Panorama de la cybermenace : que retenir du rapport de l’ANSSI ?

Un patching tardif des pares-feux et routeurs exposées sur internet, ces systèmes connectés en permanence et vulnérables, halls d’accueil des systèmes d’information servant dans le moins pire des cas de mineurs de cryptomonnaies, de botnets pour faire du déni de service ou de serveurs de commandes et de contrôle pour opérer des attaques, dans d’autres, de porte d’entrée privilégiée dans les SI de leurs victimes. Autant se dire qu’un pare-feu Fortinet vulnérable à la CVE-2022-40684, une passerelle F5 BIG-IP vulnérable à la CVE-2022-1388, un pare-feu Zyxel vulnérable à la CVE-2022-30525 ou un pare-feu Sophos vulnérable à la CVE-2022-3236, des routeurs TP-Link vulnérables à la CVE-2021-41653 ou encore des routeurs Mikrotik vulnérables aux CVE-2018-14847, CVE-2019-3977, CVE-2019-3978, CVE-2018-14847 ou CVE-2018-7445 sont des opportunités que les attaquants ne manqueront pas d’exploiter.

L’ANSSI constate une diminution de 46 % des victimes de rançongiciels par rapport à 2021, même si comme le rapport l’indique, les chiffres sont basés sur les incidents dont l’agence à connaissance et pourraient ne pas refléter totalement la réalité. Les établissements de santé représentent 10 % des victimes des incidents traités par l’ANSSI. On note également que les entreprises de petite taille, plus vulnérables, mais aussi plus susceptibles de payer des rançons sont toujours les plus attaqués !

Sans réelle surprise, le groupe le plus actif en 2022, est le groupe LockBit, ce groupe qui a compromis fin août le SI du CH Sud Francilien et diffusé publiquement une partie de ses données fin septembre.

À noter également, que ce groupe cybercriminel a annoncé la semaine dernière avoir dérobé 821Go de données au groupe de cliniques Elsan, et qu’il pourrait diffuser une partie des données le 6 février prochain. LockBit ne semble pas avoir exfiltré de données de santé, ce qui collerait avec les informations présentent dans bulletin de CERT Santé indiquant que l’incident aurait été circonscrit au SI du siège parisien du groupe [2].

On note aussi que le groupe Hive qui arrive en seconde position a vu son infrastructure technique démantelée la semaine dernière par les autorités européennes et américaines [3]. Même si le répit pourrait être de plus ou moins longue durée, on ne peut que se réjouir de voir aboutir de belles collaborations comme celles-ci.

L’ANSSI met également en évidence, que les attaquants remplacent progressivement le thème des impôts par celui de la santé pour piéger leurs victimes, en usurpant notamment l’identité de la CNAM, et profitent notamment de l’actualité autour de la création de « Mon espace santé ».

Les acteurs fournissant des infrastructures de commande et de contrôle (C2) au reste de l’écosystème cybercriminel, disparaissent comme Dridex ou TrickBot, mais réapparaissent également comme Qbot ou Emotet. Les connexions vers ce type de serveurs C2 sont assez facilement détectables à l’aide des règles pour le moteur Suricata partagées au sein du projet PAW Patrules [4] notamment, comme il est possible de l’observer dans les deux vidéos publiées sur le sujet [5].

À découvrir → Revue d’actualité cyber un tantinet décalée

L’absence de patching, encore et toujours… La non-application de correctifs de sécurité ne se limite pas aux routeurs et pares-feux, et les attaquants ne se privent pas pour exploiter les vulnérabilités des serveurs de messagerie Exchange et Zimbra non patchés.

Sans réelle surprise là encore, les opérateurs de rançongiciels, n’hésitent pas à se servir des vulnérabilités de configuration et / ou absence de patching sur les hyperviseurs VMware pour gagner du temps dans leur démarche de prise d’otage des SI. Ce qu’ils avaient lors de l’attaque du CHSF.

Nous pouvons donc retenir que malgré nos solutions de sécurité, les attaquants arrivent toujours à compromettre nos SI non entretenus. Les ceintures de sécurité et les airbags ne permettraient donc pas d’éviter l’accident lorsqu’on ne change pas ses pneus usés ?

[1] https://www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-001/ 

[2] https://cyberveille-sante.gouv.fr/actualites/le-siege-parisien-du-groupe-elsan-ete-impacte-par-un-incident-dorigine-malveillante-2023 

[3] https://www.europol.europa.eu/media-press/newsroom/news/cybercriminals-stung-hive-infrastructure-shut-down 

[4] https://pawpatrules.fr/ 

[5] https://www.youtube.com/watch?v=WfbD-L2kXbk 

https://www.youtube.com/watch?v=ZB0j7X4H3j4

L'auteur

Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)