Barracuda full logo

KillNet cible le secteur de la santé : ce qu'il faut savoir

Thèmes:
23 mars 2023
|
Christine Barry

Le ministère américain de la santé et des services sociaux (HHS) a publié une note d'analyse sur le groupe d'hacktivistes KillNet et ses attaques contre le secteur des soins de santé et de la santé publique. KillNet est un groupe de pirates informatiques pro-russes qui mène des cyberattaques contre des cibles aux États-Unis et dans d'autres pays alliés de l'Ukraine. En décembre 2022, KillNet s'est attribué le mérite d'avoir neutralisé des sites associés au ministère américain du commerce et à l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA).

Qu'est-ce que KillNet ?

KillNet se présente comme un « groupe patriotique russe », bien qu'il ne soit pas confirmé qu'il ait des liens avec des institutions officielles relevant du gouvernement russe. Le groupe a cofondé le forum « Infinity » qui se veut une plateforme permettant aux "hacktivistes pro-Kremlin" de partager leurs techniques, leurs outils et d'autres ressources et connaissances. KillNet a également utilisé la plateforme pour lever des fonds en utilisant le bitcoin. Bien que le forum ait connu le succès sur ces deux fronts, KillNet a annoncé en février qu'il vendait le forum afin de « sombrer dans l'obscurité ».

Le groupe a toujours ciblé les pays européens ayant des convictions contraires à celles du Kremlin, mais il s'est focalisé sur les pays de l'OTAN et les pays ayant soutenu l'Ukraine après le début de la guerre entre la Russie et l'Ukraine. En février, le groupe a revendiqué des attaques contre l'OTAN qui ont entravé les opérations d'aide aux victimes du tremblement de terre entre la Turquie et la Syrie. Les attaques visaient le quartier général des opérations spéciales de l'OTAN, les installations de transport aérien stratégique et le réseau de communication restreint de l'OTAN. Le chef de KillNet a fait part de ces attaques sur un canal Telegram :

Annonce de l'attaque de KillNet | Source : Telecoms Tech News

KillNet a également revendiqué des attaques contre Lockheed Martin, plusieurs cibles en Lettonie et d'autres cibles notoires.

Nature de la menace

Il n'est pas possible d'identifier un risque unique lié à l'activité de KillNet, car ce groupe génère des ondes qui sont appelées à se transformer en grandes vagues. Le groupe s'est limité à des attaques par déni de service distribué (DDoS) qui n'ont pas causé de dommages importants aux systèmes, bien que les interruptions de service les plus graves puissent durer plusieurs heures ou plusieurs jours. Les interruptions de service constituent la véritable menace pour les infrastructures, l'économie et les vies humaines. 

Les attaques de ransomware font la une des journaux, mais une attaque DDoS stratégique peut être particulièrement néfaste. La note d'analyse du HHS mentionne qu'une liste de cibles visées par les attaques de KillNet comprend des hôpitaux et des établissements médicaux dans de nombreux pays. Les membres de KillNet ont également revendiqué l'intention d'attaquer des respirateurs d'hôpitaux et d'autres cibles spécifiques dans le domaine de la santé. Toute interruption de ces services peut mettre des vies en danger.

KillNet inspire également de nouveaux pirates pro-russes et un nombre croissant de fans de KillNet. Un rappeur russe a sorti « Killnetflow (Anonymous diss) » (disponible sur YouTube) et un bijoutier moscovite propose une collection de « bling-bling » et d'autres produits dérivés en rapport avec KillNet. Ces articles favorisent l'image de marque de KillNet en termes de recrutement, de collecte de fonds et de promotion de ses idées. Grâce à des outils tels que le DDoS en tant que service, il est beaucoup plus simple pour les nouveaux « hacktivistes » de prêter main-forte aux attaques pro-russes. KillNet profite également de l'aide de groupes de pirates informatiques pro-russes bien établis qui offrent leurs ressources pour faciliter certaines attaques.

Les attaques par DDoS ne se limitent pas aux interruptions de service

Les attaques par DDoS ont souvent des conséquences plus graves qu'une simple interruption de service. La saturation d'un système via une attaque DDoS peut détourner l'attention de l'équipe informatique d'autres activités malveillantes. Pendant que les intervenants s'efforcent en vain de contrer les attaques par DDoS, les pirates installent des malwares, volent des données ou lancent une attaque par ransomware.  Un exemple notoire est le « vol » en 2012 de 900 000 dollars en dizaines de petites transactions qui a eu lieu lors d'une attaque DDoS visant la Bank of the West.

Bien que cela se soit produit il y a plus de dix ans, les attaques par DDoS sont toujours d'actualité et ne cessent de sévir. Les banques restent une cible privilégiée, et la cause peut être idéologique ou financière. Certains groupes spécialisés dans les ransomwares recourent également aux attaques par déni de service pour contraindre les victimes à négocier. La note d'analyse du HHS met spécifiquement en garde contre ces nouvelles menaces d'extorsion.

Défendez-vous

Barracuda WAF-as-a-Service est une excellente solution pour défendre vos applications web contre les attaques par DDoS et autres. Nous pouvons vous aider à vous lancer en vous proposant une démonstration et un essai gratuit que vous pourrez déployer en quelques minutes. Le déploiement d'un firewall d'application web est l'une des mesures les plus importantes que vous puissiez prendre pour protéger votre entreprise, mais ce n'est qu'un élément parmi d'autres :

  • Dans la mesure du possible, veillez à ce que votre application soit développée dans un souci de sécurité et d'évolutivité.  Cela permettra d'ajouter un niveau de défense supplémentaire en cas d'attaque.
  • Informez-vous quant aux moyens de défense qui peuvent être mis à votre disposition par vos fournisseurs de services Internet et de services cloud. Vos contrats de service peuvent inclure une assistance à la lutte contre les attaques par déni de service (DDoS).
  • Intégrez les attaques DDoS dans votre stratégie de sécurité globale et dans vos plans de réponse aux incidents. Cela vous permettra d'identifier et de limiter les attaques et de vous assurer que d'autres ressources ne sont pas attaquées.

Consultez notre site Web pour en savoir plus sur Barracuda WAF-as-a-Service et sur nos autres solutions de sécurité des applications. Pour plus d'informations quant aux mesures de défense contre les attaques par DDoS, lisez la publication de la CISA intitulée « Understanding and Responding to Distributed Denial-of-Service Attacks » (Comprendre les attaques par déni de service distribué et y faire face).

Ressources

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.