Hôpitaux et cyberattaques. Que faire ?

Michal Salát 16 févr. 2021

Comment les hôpitaux peuvent se rendre plus résistants aux attaques ransomware et ce qu'il faut faire si cela se produit.

Dax, Trévoux, Villefranche... Depuis le début de la crise du Covid-19, les attaques informatiques se multiplient contre les hôpitaux français. Les malfaiteurs prennent le contrôle des serveurs et en verrouillent l'accès avant de demander une rançon.

Une attaque contre un hôpital peut avoir des conséquences très néfastes, comme la perte des dossiers des patients, et des retards ou des annulations de traitement. Comme les hôpitaux effectuent des opérations critiques et détiennent des informations vitales sur les patients, ils sont plus susceptibles que d'autres organisations de payer la rançon, ce qui en fait des cibles attrayantes pour les acteurs de la menace.

Les opérateurs de rançon tentent de paraître altruistes en disant qu'ils ne cibleront pas les hôpitaux pendant la pandémie, mais nous ne devons pas leur accorder de crédit car ils essaient simplement d'éviter la surveillance accrue que les sociétés antivirus mettront en place pour traquer toute personne attaquant les services d'urgence.


Comment les hôpitaux peuvent-ils se renforcer face aux attaques par ransomware ?

Il existe des mesures que les hôpitaux peuvent prendre pour se défendre et protéger leurs systèmes, les données des clients et leurs opérations.

Maintenir les logiciels à jour
En mai 2017, la souche de rançon WannaCry a attaqué des millions d'ordinateurs à travers le monde, infectant avec succès des dispositifs en abusant d'une vulnérabilité pour laquelle Microsoft avait publié un patch pendant deux mois avant l'attaque massive. Des millions de personnes et d'entreprises n'ont pas appliqué la mise à jour, qui les aurait protégées contre une infection de WannaCry. Les hôpitaux ont également été touchés par le logiciel de rançon.

Il est absolument crucial de maintenir tous les logiciels et systèmes d'exploitation à jour en permanence. Microsoft publie en permanence des correctifs d'urgence. Récemment, Microsoft a publié un correctif d'urgence pour une vulnérabilité critique de Windows 10 appelée "EternalDarkness", une vulnérabilité vermifuge qui affecte le protocole SMB, qui est utilisé pour partager des fichiers, et qui est le même protocole exploité pour répandre WannaCry il y a trois ans. Microsoft a exhorté les utilisateurs à prendre des mesures immédiates pour appliquer la mise à jour, et les établissements de santé devraient prendre cet appel à l'action au sérieux.

hopital-cyberattaque-2021
Limiter l'accès
Les hôpitaux doivent essayer de suspendre tous les services disponibles directement sur Internet. Les administrateurs informatiques devraient envisager une liste blanche stricte en ce qui concerne les fichiers exécutables, afin que seules les applications connues et fiables puissent être exécutées sur les ordinateurs des hôpitaux.

Formation à l'hygiène numérique
Tout comme les hôpitaux forment leur personnel aux meilleures pratiques d'hygiène, les employés devraient également recevoir régulièrement des formations et des conseils sur l'hygiène numérique. Le personnel hospitalier devrait être sensibilisé aux escroqueries et tactiques actuelles utilisées par les cybercriminels, car le courrier électronique reste l'une des méthodes de diffusion les plus populaires auprès des cybercriminels. Les employés doivent se méfier des courriels provenant d'expéditeurs inconnus, et doivent surtout éviter de cliquer sur des liens ou de télécharger des pièces jointes sans être sûrs à 100 % de leur authenticité.

Sauvegarde régulière de toutes les données importantes
Si les fichiers sont sauvegardés, le logiciel rançon perd une grande partie de sa puissance, car les systèmes peuvent être restaurés et les données récupérées. Les documents importants, y compris les dossiers des patients, doivent être sauvegardés régulièrement, afin de garantir que les hôpitaux disposent toujours d'une version propre de leurs fichiers, au cas où ils seraient cryptés. Il est préférable de sauvegarder les données à la fois dans le nuage et avec un stockage physique, juste au cas où. En outre, il est utile de disposer d'une image unique avec tous les paramètres par défaut lorsqu'un PC doit être restauré dans un état connu comme bon.



