Le ransomware Maze : un réel danger pour le secteur des soins de santé

Version imprimable, PDF et e-mail

Les attaques au ransomware Maze sont en train de gagner du terrain dans le secteur des soins de santé, au point qu'Interpol a envoyé une mise en garde aux professionnels de santé du monde entier. Les ransomwares ne sont pas nouveaux, mais ils évoluent sans cesse pour profiter des nouvelles opportunités et contourner les avancées dans le domaine de la sécurité.

Le ransomware Maze, anciennement ChaCha, a été observé pour la première fois en mai 2019. En novembre 2019, il était devenu plus agressif et avait évolué vers une attaque reposant sur trois aspects : exfiltrer, chiffrer et extorquer. Cette attaque se déroule en plusieurs étapes :

  1. Exfiltration des données : lors de l'accès à l'ordinateur, l'attaque exporte les données afin qu'elles soient disponibles pour la phase finale de l'attaque.
  2. Suppression des sauvegardes : le ransomware s'exécute et commence à supprimer les sauvegardes et les copies d'ombre, puis à rechercher certains types d'extensions de fichiers à chiffrer.
  3. Chiffrement : Maze va chiffrer les fichiers avec l'algorithme ChaCha, puis rechiffrer les clés ChaCha grâce à RSA-248. Chaque fichier ainsi chiffré sera renommé avec une extension aléatoire.
  4. Demande de rançon : une fois les fichiers chiffrés, Maze créera une note de rançon nommée DECRYPT-FILES.txt dans chacun des répertoires concernés. Ce fichier fournit des instructions et des liens vers l'assistance technique pour aider les victimes à payer la rançon.
  5. Menace de publication : il est demandé aux victimes de payer la rançon, sous peine de voir leurs informations publiées sur un site Web public. Les informations publiées pourraient être toutes les données exfiltrées, ou juste assez de données pour prouver que l'entreprise a été compromise.

L'une des plus grosses publications de données médicales semble provenir des Medical Diagnostics Laboratories (MD Lab), dans le New Jersey. Lorsque MD Lab a refusé de payer la rançon, les pirates ont publié 9,5 Go de données de recherche, afin de forcer les négociations avec l'entreprise. – Source

Les pirates de Maze sont des criminels. À ce titre, même si vous payez la rançon, il n'est pas garanti qu'ils vous fourniront la clé de décryptage ou ne publieront ou vendront pas les données exfiltrées.

Au cœur d'une campagne plus vaste

Si l'on considère l'attaque dans sa globalité, Maze constitue en fait la deuxième ou troisième étape d'une campagne. Selon une alerte flash du FBI, les étapes initiales d'une campagne Maze varient et peuvent inclure :

  • Des campagnes de spear phishing qui incitent les utilisateurs à fournir des identifiants ou à télécharger des fichiers malveillants.
  • Des sites Web malveillants qui récoltent des identifiants, ou installent un kit d'exploits ou d'autres fichiers malveillants sur l'appareil d'une victime. Ces sites Web peuvent se faire passer pour des sites gouvernementaux ou liés au COVID-19.
  • Des campagnes de spam contenant des pièces jointes infectées ou des URL malveillantes.

D'après Interpol, les attaques par Maze sur les professionnels de santé n'ont été observées que par le biais d'e-mails de phishing liés à la pandémie qui incluent un lien malveillant vers le malware dans le corps du message ou dans une pièce jointe.

De récentes recherches ont également révélé que les cybercriminels continuent de préférer les ransomwares aux autres types d'attaques. La surface d'attaque est bien plus grande maintenant que de nombreux employés sont passés en télétravail, où ils ne bénéficient pas forcément du même niveau de protection des e-mails que dans un bureau.

Pour protéger votre entreprise contre les ransomwares, déployez plusieurs couches de sécurité afin de vous défendre contre tous les vecteurs de menace, et assurez-vous de disposer d'une protection complète des données. Bien que les attaques par ransomware puissent prendre diverses formes, l'e-mail reste son principal vecteur. La protection des e-mails doit inclure des technologies anti-phishing ainsi qu'une formation de sensibilisation à la sécurité, afin d'aider les utilisateurs finaux à reconnaître ces attaques si elles arrivent dans leur boîte de réception.

Pour en savoir plus sur les ransomwares, consultez notre article de blog ici et le site Web de notre société ici.

 

Remonter en haut de page
Tweeter
Partager
Partager