Étude des menaces

Les hôpitaux doivent plus que jamais se protéger des virus informatiques

Michal Salát, 20 mars 2020

Augmentez la résilience de votre hôpital face aux attaques de ransomwares et découvrez comment réagir en cas d’attaque

Vendredi dernier, une attaque de ransomware a frappé l’hôpital universitaire de Brno (République tchèque) qui fait actuellement office de centre de dépistage du coronavirus. Tous ses ordinateurs ont été paralysés. L’hôpital a suivi les procédures standard et a demandé à l’Agence de sécurité informatique et cybernétique tchèque de l’aider dans son enquête. Nos laboratoires de veille des menaces l’ont également aidé à analyser le malware

Les hôpitaux ne sont pas forcément plus exposés aux attaques de ransomwares. Mais une attaque peut avoir de terribles conséquences sur leur système et occasionner la perte de dossiers médicaux et des retards ou annulations de traitement. Leur activité étant critique, ils constituent une cible de choix car ils sont plus enclins à payer une rançon pour récupérer les données vitales de leurs patients.

Des auteurs de ransomwares se sont engagés à ne pas cibler les hôpitaux pendant la pandémie. Mais cet élan d’altruisme n’est en réalité qu’une tactique pour que les entreprises d’antivirus ne renforcent pas les mesures de sécurité des services d’urgence.

Comment accroître la résilience de votre hôpital face aux attaques de ransomware

Les hôpitaux peuvent renforcer leurs défenses en plusieurs étapes, notamment en protégeant leurs systèmes, les données de leurs patients et leurs opérations.

Gardez vos logiciels à jour

En mai 2017, la souche de ransomware WannaCry a infecté des millions d’ordinateurs dans le monde en profitant d’une vulnérabilité que Microsoft avait corrigée deux mois auparavant. Les millions de particuliers et d’entreprises (y compris des hôpitaux) qui n’avaient pas mis à jour leur système ont été touchés par le ransomware. 

Vous devez absolument garder vos logiciels et systèmes d’exploitation à jour. Microsoft publie constamment des correctifs d’urgence, comme celui publié récemment pour corriger une vulnérabilité critique sous Windows 10. Baptisé EternalDarkness, ce ver touche le protocole SMB (protocole permettant le partage de ressources) qui avait déjà été exploité par WannaCry il y a 3 ans. Microsoft a exhorté ses utilisateurs à appliquer immédiatement la mise à jour, et nous conseillons aux établissements de santé d’en faire autant.

Limitez les accès 

Les hôpitaux doivent essayer d’éviter tous les services accessibles directement sur Internet. Pour les fichiers exécutables, les administrateurs informatiques devraient envisager une liste blanche stricte afin que seules les applications connues et fiables puissent être exécutées sur les ordinateurs des hôpitaux.

Formez votre personnel à l’hygiène numérique

Tout comme les hôpitaux forment leur personnel aux meilleures pratiques en matières d’hygiène, les employés devraient également recevoir une formation et des conseils réguliers sur l’hygiène numérique. Le personnel hospitalier doit être informé des arnaques et tactiques actuellement utilisées par les cybercriminels, car l’e-mail reste leur méthode de prédilection pour infecter les ordinateurs. Chaque employé doit se méfier des e-mails provenant d’expéditeurs inconnus et éviter de cliquer sur des liens ou de télécharger des pièces jointes, à moins d’être sûr à 100 % de leur authenticité. 

Sauvegardez régulièrement toutes les données importantes

Une attaque de ransomware n’aura pas la même répercussion si vous possédez un backup de tous vos fichiers, car vous pourrez toujours restaurer vos systèmes et récupérer vos données. Faites régulièrement une copie de sauvegarde de tous vos documents importants (notamment des dossiers médicaux de vos patients) afin de toujours disposer d’une version de secours. L’idéal est de sauvegarder vos données à la fois dans le cloud et sur un support de stockage matériel. Enfin, il peut être judicieux de conserver une liste de tous vos paramètres par défaut : vous pourrez alors restaurer la configuration de vos PC.

Mesures à prendre en cas d’attaque de ransomware

Vous devez savoir comment réagir en cas d’attaque, car cela peut malheureusement arriver. 

Étape 1 : isolez immédiatement les appareils infectés

Si un PC Windows est victime d’un ransomware, déterminez quels ordinateurs ont été infectés et déconnectez-les du réseau, qu’ils soient câblés ou sans fil. Cela empêchera le ransomware de se propager et de prendre en otage d’autres appareils (ordinateurs, tablettes, smartphones...).

Pendant cette opération, nous recommandons aux utilisateurs de déconnecter tout ce qui est connecté au réseau, même les dispositifs de stockage externe. 

Aussi, regardez si l’un de ces appareils a été connecté au PC infecté. Si oui, vous devrez aussi vérifier si leur système affiche aussi une note de rançon.

Étape 2 : collectez les journaux et créez une image système

Une fois que l’appareil est isolé et qu’il ne peut pas nuire au réseau, créez une image système pour une analyse ultérieure. Ce cliché de votre PC gardera une trace des journaux et des activités, ce qui permettra ensuite de déterminer l’origine de l’attaque et son mode opératoire.

Étape 3 : identifiez le type d’attaque de ransomware

Ensuite, cherchez à identifier la souche du ransomware. Cette information pourrait vous permettre de trouver une solution. Pour identifier le type de ransomware qui a infecté votre appareil, nous vous conseillons d’utiliser Crypto Sheriff de No More Ransom. Fourni par le Centre européen de lutte contre la cybercriminalité d’Europol, ce petit outil analyse les fichiers chiffrés et la note de rançon. S’il reconnaît le type de chiffrement et qu’une solution existe, il vous envoie un lien pour télécharger la bonne clé de déchiffrement. Vous pouvez aussi consulter des forums de dépannage et de support technique pour PC afin de vous renseigner sur la variante du ransomware qui doit être supprimée. Même s’il s’agit d’un ransomware inédit, vous trouverez peut-être un fil de discussion proposant une solution ou y réfléchissant.

Certains ransomwares renomment vos fichiers ou leurs extensions (par exemple : .exe, .docx, .dll) après les avoir chiffrés. Allez sur des forums techniques et recherchez les noms et extensions de vos fichiers chiffrés. Cela pourrait vous orienter vers des groupes de discussion sur la souche de ransomware dont vous souhaitez vous débarrasser.

Voici d’autres forums susceptibles de vous aider :

Étape 4 : supprimez le ransomware

Vous devez vous débarrasser du malware sous-jacent qui a pris votre PC en otage. Sous Windows 10, 8 et 7, vous avez 4 options :

  1. Vérifier s’il s’est supprimé tout seul (c’est souvent le cas)
  2. Le supprimer avec un antivirus, comme Avast Antivirus
  3. Le supprimer manuellement
  4. Restaurer l’appareil à partir d’une image système

Pour les utilisateurs concernés ou administrateurs informatiques, nous avons conçu un guide détaillé que vous trouverez ici.

C’est bien de se protéger du coronavirus, mais il faut aussi protéger nos appareils des cybervirus. Chez Avast, nous luttons fermement contre ces menaces et suivons la situation de près.

Prenez bien soin de vous !