Mesures à prendre en cas d'infection par un ransomware

Malheureusement, le risque zéro n'existe pas, et il est donc important de savoir quoi faire si le pire se produit.

Étape 1 : Isoler immédiatement les appareils infectés
La première chose à faire si un PC Windows est attaqué par un logiciel de rançon est de trouver et de déconnecter tous les ordinateurs et autres appareils câblés et sans fil infectés sur le réseau. Cela empêchera le logiciel rançon de se propager et de prendre en otage d'autres ordinateurs, tablettes et/ou smartphones.

Au cours de cette procédure, il est recommandé aux victimes de déconnecter également tout ce qui est connecté aux appareils sur le réseau, y compris le stockage externe.

Pour effectuer cette étape, les victimes doivent vérifier si l'un d'entre eux était connecté au PC infecté. Si oui, les systèmes devraient également être vérifiés pour les messages de rançon.

Étape 2 : Collecte des journaux et établissement d'une image médico-légale
Une fois que la machine est isolée et ne peut plus nuire à l'environnement du réseau, une image médico-légale du système en fonctionnement doit être prise pour une analyse de suivi. Cela permettra de geler tous les journaux et événements, et améliorera considérablement la capacité d'une équipe d'intervention à déterminer d'où l'attaque est venue et comment elle s'est comportée.

Étape 3 : Identifier le type d'attaque par demande de rançon
Ensuite, les victimes doivent découvrir à quelle souche de logiciel de rançon elles ont affaire. Cette connaissance pourrait les aider à trouver une solution. Pour aider à déterminer le type de logiciel de rançon sur une machine, nous recommandons d'utiliser le Crypto Sheriff de No More Ransom. Mis à disposition par le Centre européen de lutte contre la cybercriminalité d'Europol, cet outil pratique vérifie les fichiers que l'attaquant a cryptés et la demande de rançon. Si le Crypto Sheriff reconnaît le cryptage et a une solution, il propose un lien pour télécharger le programme de décryptage nécessaire. Les forums de dépannage et d'assistance technique pour PC peuvent également être consultés pour trouver des informations sur la variante du logiciel de rançon qui doit être supprimée. Même si elle est nouvelle, il peut y avoir un fil de discussion qui propose une solution, ou un fil de discussion où les membres du forum travaillent à la recherche d'une solution.

Certaines infections par des logiciels de rançon renomment les fichiers et les extensions de fichiers (par exemple : .exe, .docx, .dll) après les avoir cryptés. Lorsqu'ils visitent les forums techniques pour obtenir de l'aide, les utilisateurs peuvent rechercher les noms et les extensions des fichiers cryptés ; chacun d'entre eux peut servir de guide pour les discussions sur la souche de logiciel rançon qui doit être supprimée.

Source d'informations complémentaires utiles :
Communauté Microsoft

Étape 4 : Suppression des logiciels de rançon
Il est important de se débarrasser du malware sous-jacent qui retient un PC en otage. Il existe des options de suppression des logiciels malveillants pour Windows 10, 8 et 7:

Vérifier si le logiciel rançon s'est supprimé de lui-même (ce qui arrive souvent)
Supprimez-le avec une solution antivirus, comme Avast Antivirus
Supprimer manuellement le programme malveillant
Réinstaller le système à partir d'une image
Les personnes concernées et les administrateurs informatiques trouveront des étapes plus détaillées dans notre guide pas à pas ici.

Alors que nous essayons tous de nous protéger contre le virus, il est important que nous continuions à protéger nos appareils contre les cyber-virus. Chez Avast, nous nous sommes engagés à stopper ces menaces et nous restons vigilants face à l'évolution de la situation.

Téléchargez et installez l'antivirus gratuit Avast dès aujourd'hui et bénéficiez d'une sécurité et d'une protection complètes pour tous vos appareils.

Cet article est la traduction du blog original de mars 2020

 

--> -->