Les autorités fédérales américaines mettent en garde contre les menaces représentées par les hackers russes Evil Corp

L'Autorité américaine s’alarme pour le secteur de la santé avertissant que le groupe dispose d'un large éventail d'outils très performants pour prendre en otage les données de santé (Ransomware).

Dans un avis de menace, le centre de coordination de la cybersécurité du secteur de la santé du ministère de la Santé et des Services sociaux avertit le secteur de la santé que le gang, surtout connu pour avoir développé le malware Dridex, « s'est montré exceptionnellement agressif et compétent au cours de ses opérations de piratage mondial, qui durent depuis plus de dix ans ».

Le département du Trésor a sanctionné le groupe, également connu sous le nom de UNC2165, ainsi que Gold Drake et Indrik Spider en 2019. Le Département d'État offre une prime de 5 millions de dollars pour toute information menant à l'arrestation et à la condamnation du chef du gang, Maksim Yakubets. Il existe des informations selon lesquelles le groupe serait une organisation de façade pour les services de renseignement russes, mais il a incontestablement volé d'importantes sommes d'argent depuis le début de ses opérations en 2009 - au moins 100 millions de dollars, selon les estimations du gouvernement. Un grand jury fédéral de Pennsylvanie a inculpé Yakubets en 2019.

De nombreux groupes et variantes de logiciels malveillants liés à Evil Corp ont ciblé le secteur de la santé de manière agressive. « Les ransomwares sont l'un de leurs principaux modus operandi, car ils ont développé et maintenu de nombreuses souches », écrit le HHS HC3. Plusieurs opérateurs de ransomwares ont trouvé dans le secteur de la santé une cible attrayante, car les médecins préfèrent souvent payer une rançon plutôt que de perturber les soins aux patients. « Les organisations du secteur de la santé sont également particulièrement exposées au vol de données de patients que les cybercriminels vendent sur le Dark Web », indique HHS HC3. En outre, « les gouvernements étrangers trouvent souvent qu'il est plus rentable de voler la recherche et la propriété intellectuelle par le biais de cyberattaques d'exfiltration de données plutôt que d'investir du temps et de l'argent pour mener eux-mêmes des recherches. Cela inclut la propriété intellectuelle liée au secteur de la santé ». On pense aux acteurs chinois.

« Il est tout à fait plausible qu'Evil Corp soit chargé d'acquérir la propriété intellectuelle du secteur de la santé américain en utilisant de tels moyens à la demande du gouvernement russe », indique l'avis. C’est d’autant plus crédible depuis que l’Etat russe a pratiquement légalisé la piraterie digitale extraterritoriale à la Fédération russe. « Les groupes cybercriminels comme Evil Corp n'ont fait que devenir plus dangereux au cours des mois qui ont suivi l'invasion de l'Ukraine par la Russie », déclare Adam Flatley, directeur du renseignement sur les menaces à la société de sécurité Redacted. « Ils sont plus sérieux parce que la Russie peut choisir d'utiliser ces groupes comme moyen d'attaquer l'Occident sans l'attribuer directement au gouvernement russe, en punition des sanctions occidentales liées à la guerre », explique-t-il. « Ils sont également plus difficiles à combattre car la Russie abrite délibérément ces cybercriminels et, en l'absence d'un partenaire désireux de faire respecter la loi, les options les plus efficaces pour lutter contre ces groupes ne sont pas envisageables », ajoute-t-il. Outre son logiciel malveillant polyvalent Dridex codé en interne, Evil Corp. a également accès à des variantes prolifiques de logiciels malveillants telles que Trickbot et Emotet, ainsi qu'à d'importantes opérations de ransomware comme Ryuk. L'une des attaques les plus notables d'Evil Corp dans le secteur de la santé a été un assaut de ransomware (Bitpaymer) contre NHS Lanarkshire - qui fait partie du National Health Service britannique - qui a touché plusieurs hôpitaux écossais en 2017, indique HHS HC3

Parce qu'Evil Corp a exploité un certain nombre de variantes de logiciels malveillants et de ransomwares de premier plan, les tactiques, techniques et procédures qu'il exploite sont étendues. « Ils disposent d'une grande variété de capacités techniques en raison à la fois de leurs capacités internes et des relations qu'ils entretiennent avec d'autres groupes cybercriminels », indique HHS HC3. Les opérateurs d'Evil Corp ont souvent recours à l'hameçonnage, ainsi qu'à des outils de sécurité légitimes et à des techniques de survie. En outre, comme les tactiques et les techniques du groupe varient considérablement, il en va de même pour la liste complète des mesures de défense et d'atténuation recommandées, indique l'alerte.

Néanmoins, HHS HC3 se réfère à une alerte de la Cybersecurity and Infrastructure Security Agency contenant des mesures d'atténuation contre Dridex qui recommande aux entités de prendre des mesures telles que :

- S'assurer que les systèmes sont configurés par défaut pour empêcher l'exécution de macros ;

- Mettre fréquemment à jour les systèmes de détection et de prévention des intrusions pour s'assurer que les dernières variantes de logiciels malveillants et de téléchargeurs sont incluses ;

- Effectuer une sauvegarde régulière des données ;

- Maintenir les signatures et les moteurs antivirus à jour et conserver les correctifs du système d'exploitation à jour ;

- Désactiver les services de partage de fichiers et d'imprimantes lorsque cela est possible, ainsi que les services inutiles sur les postes de travail et les serveurs de l'agence.

La récente attaque Lockbit 3 via le logiciel Softalmo du fournisseur Corilus au CH de Corbeil Essonnes, sur la base d’une plateforme commune à d’autres attaques récentes, accrédite la stratégie des groupes russes quant à leur objectifs. Méditons l’aphorisme du fondateur d’Intel, Andrew Groove, « Only paranoid will survive ». Drôle de monde.