Actualisé 30.04.2020 à 11:25

Suisse

Rançongiciels: les criminels s'attaquent à la santé

Outre les demandes de chantage contre rançon, de très nombreuses attaques par hameçonnage (phishing) ont également eu lieu au second semestre 2019 en Suisse.

Les rançongiciels s'adaptent selon leurs cibles.

Les rançongiciels s'adaptent selon leurs cibles.

Keystone

La vague de rançongiciels est loin de s'essouffler. De nombreuses attaques ont encore été enregistrées ces six derniers mois, sur le plan tant national qu'international. Les criminels ont en outre recours à de nouvelles méthodes.

Le secteur de la santé a encore été très touché par ce phénomène partout dans le monde au deuxième semestre 2019, révèle le dernier rapport semestriel de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI) de la Confédération, publié jeudi.

Le rançongiciel Ryuk a ainsi attaqué l'entreprise informatique Virtual Care Provider Inc. (VCPI), qui gère les accès d'une centaine d'établissements médico-sociaux aux Etats-Unis. Cette attaque a bloqué l'accès aux dossiers des patients.

Emotet, très actif en Suisse

Ryuk vise en priorité les entreprises et les organisations réalisant de gros chiffres d'affaires, afin d'exiger des rançons élevées, note MELANI. Il est souvent transmis à l'occasion d'une première infection par les chevaux de Troie Emotet ou Trickbot.

Emotet, demeuré très actif en Suisse, reste à cet égard la principale menace d'infection, souligne MELANI. Il récupère le contenu d'échanges de courriels antérieurs et s'en sert pour générer de nouveaux messages qu'il envoie ensuite à tous les contacts.

Ces courriels sont accompagnés d'une pièce jointe, généralement un fichier Word contenant une macro malveillante. Dès qu'un destinataire ouvre ce fichier, la macro télécharge des modules sur l'ordinateur de la victime.

Revente à d'autres acteurs

Emotet a perfectionné son mode opératoire et revendu des accès à d'autres acteurs, poursuit MELANI. Il est ainsi devenu un acteur clé du cybercrime organisé.

Le secteur de la santé n'est pas la seule cible. Les attaques par rançongiciel affectent par exemple l'industrie, les transports, les administrations publiques, la communication et le sport.

Accès RDP mal sécurisés

Au deuxième semestre 2019, on a aussi vu augmenter le nombre des attaques où les agresseurs scannent la Toile à la recherche de serveurs VPN et de ports RDP (Remote Desktop Protocol) ouverts pour tenter d'y accéder.

Ils utilisent ensuite cet accès pour infiltrer le réseau d'une entreprise. En Suisse, par exemple, on a pu observer comment les maliciels Dharma, Phobos et Maze exploitent des accès RDP ouverts ou mal sécurisés sur Internet pour y injecter des rançongiciels.

Nouveau modèle d'affaires

Le modèle d'affaires du rançongiciel reposait jusqu'ici entièrement sur le principe du déchiffrement de données contre de l'argent. Depuis quelque temps, certains agresseurs exfiltrent des données avant de procéder au chiffrement.

Cela pour prouver, par une publication partielle, qu'ils sont les auteurs de l'attaque, exercer une pression supplémentaire sur la victime, ou la faire chanter en la menaçant de publier les informations volées. Cela si le chantage aux données chiffrées ratait parce que la victime parvient à récupérer ses données.

Hameçonnage

De très nombreuses attaques par hameçonnage (phishing) ont également eu lieu au second semestre 2019, notamment au nom de différentes marques suisses.

Au niveau international, les Etats ont encore beaucoup recouru au cyberespionnage pour soutenir la collecte d'informations et les vols de propriété intellectuelle.

Le groupe d'analyse des menaces (Threat analysis group (TAG)) de Google a par exemple signalé 12'000 tentatives de hameçonnage ciblé dans 149 Etats. Elles seraient dues à plus de 270 groupes liés à des gouvernements et agissant dans au moins 50 pays. Outre les activités d'espionnage traditionnelles, le TAG a aussi repéré des campagnes de désinformation visant à promouvoir les intérêts d'un Etat donné ou à discriminer des mouvements politiques. Les politiques font partie, comme les dissidents et les activistes, du groupe à fort potentiel de risque. (nxp/ats)

(NewsXpress)
Trouvé des erreurs?Dites-nous où!