Site Logo

Le ransomware Maze : un réel danger pour le secteur des soins de santé

Thèmes: COVID-19
27 avr. 2020
|
Christine Barry

Les attaques par le ransomware Maze sont en train de gagner du terrain dans le secteur de la santé, au point qu'Interpol a envoyé une mise en garde aux professionnels de la santé du monde entier. Les ransomwares ne sont pas nouveaux, mais ils ne cessent d'évoluer afin d'exploiter de nouvelles opportunités et contourner les avancées dans le domaine de la sécurité.

Le ransomware Maze, anciennement connu sous le nom de ChaCha, a été observé pour la première fois en mai 2019. En novembre 2019, il est devenu plus agressif et a évolué vers une attaque reposant sur trois aspects : exfiltrer, chiffrer et extorquer. Cette attaque se déroule en plusieurs étapes :


  1. Exfiltration des données : lors de l'accès à l'ordinateur, l'attaque exporte les données afin qu'elles soient disponibles pour la phase finale de l'attaque.

  2. Suppression des sauvegardes : le ransomware s'exécute et commence à supprimer les sauvegardes et les copies d'ombre, puis à rechercher certains types d'extensions de fichiers à chiffrer.

  3. Chiffrement : Maze va chiffrer les fichiers avec l'algorithme ChaCha, puis rechiffrer les clés ChaCha grâce à RSA-248. Chaque fichier ainsi chiffré sera renommé avec une extension aléatoire.

  4. Demande de rançon : une fois les fichiers chiffrés, Maze créera une note de rançon nommée DECRYPT-FILES.txt dans chacun des répertoires concernés. Ce fichier fournit des instructions et des liens vers l'assistance technique pour aider les victimes à payer la rançon.

  5. Menace de publication : il est demandé aux victimes de payer la rançon, sous peine de voir leurs informations publiées sur un site Web public. Les informations publiées pourraient être toutes les données exfiltrées, ou juste assez de données pour prouver que l'entreprise a été compromise.


L'une des plus grosses publications de données médicales semble provenir de Medical Diagnostics Laboratories (MD Lab), dans le New Jersey. Lorsque MD Lab a refusé de payer la rançon, les pirates ont publié 9,5 Go de données de recherche, afin de forcer les négociations avec l'entreprise. - Source

Comme avec tous les cybercriminels, même si vous payez la rançon, vous n'avez aucune certitude que les pirates qui se cachent derrière ce ransomware vous fourniront la clé de déchiffrement ou ne publieront ni ne vendront les données exfiltrées.

Au cœur d'une campagne plus vaste

Si l'on considère l'attaque dans sa globalité, Maze constitue en réalité la deuxième ou troisième étape d'une campagne. Selon une alerte flash du FBI, les étapes initiales d'une campagne Maze varient et peuvent inclure les éléments suivants :

  • Des campagnes de spear phishing qui incitent les utilisateurs à fournir des identifiants ou à télécharger des fichiers malveillants.

  • Des sites Web malveillants qui collectent des identifiants ou installent un kit d'exploits ou d'autres fichiers malveillants sur l'appareil d'une victime. Ces sites Web peuvent se faire passer pour des sites gouvernementaux ou liés à la COVID-19.

  • Des campagnes de spam contenant des pièces jointes infectées ou des URL malveillantes.


D'après Interpol, les attaques par Maze qui ciblent les professionnels de santé n'ont été observées que par le biais d'e-mails de phishing liés à la pandémie, qui incluent un lien malveillant vers le malware dans le corps du message ou dans une pièce jointe.

De récentes recherches ont également révélé que les cybercriminels préfèrent toujours les ransomwares aux autres types d'attaques. Or, la surface d'attaque est beaucoup plus grande maintenant que nombre d'employés travaillent à distance, où ils ne bénéficient pas nécessairement du même niveau de protection des e-mails que dans un bureau.

Par conséquent, pour protéger votre entreprise contre les ransomwares, déployez plusieurs couches de sécurité afin de vous défendre contre l'ensemble des vecteurs de menace, et assurez-vous de disposer d'une protection complète des données. En effet, bien que les attaques par ransomware puissent prendre diverses formes, l'e-mail reste son principal vecteur. Une solution de protection des e-mails adaptée doit donc inclure des technologies anti-phishing ainsi qu'une formation de sensibilisation à la sécurité, afin d'aider les utilisateurs à reconnaître ces attaques si elles arrivent dans leur boîte de réception. Pour en savoir plus sur les ransomwares, consultez notre article de blog disponible ici et le site Web de notre société disponible ici.

 

Christine Barry

Christine Barry is Senior Chief Blogger and Social Media Manager at Barracuda.  Prior to joining Barracuda, Christine was a field engineer and project manager for K12 and SMB clients for over 15 years.  She holds several technology and project management credentials, a Bachelor of Arts, and a Master of Business Administration.  She is a graduate of the University of Michigan.

Connect with Christine on LinkedIn here.

Billets associés :
Le ransomware Maze : un réel danger pour le secteur des soins de santé
Le ransomware Maze : un réel danger pour le secteur des soins de santé
 A new innovation wave for email security
A new innovation wave for email security
L'alerte du FBI concernant les ransomwares s'étend à tous les secteurs.
L'alerte du FBI concernant les ransomwares s'étend à tous les secteurs.
 Étude sur l'Asie-Pacifique : surmonter les difficultés en matière de sécurité dans un environnement éloigné
Étude sur l'Asie-Pacifique : surmonter les difficultés en matière de sécurité dans un environnement éloigné