septembre 29, 2020
Ransomware : on ne rigole plus
Pour commencer, petit retour en arrière…
Le 10 septembre, le ransomware-malware DoppelPaymer a chiffré 30 serveurs d’un hôpital de la ville allemande de Düsseldorf, suite à quoi le débit de patients malades s’est effondré. Il y a une semaine, à cause de cette baisse, l’hôpital n’a pas pu accepter une patiente qui devait être opérée en urgence et l’a redirigée vers l’hôpital de la ville voisine. Elle est décédée pendant le trajet. Il s’agit du premier décès directement lié à l’attaque d’un ransomware.
Cette histoire est très triste, surtout lorsque l’on y regarde de plus près : il y a eu » l’accident » fatal (en supposant que les cybercriminels n’avaient pas prévu que leurs mauvaises actions provoqueraient un décès), une négligence évidente des règles de base à suivre en matière de cybersécurité et une incapacité des autorités policières à appréhender l’organisation criminelle impliquée.
Les cybercriminels ont pu attaquer le réseau de l’hôpital grâce à une vulnérabilité (Shitrix) dans les serveurs Citrix Netscaler qui avait pourtant été corrigée en janvier. Il semblerait que les administrateurs système aient attendu trop longtemps avant d’installer le patch et, pendant ce temps, des personnes mal intentionnées ont pu pénétrer dans le réseau et installer une porte dérobée.
Jusque-là ce sont les faits. À partir de maintenant ce n’est qu’une hypothèse impossible à confirmer mais qui semble tout de même très probable…
Il ne peut être exclu qu’après un certain temps l’accès à la porte dérobée ait été vendu à d’autres pirates informatiques sur un des forums clandestins en tant qu’ » accès à une porte dérobée installée au sein d’une université « . En effet, l’attaque visait initialement l’université Heinrich Heine qui se trouve à proximité. C’est cette université qui apparaissait dans l’e-mail que les escrocs ont envoyé en demandant le paiement d’une rançon pour récupérer les données chiffrées. Lorsqu’ils ont découvert qu’il s’agissait en réalité d’un hôpital, et non d’une université, ils ont rapidement envoyé toutes les clés de déchiffrement puis ont disparu. On dirait bien que les hôpitaux attaqués par un cheval de Troie n’intéressent pas tant que ça les cybercriminels. Ils sont considérés comme des actifs trop » toxiques » (de la pire des façons comme nous avons pu le constater).
Il est fort probable que le groupe russophone de hackers Evil Corp soit à l’origine de DoppelPaymer, un groupe qui compte des dizaines d’actions de piratage (dont le réseau de Garmin) et d’extorsion haut-niveau à son actif. En 2019, le gouvernement américain a émis un acte d’accusation contre les individus qui font partie de Evil Corp, et a offert une récompense de cinq millions de dollars à toute personne aidant à les interpeller. Le plus étrange est que les autorités connaissent l’identité des criminels et que, jusqu’à il y a peu, ils se vantaient et montraient leur mode de vie bling-bling de gangsters, même sur les réseaux sociaux.
Où va le monde ? Tellement d’erreurs ont été commises. Tout d’abord, il y a le fait que les hôpitaux sont à la merci des attaques de ransomware, même si dans le cas mortel de Düsseldorf il semblerait qu’il y ait eu erreur sur la personne (un hôpital au lieu d’une université). Ensuite, il y a le fait que les universités sont prises pour cible (souvent pour voler des données de recherche, même celles sur la Covid-19). Enfin, il y a un » troisième » aspect du point de vue de la cybersécurité…
Comment un hôpital peut-il être aussi négligent ? Ne pas corriger une vulnérabilité en temps et en heure et donc laisser la porte grande ouverte aux cybercriminels pour qu’ils puissent entrer et installer une porte dérobée ! Combien de fois avons-nous répété que FreeBSD (ce que Netscaler utilise) n’est en aucun cas un gage de sécurité et est en réalité tout le contraire, un faux ami des experts en cybersécurité ? Ce système d’exploitation est loin d’être immunisé et a des faiblesses qui peuvent être utilisées pour provoquer des cyberattaques sophistiquées. Enfin, il y a aussi le fait qu’une institution aussi critique qu’un hôpital (mais aussi des organisations infrastructurelles) a besoin d’une protection à plusieurs niveaux où chaque niveau protège les autres. Si l’hôpital avait installé une solution de protection fiable sur son réseau, les cybercriminels n’auraient probablement pas pu lancer ce qu’ils voulaient.
La police allemande enquête sur le déroulement des événements qui ont provoqué le décès de la patiente. J’espère que les autorités allemandes vont faire une demande officielle aux institutions russes pour qu’elles coopèrent dans la détention des criminels impliqués.
Pour que la police engage des poursuites, il faut au moins présenter une déclaration/demande officielle ou qu’il y ait une infraction criminelle. La publication de tel ou tel article dans la presse ou tout autre communication ou commentaire informel ne sont pas reconnus par le système judiciaire. Pas de demande officielle, pas d’affaire. Sinon les avocats pourraient obtenir un non-lieu en un clin d’œil. Pourtant, s’il y a une preuve crédible indiquant qu’un crime a été commis, il faut suivre la procédure d’interaction inter-gouvernementale existante. Tout cela va trop loin et est trop formel : oui, mais les choses sont ainsi. Les gouvernements doivent laisser de côté leurs différents politiques et agir ensemble. Désormais, des gens en meurent, sans oublier que pendant que la coopération internationale est en grande partie gelée par la géopolitique, les cybercriminels se dirigent vers de nouveaux sommets, ou plutôt continuent avec leurs coups bas et leurs mauvaises actions contre l’humanité.
Mise à jour : la première étape vers le rétablissement d’une coopération en cybersécurité a déjà eu lieu. Croisons les doigts…
D’ailleurs, avez-vous remarqué qu’on entend très peu parler de cyberattaques de ransomware réussies contre les organisations russes ? Vous êtes-vous déjà demandé pourquoi ? Pour ma part, je n’accepte à aucun moment ces théories du complot idiotes qui disent que les cybercriminels travaillent pour les services secrets russes. Il y a toute une multitude de groupes de ransomware dans le monde. Voici la raison, à mon humble avis. La plupart des entreprises russes sont équipées d’une cyber-protection de qualité et seront bientôt protégées par un système d’exploitation cyber-immunisé, même si l’utilisation de cette super protection a été interdite dans les institutions du gouvernement américain. Allez savoir pourquoi.
Mise à jour numéro 2 : un des groupes hospitaliers les plus importantes des États-Unis, UHS, a déclaré hier avoir été victime d’une attaque de ransomware. Ses ordinateurs, utilisés par près de 250 établissements dans tout le pays, ont été éteints ce qui a obligé le groupe à annuler les opérations, rediriger les ambulances et les enregistrements des patients ont dû se faire à la main. Il n’y a pas plus de renseignements pour le moment…