Netskope Threat Labs : Les infostealers ciblent les données du secteur de la santé
mars 2024 par Netskope
Le Threat Labs de Netskope a publié son dernier rapport de recherche, révélant que les infostealers étaient les principales familles de malwares et de ransomwares utilisées pour cibler le secteur de la santé.
Les chercheurs de Netskope ont observé une augmentation continue de l’adoption des applications cloud dans le secteur de la santé et ont identifié des tendances en matière de malwares.
Les principales conclusions sont les suivantes :
• Cible principale des attaques des infostealers : ils constituent une famille de malwares de premier plan pour le secteur de la santé, car les cyberattaquants tentent de voler des données précieuses aux organisations et aux patients afin de les faire chanter ultérieurement ou à leur demander une rançon.
o Le gang de ransomwares Clop a été particulièrement actif en ciblant les organismes de soins de santé et d’assurance maladie, en exploitant la vulnérabilité CVE-2023-34362 MOVEit.
o La santé figure parmi les principaux secteurs impactés au cours de l’année 2023 par des méga-frappes, une attaque au cours de laquelle plus d’un million d’enregistrements sont volés.
• Les téléchargements de malwares ont augmenté en 2023 avec un pic au deuxième trimestre : les malwares diffusés dans le cloud représentaient environ 40 % des téléchargements de malwares dans le secteur de la santé fin 2023, après un pic de 50 % en juin, qui a ensuite légèrement baissé au second semestre. La tendance dans le secteur de la santé est légèrement inférieure à celle des autres secteurs, cependant les malwares diffusés dans le cloud augmentent considérablement d’une année sur l’autre sur ce domaine, alors qu’ils ne représentaient que 30 % il y a un an.
o Le secteur de la santé semble avoir le plus faible pourcentage de malwares provenant du cloud au cours des 12 derniers mois, et se classe au 6ème rang avec environ 40 % du total des téléchargements de malwares, derrière les télécommunications, les services financiers, l’industrie manufacturière, la vente au détail, la technologie, les administrations publiques et locales, et l’éducation.
o Les applications cloud sont de plus en plus la cible de malwares, car elles donnent aux attaquants la possibilité d’échapper aux contrôles de sécurité habituels qui reposent sur des outils tels que les listes de blocage de domaines et la surveillance du trafic web, et ces attaques sont réussies sur les entreprises qui n’appliquent pas les principes de zero trust pour inspecter régulièrement le trafic cloud.
• S’opposer à la tendance des malwares de Microsoft OneDrive : si Microsoft OneDrive est restée l’application la plus populaire dans le secteur de la santé, son utilisation a été nettement inférieure que dans d’autres secteurs. Par conséquent, les téléchargements de malwares via OneDrive étaient inférieurs de 12 points de pourcentage par rapport aux autres secteurs.
o La prévalence générale des attaques de malwares provenant de OneDrive est due à sa grande popularité, à la fusion entre les tactiques des adversaires (abuser de OneDrive pour distribuer des logiciels malveillants) et au comportement des victimes (la probabilité de cliquer sur les liens et de les télécharger).
• La popularité de Slack dans le secteur de la santé : l’application arrive deuxième pour l’envoi d’informations (derrière OneDrive) et cinquième pour les téléchargements d’informations, ce qui est nettement plus élevé que dans les autres secteurs. Cependant, cette tendance d’utilisation n’était pas en lien avec le nombre de téléchargements de malwares à partir de l’application - elle ne figurait même pas dans le top 10 des sources.
o Slack étant une application d’entreprise robuste, les cybercriminels doivent utiliser des tactiques et des contenus différents pour cibler les utilisateurs qui doivent accepter ou partager des invitations sur des canaux externes. Il s’agit d’un processus plus complexe par rapport à d’autres applications de messagerie grand public comme Whatsapp qui pourraient être utilisées sur un appareil d’entreprise. Les cyberattaquants utiliseraient plutôt Slack comme serveur de commande et de contrôle, car son API fournit un mécanisme flexible pour télécharger (ou exfiltrer) des données.
« Les infostealers font partie des principales menaces pour le secteur de la santé, comme en témoigne les nombreuses méga-frappes et la campagne massive Clop exploitant la vulnérabilité CVE-2023-34362, qui ont touché les organismes de santé au cours de l’année 2023, déclare Paolo Passeri, Cyber Intelligence Specialist chez Netskope. Bien entendu, ce modus operandi n’est pas surprenant en raison des types de données personnelles gérées par ces organisations, mais il est particulièrement efficace car les attaquants n’ont pas nécessairement besoin de chiffrer les données dans une attaque par ransomware. Au lieu de cela, ils exfiltrent les informations volées et les utilisent pour faire chanter la victime (ou ses clients/patients). Les malwares et les infostealers ne doivent pas être la seule préoccupation du secteur des soins de santé. Ce dernier doit également prendre en compte la vulnérabilité de leur chaîne d’approvisionnement et appliquer aux tiers la même stratégie de zero trust que celle qu’il appliquerait dans leur propre organisation. »
Le rapport est basé sur des données d’utilisation anonymes collectées sur un sous-ensemble de plus de 2 500 clients de Netskope appartenant au secteur de la santé, qui ont tous donné leur autorisation préalable pour que leurs données soient analysées de cette manière.