Barracuda full logo

Change Healthcare et RansomHub redéfinissent la double extorsion

Thèmes:
12 avr. 2024
|
Christine Barry

Le mois dernier, nous vous avons parlé de l’acteur russe malveillant ALPHV/BlackCat, un groupe de Ransomware-as-a-Service (RaaS) qui a disparu après avoir reçu une rançon de 22 millions de dollars de la part de Change Healthcare. Nous allons faire le point sur ce qui s’est passé depuis.

D’abord, le contexte. L’attaque qui a visé Change Healthcare fait régulièrement parler d’elle depuis qu’elle a été révélée le 21 février 2024. En raison de la portée considérable de Change Healthcare dans le secteur de la santé, la moindre défaillance au sein de l’entreprise peut avoir des répercussions dans plusieurs domaines.  

Change Healthcare est une unité technologique au sein de l’entreprise Optum Insight de UnitedHealth Group. Optum fournit une myriade de solutions aux entreprises du secteur de la santé, aux mutuelles et aux pharmacies. Change Healthcare était une société cotée en bourse qui fournissait des solutions de données et d’analyse aux organismes de santé avant de fusionner avec Optum en 2022. Au moment de l’attaque, en février 2024, Change Healthcare possédait plus de 100 applications proposant des services de santé et de bien-être (pharmacie, dossiers médicaux, données cliniques, engagement des patients, paiements, etc.). Ce portefeuille de solutions place Change Healthcare au cœur d’une chaîne d’approvisionnement qui délivre des milliards d’ordonnances chaque année. L’entreprise a accès aux dossiers médicaux d’environ un tiers de tous les patients aux États-Unis.

L'attaque

Bien que l’attaque ait été révélée le 21 février, nous ne savons pas quand les systèmes de Change Healthcare ont été infiltrés. Il est courant que les pirates explorent le réseau, exfiltrent des données et établissent un accès à distance permanent avant de lancer l’attaque de chiffrement par ransomware. On ne sait pas quand ni comment les pirates ont infiltré les systèmes de Change Healthcare, mais nous savons comment ALPHV a procédé lors des attaques précédentes :

Phase 1 : accès initial et ancrage (jours 1 à 5). L’auteur malveillant a commencé par compromettre le réseau d’un fournisseur tiers, en utilisant un serveur de terminal local dans le réseau du client comme point de pivot à partir duquel il a lancé l’attaque.

Phase 2 : mouvement latéral (jours 6 à 20). L’auteur de la menace a utilisé plusieurs techniques d’exécution de code à distance ainsi que la plateforme Cobalt Strike pour se déplacer latéralement entre les domaines sur site et l’environnement Azure de la victime par le biais de connexions RDP et de tunnels.

Phase 3 : exfiltration des données et mouvements latéraux supplémentaires (jours 27 à 30). À l’aide de l’outil « Rclone », le pirate a exfiltré un volume important de données des serveurs locaux vers un service de stockage de fichiers dans le cloud appelé « Wasabi ».

Phase 4 : tentatives d’extorsion (jours 30 à 45). Le pirate a inondé la victime d’e-mails en la menaçant de publier des informations sensibles si elle ne payait pas la rançon, tout en exagérant la quantité et la sensibilité des informations volées.

Le 28 février, le groupe de ransomware ALPHV/BlackCat a inscrit Change Healthcare sur son site de fuite de données, affirmant avoir volé six téraoctets (6 To) de données appartenant à « des milliers de professionnels de santé, de mutuelles, de pharmacies, etc. ».  L’annonce a été supprimée plus tard dans la journée, ce qui a amené de nombreuses personnes à penser que Change Healthcare était en train de négocier avec le cybercriminel. 

 

Captures d’écran de Dominic Alvieri du site de fuite d’ALPHV

Ces spéculations semblent se confirmer le 1er mars :

« Des preuves indiquent qu’un montant substantiel a atterri dans le portefeuille Bitcoin contrôlé par AlphV. Et cet affilié relie cette adresse à l’attaque qui a visé Change Healthcare. Il est donc probable que la victime ait payé la rançon. »

Paiement de la rançon

Change Healthcare n’a ni confirmé ni démenti le paiement de la rançon, et c’est probablement la meilleure chose à faire. Le paiement d’une rançon est une question juridique délicate, car les États-Unis interdisent de payer les acteurs malveillants sanctionnés par l’Office of Foreign Assets Control (OFAC), un organisme de contrôle financier qui dépend du département du Trésor des États-Unis. Les criminels de ransomware sanctionnés par l’OFAC sont répertoriés en tant qu’individus et non en tant que groupes d’acteurs de menaces. Les autorités américaines se moquent de savoir si vous êtes au courant ou non qu’un individu sanctionné fait partie du groupe destinataire de la rançon.

En outre, le fait de débourser 22 millions de dollars pour l’une des menaces les plus agressives et les plus sophistiquées du secteur de la santé donne une mauvaise image de l’entreprise. Aucune organisation ne veut laisser penser qu’elle finance de futures attaques contre ses clients et ses partenaires industriels, même s’il s’agit d’une extorsion.

