La menace du ransomware CLOP et l’attaque au CHU de Rouen

0

La cyberattaque à l’encontre du CHU de Rouen est le dernier incident en date d’une série d’attaques par ransomware ciblant plusieurs hôpitaux à travers le Monde, avec des cas également signalés aux US et en Australie. Ces attaques sont paralysantes pour les hôpitaux, qui se voient contraints de refuser des patients, d’annuler des chirurgies ou comme dans le cas évoqué, de revenir au papier/crayon pour continuer à travailler.

Ces attaques, comme de nombreuses autres relayées dans les médias, diffèrent significativement des attaques de grande ampleur visant à obtenir des rançons peu élevées, qui ont été distribuées un peu au hasard en 2016 et 2017. Désormais, la tendance consiste plutôt à infecter un réseau avec des malware plus discrets, plus robustes et plus versatiles, susceptibles d’être dans un deuxième temps les vecteurs d’une infection de type ransomware visant les équipements dont les attaquants pensent que le chiffrement peut s’avérer rémunérateur.

TA505 a suivi une évolution similaire ces dernières années, passant de campagnes massives de ransomware et de chevaux de Troie bancaires à des campagnes régionales ciblées et à une selection de malware, incluant des téléchargeurs et des chevaux de Troie à distance (RATs), plus sophistiqués.

Les observations de Proofpoint ont permis de montrer que TA505 avait recours à diverses tactiques pour passer au travers des filtres traditionnels censés bloquer les malware, et ainsi parvenir à infecter les utilisateurs et les organisations visés. En réalité, la plupart ne se rendent même pas compte qu’ils ont été piratés jusqu’à ce que l’auteur décide d’installer un malware supplémentaire, dérobant les identifiants de connexion ou lançant d’autres attaques puissantes et destructrices à la veille d’un week-end par exemple …

About Author

Loïc Guézo

Directeur Stratégie Cybersécurité pour SEMEA chez Proofpoint

Leave A Reply