Depuis la fin de l’année 2020, le secteur de la santé est particulièrement visé par les attaques provenant du rançongiciel de la classe Ryuk.
L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) indique à ce propos que “Ryuk se distingue de la majorité des autres rançongiciels par le fait qu’au moins l’un de ses opérateurs a attaqué des hôpitaux en période de pandémie, par l’absence de site dédié de divulgations de données et par l’extrême rapidité d’exécution (de l’ordre de quelques heures) de la chaîne d’infection”.
Compte tenu de cette menace et de la fréquence des attaques menées via Ryuk, l’ANSSI vient de publier en date du 25 février un document de synthèse consacré à ce rançongiciel et son récent variant doté désormais de capacité de propagation automatique.
Document ANSSI : le rançongiciel Ryuk
Recommandations
- Pour limiter les menaces issues de ce type de maliciels, plusieurs mesures préventives de défenses numériques faciles et rapides à mettre en oeuvre sont à considérer même si elles ne sont pas exhaustives :
- Accroître l’information des utilisateurs au sujet des menaces numériques actuelles : pour s’exécuter sur un environnement, RYUK nécessite plusieurs compromissions préalables dont le point d’entrée principal et courant est réalisé au moyen d’un mail d’hameçonnage contenant un lien ou une pièce-jointe corrompue permettant l’installation d’outils de type “chevaux de Troie” destinée à préparer le déploiement des charges du rançongiciel. La sensibilisation et la responsabilisation des utilisateurs des outils numériques font partie, encore plus aujourd’hui, des mesures préventives nécessaires à recommander.
- Planifier et tester des sauvegardes de données régulières : la réalisation de sauvegardes régulières de toutes les données clés de l’organisation est l’un des meilleurs moyens de minimiser les perturbations en cas de violation réussie. Le stockage sécurisé de ces sauvegardes loin du réseau principal limitera leur suppression ou leur chiffrement en cas d’attaque.
- Maintenir les correctifs de sécurité à jour : les fournisseurs de cybersécurité connaissent déjà bien Ryuk et la grande majorité d’entre eux ont mis à jour leurs produits et solutions pour détecter ses signatures. Toutefois, ces mises à jour ne prennent effet que si les clients installent les derniers correctifs de sécurité sur leurs réseaux. Pour cette raison, il est essentiel que ces correctifs soient installés dès leur publication.
- Former régulièrement les utilisateurs aux gestes barrières en matière de cybersécurité : dans le même esprit que les formations et recyclages réguliers mis en œuvre en matière de sécurité au travail (SST, Incendie..), il est recommandé aux organisations de prévoir des cycles de formation accompagnés de recyclages réguliers à destination des personnels. La vocation de ces sessions régulières est de permettre aux personnels d’acquérir les gestes barrières et réflexes utiles pour identifier les méthodes d’attaques numériques et s’en prémunir et permettre ainsi à chacun d’être acteur de la sécurité collective de l’établissement.
Sur tous ces sujets la cellule CAPSI est à votre disposition pour vous accompagner dans la construction de ces démarches et dans l’animation de vos actions de prévention et de sensibilisation à la sécurité et à la conformité numérique.
N’hésitez pas à nous contacter pour en savoir plus ou à participer à nos différents webinaires.