Actus

L’agence de santé publique du Costa Rica touchée par le rançongiciel Hive

Par hfrance , le 1 juin 2022 , mis à jour le 2 juin 2022 - 11 minutes de lecture
L'agence de santé publique du Costa Rica touchée par le rançongiciel Hive
5/5 - (1 vote)

Tous les systèmes informatiques du réseau du service de santé publique du Costa Rica (connu sous le nom de Caisse de sécurité sociale du Costa Rica ou CCCS) sont désormais hors ligne suite à une attaque de rançongiciel Hive qui les a frappés ce matin.

Hive, une opération Ransomware-as-a-Service (RaaS) active depuis au moins juin 2021, a été à l’origine d’attaques contre plus de 30 organisations, ne comptant que les victimes qui ont refusé de payer la rançon et dont les données ont été divulguées en ligne.

BleepingComputer a pu confirmer que le rançongiciel Hive était à l’origine de l’attaque d’aujourd’hui après avoir vu l’une des notes de rançon.

Le CCCS a publiquement reconnu l’attaque il y a trois heures dans un communiqué publié sur Twitter, indiquant que les attaquants se sont frayé un chemin dans son réseau “dans les premières heures de mardi”.

Alors qu’une enquête est toujours en cours, l’agence gouvernementale costaricienne affirme que les informations sur la santé et les impôts des citoyens stockées dans les bases de données EDUS (Unified Digital Health) et SICERE (Centralized Tax-Collection System) n’ont pas été compromises.

Les employés ont rapporté [1, 2, 3] qu’on leur avait dit d’éteindre leurs ordinateurs et de les débrancher des réseaux après que toutes les imprimantes du réseau de l’agence gouvernementale aient commencé à imprimer lorsque l’attaque a commencé.

Certains ont également partagé des preuves vidéo montrant des piles de dizaines de pages imprimées remplies de texte charabia basé sur ASCII.

CCCS travaille actuellement à la restauration des systèmes et des services critiques concernés, mais, jusqu’à présent, il est impossible de déterminer combien de temps il faudra pour que les systèmes soient sauvegardés.

Attaquez suivez une série de hacks Conti

Attaquez suivez une série de hacks Conti

L’incident survient après que le Costa Rica a déclaré une urgence nationale à la suite d’attaques de rançongiciels Conti qui ont touché plusieurs organismes gouvernementaux, dont la Caisse de sécurité sociale du Costa Rica (CCSS).

La liste des entités gouvernementales touchées par les affiliés de Conti comprend également le ministère des Finances du pays, son ministère du Travail et de la Sécurité sociale (MTSS), le ministère des Sciences, de l’Innovation, de la Technologie et des Télécommunications, et le Fonds de développement social et d’allocations familiales (FODESAF ).

“L’attaque que subit le Costa Rica de la part de cybercriminels est déclarée urgence nationale et nous signons ce décret, précisément, pour déclarer l’état d’urgence nationale dans tout le secteur public de l’État costaricain et permettre à notre société de répondre à ces attaques comme actes criminels”, a déclaré le président costaricien lors de la signature du décret exécutif n° 42542 le 8 mai.

Le gang Conti a demandé une rançon de 10 millions de dollars au ministère des Finances du Costa Rica, que le gouvernement a refusé de payer.

Le gouvernement américain offre désormais des récompenses pouvant aller jusqu’à 15 millions de dollars à toute personne pouvant fournir des informations pouvant conduire à l’identification et à l’arrestation des dirigeants et des opérateurs du rançongiciel Conti.

Le lien Conti – Ruche

Le lien Conti - Ruche

Alors que Conti arrête lentement ses opérations, il s’est associé à de nombreuses opérations de ransomware bien connues, notamment Hive et HelloKitty, AvosLocker, BlackCat, BlackByte et d’autres.

Ses membres se sont maintenant scindés en petits groupes semi-autonomes et autonomes qui ont infiltré les autres groupes RaaS.

Ils ont également créé des groupes indépendants axés sur l’exfiltration de données et non sur le chiffrement des données (par exemple,  Karakurt, BlackByte et le collectif Bazarcall).

Depuis que les membres de Conti ont rejoint les rangs de Hive, les groupes ont commencé à divulguer les données des victimes sur les deux blogs de fuite, bien qu’ils nient tout lien entre les deux gangs.

“AdvIntel a identifié et confirmé avec un haut niveau de certitude que Conti travaille avec HIVE depuis plus de six mois – depuis au moins novembre 2021. Nous avons identifié des preuves étendues de HIVE utilisant activement à la fois les accès d’attaque initiaux fournis par Conti et les services des pentesters de Conti”, a déclaré Yelisey Boguslavskiy d’Advanced Intel à BleepingComputer.

“Les mêmes personnes travaillaient à la fois pour Conti et HIVE, comme on le voit dans les mêmes victimes apparaissant simultanément sur les blogs honteux de HIVE et de Conti. HIVE est actuellement l’une des racines d’évasion des négociations pour Conti.

