole et les données partagées dynamiquement par FireEye, les variantes de crimeware les plus fréquemment détectées dans les secteurs de la santé et de l'assurance maladie sont les suivantes :

Conficker Ver qui se propage en exploitant une vulnérabilité sur les supports amovibles et les partages réseau. Il est capable de désactiver les paramètres de sécurité, de supprimer des fichiers de sauvegarde et de réinitialiser
les points de restauration système.
POWESSERE (ou Poweliks) Malware sans fichier résidant entièrement dans le registre Windows. Powessere s'introduit généralement sur un système via des e-mails de phishing aux couleurs de Canada Post ou d'USPS, ou en utilisant des exploits Microsoft Office. Il ne crée pas de fichiers sur le système infecté mais réside entièrement dans le registre Windows. Powessere s'exécute par étapes à partir d'un JavaScript codé et stocké dans une clé à exécution automatique. Une fois le malware entièrement installé, une DLL résidant dans la mémoire collecte les informations de base sur le système et peut télécharger des malwares supplémentaires.
Jenxcus (ou njw0rm et njworm) Évolution du célèbre malware njRAT. Souvent transmis via des liens malveillants inclus dans les e-mails ou des téléchargements drive-by sur des sites compromis, Jenxcus offre non seulement les fonctionnalités habituelles d'un outil d'administration à distance (RAT), mais permet en outre le vol d'identifiants ou la transmission à des supports de stockage amovibles.
HOUDINI (ou H-Worm) Outil d'administration à distance (RAT) VBS qui utilise HTTP pour communiquer des informations sur le système compromis (ex. système d'exploitation, nom de l'hôte, nom de l'utilisateur). Dans certains cas, le fichier VBS est masqué par plusieurs méthodes de dissimulation, y compris les codages Base64 personnalisés. Il prend en charge plusieurs commandes et fonctions, telles que l'exécution en ligne de commande, le téléchargement et l'exécution de programmes, et le vol de données.
Upatre Programme de téléchargement de chevaux de Troie. Une fois infiltré sur un système (généralement via un e-mail de spam, un téléchargement drive-by ou un exploit), Updatre y télécharge un ou plusieurs autres types de malwares. Selon nos observations, Upatre distribue un large éventail de malwares, notamment Zbot, Dyre, Rovnix, CryptoLocker et Necurs.

1 Les groupes APT sont réputés pour recevoir d'un État commanditaire l'ordre de dérober des informations ou de mener des attaques contre les réseaux. Tenaces et déterminés, ils sont capables d'employer une grande variété d'outils et de tactiques.