Qu’il s’agisse des agents fédéraux ou des responsables informatiques, tout le monde vous conseillera de ne jamais payer une rançon. Rien ne garantit que le code de décryptage fonctionnera ni que les données volées seront détruites, et vous risquez d’être la cible de futures attaques.

« Si Change Healthcare a vraiment payé, cela soulève un problème… Ce paiement met en évidence la rentabilité des attaques contre le secteur de la santé. Les groupes criminels qui misent sur les ransomwares sont prévisibles : s’ils trouvent un secteur particulier lucratif, ils l’attaqueront sans relâche, encore et encore. »

Change Healthcare était sans aucun doute au courant de cela, mais cette organisation a tout de même trouvé une ou plusieurs raisons de payer, parmi lesquelles :

  1. Le décryptage et la restauration du système. La rançon a été payée en échange d’une clé de décryptage qui faciliterait la récupération.
  2. La protection des données. Change Healthcare a payé pour que ses 6 To de données volées soient supprimés au lieu d’être vendus.
  3. Prévention des attaques DDoS. ALPHV/BlackCat a déjà utilisé des attaques par déni de service distribué (DDoS) par le passé. Cette menace s’est peut-être ajoutée à l’attaque.

Le paiement de la rançon a donné à Change Healthcare le temps de se concentrer sur l’assistance aux clients et le retour à la normale de ses systèmes, mais le drame lié au ransomware ne s’est pas arrêté là. Pour rappel, ALPHV était un opérateur RaaS. Les abonnés, ou affiliés, sont les acteurs malveillants qui ont déployé le ransomware et dérobé les données de la victime. ALPHV a fourni l’infrastructure, notamment les sites de négociation et le système de paiement, mais lorsque le gros lot de 22 millions de dollars est arrivé, le groupe cybercriminel n’a pas respecté ses engagements vis-à-vis de ses affiliés.

 

ALPHV arnaque l’affilié Notchy

Ceci a été publié par « Notchy », qui prétend être l’auteur malveillant qui a attaqué Change Healthcare. Il affirme également détenir les données volées lors de l’attaque.

Pendant que Notchy faisait face aux conséquences d’un scam mené par cet autre escroc, ALPHV a discrètement commencé à blanchir l’argent de la rançon :

« Selon TRM Labs, une société de renseignement sur les risques liés à la blockchain, des fonds ont récemment été transférés depuis des portefeuilles Bitcoin associés à d’autres rançons versées à ALPHV, et ces sommes ont été transférées vers de multiples adresses et par le biais d’un « mixeur », un outil utilisé pour masquer les transactions qui peuvent être suivies sur un registre public. »

Cela nous amène au 7 avril 2024.

RansomHub

RansomHub est un groupe RaaS observé pour la première fois en février lorsqu’il a revendiqué l’attaque contre YKP Brazil. Depuis, ce groupe a fait des dizaines de victimes, mais cela n’a pas fait grand bruit dans les médias jusqu’à cet événement :

 

RansomHub exige d’être payé par Change Healthcare

 

RansomHub demande maintenant à Change Healthcare de payer une rançon pour que ces données soient supprimées au lieu d’être vendues. Il n’est pas rare de voir une deuxième phase d’extorsion concernant les données volées. Les groupes de ransomware modernes ont introduit cette menace il y a quelques années. En revanche, une deuxième phase d’extorsion organisée par un deuxième acteur malveillant n’a rien de courant. C’est troublant. Mais est-ce vrai ?

Il existe actuellement trois théories courantes au sujet de RansomHub :

  1. RansomHub est une nouvelle marque d’ALPHV et les données sont en sa possession.
  2. Le pirate Notchy a rejoint RansomHub et les données sont en sa possession.
  3. RansomHub bluffe et les données ne sont pas en sa possession.

Personne ne semble savoir grand-chose sur RansomHub. Les données relatives aux attaques suggèrent que l’activité de RansomHub a augmenté après la fermeture d’ALPHV, et d’autres recherches montrent que RansomHub suit les mêmes règles qu’ALPHV:

  • Aucune attaque contre des organisations à but non lucratif.
  • Aucune attaque visant des personnes ou des entités situées dans la CEI ou dans un pays qui entretient des relations étroites ou des alliances avec la CEI.
  • Aucune attaque répétée contre une victime qui a payé.
  • Les affiliés qui enfreignent ces règles sont bannis.

Il est trop tôt pour déterminer si RansomHub détient des données provenant de l’attaque d’ALPHV. Change Healthcare a affirmé que des données avaient fait l’objet d’une fuite, mais l’entreprise n’a pas confirmé ni démenti le vol de données. Si la revendication de RansomHub est légitime, le groupe obtiendra son argent, soit par le biais d’une rançon, soit par une vente clandestine. Toutefois, même si la revendication de RansomHub n’est pas légitime, des millions de professionnels de santé et de consommateurs ont été et continueront d’être affectés négativement par des décisions commerciales qui ne seront ni confirmées ni démenties par Change Healthcare.

La plateforme de cybersécurité Barracuda

Barracuda offre une protection complète contre les ransomwares et propose l’une des plateformes de cybersécurité les plus complètes du marché. Consultez notre site Web pour découvrir comment nous protégeons les e-mails, les réseaux, les applications et les données.

 

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.