“Les membres de Conti poursuivent les négociations avec les victimes qu’ils ont précédemment violées sous la marque HIVE. Cela leur donne la possibilité d’être payés, car, contrairement à Conti, HIVE n’est pas associé au soutien direct de l’invasion russe de l’Ukraine, malgré le fait que la rançon payée à HIVE est très probablement reçue par les mêmes individus au sein de Conti qui ont revendiqué l’alignement collectif du groupe sur le gouvernement russe.”

Comment fonctionne exactement le rançongiciel ?

Comment fonctionne exactement le rançongiciel ?

Un rançongiciel est un logiciel malveillant conçu pour empêcher un utilisateur ou une organisation d’accéder aux fichiers de son ordinateur. En chiffrant ces fichiers et en exigeant le paiement d’une rançon pour la clé de déchiffrement, les cyberattaquants placent les organisations dans une position où payer la rançon est le moyen le plus simple et le moins cher de retrouver l’accès à leurs fichiers.

Comment les pirates utilisent-ils les rançongiciels ? Lors d’un piratage de ransomware, les attaquants infiltrent le système informatique d’une cible et cryptent ses données. Ils exigent ensuite un paiement avant de libérer la clé de déchiffrement pour libérer le système.

Comment se produit une attaque de ransomware ?

Les ransomwares se propagent souvent par le biais d’e-mails de phishing contenant des pièces jointes malveillantes ou par le biais de téléchargements intempestifs. Le téléchargement automatique se produit lorsqu’un utilisateur visite sans le savoir un site Web infecté, puis un logiciel malveillant est téléchargé et installé à l’insu de l’utilisateur.

Les rançongiciels peuvent-ils être tracés ?

Les rançongiciels peuvent-ils être tracés ?

Identification des portefeuilles d’encaissement de ransomwares : effectuer des paiements de traçage vers les portefeuilles que nous avons identifiés lors de la phase précédente nous permet de retracer comment les paiements de rançon ont été transférés via la chaîne bitcoin et de découvrir les portefeuilles utilisés par les cybercriminels pour effectuer des retraits.

Les rançongiciels peuvent-ils être détectés ? La détection par les opérations de fichier de surveillance du trafic anormal est une forme de détection des menaces basée sur le comportement au niveau du terminal. Cependant, les ransomwares peuvent également être détectés au niveau du réseau en recherchant un trafic anormal pouvant indiquer une infection par ransomware ou un malware en général.

Comment une attaque de ransomware est-elle détectée ?

Types de détection de ransomwares et leurs techniques Plus tôt vous pourrez détecter une attaque, plus vos données seront en sécurité. Il existe trois façons principales de détecter les ransomwares : par signature, par comportement et par trafic anormal.

Les pirates de ransomwares se font-ils prendre ?

Des pirates utilisant le ransomware REvil ont été arrêtés, l’une des nombreuses victoires de la cyberpolice… [ ] Deux pirates qui ont utilisé le ransomware REvil pour infecter et tenter d’extorquer jusqu’à 5 000 victimes ont été arrêtés en Roumanie, selon Europol.

Les rançongiciels peuvent-ils être récupérés ?

Le moyen le plus rapide de récupérer d’un rançongiciel consiste simplement à restaurer vos systèmes à partir de sauvegardes. Pour que cette méthode fonctionne, vous devez disposer d’une version récente de vos données et applications qui ne contiennent pas le rançongiciel qui vous infecte actuellement. Avant la restauration, assurez-vous d’abord d’éliminer le rançongiciel.

Dois-je m’inquiéter des rançongiciels ?

Dois-je m'inquiéter des rançongiciels ?

Les rançongiciels sont une forme exceptionnellement dangereuse de logiciels malveillants qui a gravement endommagé des organisations allant des hôpitaux aux sociétés de transport internationales – et a également rendu la vie misérable à des milliers de personnes qui ne s’occupent que de leurs propres affaires à la maison.

Quelle est la probabilité d’une attaque de ransomware ? Les attaques de ransomwares sont l’une des cybermenaces à la croissance la plus rapide de l’histoire récente – les rapports d’incidents de ransomwares ont augmenté de 62 % en 2021 par rapport à 2020. Les ransomwares étaient également la troisième méthode de cyberattaque la plus utilisée en 2021, représentant 10 % de toutes les violations de données. .

Les particuliers doivent-ils s’inquiéter des rançongiciels ?

Les rançongiciels constituent un risque légitime pour toute personne disposant d’un ordinateur et de données qu’elle souhaite garder accessibles et sécurisées. Les particuliers, les entreprises, les organisations et même les gouvernements sont vulnérables aux attaques de ransomwares.

Faut-il ignorer les ransomwares ?

Pourquoi ignorer la menace des ransomwares pourrait vous coûter cher. Vous avez lu à ce sujet – entendu parler et maintenant vous vous demandez si vous devriez faire plus pour protéger vos données contre les ransomwares. La réponse courte est oui, et le plus tôt sera le mieux.

Quelle est la gravité des rançongiciels ?

Pour faire simple : les rançongiciels pourraient ruiner votre entreprise. Ne serait-ce qu’une journée, si vos propres fichiers sont bloqués par des logiciels malveillants, cela aura un impact sur vos revenus. Mais étant donné que les ransomwares mettent la plupart des victimes hors ligne pendant au moins une semaine, voire des mois, les pertes peuvent être importantes.

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.