Avec la crise COVID, les hôpitaux et centres médicaux ont connu une vague d’attaques utilisant des rançongiciels (ou ransomeware), des logiciels malveillants qui encryptent les données et ne donnent la clef de déchiffrement que contre une façon payée en cryptomonnaie. Cette recrudescence, qui a connu un pic impressionnant pendant le troisième quart de l’année 2020 et qui perdure en ce début de 2021, a également touché la France et les États-Unis (1).
Chose étonnante, Ryuk, le ransomware majoritairement utilisé dans ces attaques, demande des sommes très élevées ce qui présuppose que les cibles sont choisies en fonction de leurs capacités de paiement, cibles que l’on appelle le Big Game Hunting. Cette logique s’applique-t-elle aux hôpitaux et centres médicaux ? Sont-ils les seuls à faire l’objet de ces attaques ? Ces quelques questions méritent un examen approfondi.
Big Game Hunting et système hospitalier
Le ransomware Ryuk, responsable d’une large part des attaques actuelles d’hôpitaux, n’a pas attendu la crise COVID pour frapper. Dès 2018, le FBI estimait qu’il s’agissait du ransomeware le plus rentable de l’année, notamment car il avait permis de récolter quelques 61 millions de dollars entre février 2018 et octobre 2019 (2). Une des particularités de Ryuk étant d’exiger des rançons particulièrement élevées, il cible des structures qui disposent de moyens financiers importants, se classant ainsi dans les logiciels malveillants qui pratiquent le ciblage, la chasse au gros ou « Big Game Hunting ».
Ainsi des journaux comme le Los Angeles Times, le Chicago Tribune, le Wall Street Journal et le New York Times ont été attaqués. Dans le même sens, le Comité des services d’avocats publics de Boston n’a pas davantage été épargné (3). Si ces victimes n’ont pas payé, il reste qu’elles étaient en mesure de financer la rançon. Par ailleurs, la rentabilité de Ryuk permet de penser que d’autres cibles ont payé, mais se sont abstenues de le faire savoir. En effet, outre l’incertitude relative aux conditions de restitution des données, la doctrine officielle est de ne pas céder à ce chantage. Pour des raisons tenant au souci de freiner la contamination, cette ligne de conduite est commune au FBI (4) et à l’ANSSI (5). En effet, un acteur qui paye encourage les hackers à étendre les attaques vers d’autres cibles afin de démultiplier leurs profits. Alors, quelle est la pertinence d’attaquer des hôpitaux français dont la plupart ont un budget tendu et qui, dans tous les cas, font partie de l’administration dont la ligne directrice est de refuser de céder au chantage et qui, quand bien même elles seraient prêtes à payer, souffriraient de du manque de réactivité inhérent aux structures étatiques?
La pression de l’opinion publique
La crise COVID a mis à rude épreuve les États et les citoyens du monde entier. En France, les journaux télévisés égrènent quotidiennement les chiffres des nouvelles contaminations, des taux d’occupation de lits en service de réanimation, des taux de reproduction, du nombre de décès… De facto, les projecteurs sont braqués sur les systèmes de santé et sur le risque que chacun encourt d’être contaminé. Il n’est pas impossible que les opérateurs de Ryuk aient parié sur la pression de l’opinion publique pour infléchir la doctrine de non-paiement des rançons dès lors que le blocage de l’accès à l’informatique des services de santé peut mettre en péril la vie des patients et, au-delà, la sécurité collective de la population. En outre, le climat de tension social, qui prévalait déjà avant la pandémie et qui s’est notamment exprimé au travers de la crise des gilets jaunes et par les mouvements de grèves des services hospitaliers eux-mêmes, allié à la lassitude causée par les confinements et couvre-feu successifs plaident en la faveur d’une réactivité accrue de l’opinion publique. Cependant, peut-on conclure qu’en cas d’échec de leur tentative de rançonnage, les opérateurs de ransomewares n’ont rien gagné ?
La manne financière des données de santé
Outre le paiement des rançons, la vente des données dérobées aux hôpitaux constitue une source de profit significative. En effet, les données contenues dans les dossiers médicaux, très recherchées sur le dark web, se revendent à des prix particulièrement élevés. En effet, selon le Trustwave Security report (5) un dossier médical pourrait se vendre jusqu’à 250 dollars. Plus modestes, d’autres sources annoncent des tarifs qui oscillent entre 70 et 90 dollars. Néanmoins, outre la variation des cours et des estimations, ces montants restent très intéressants si on les compare au prix de vente d’un numéro de carte de crédit sans le cryptogramme, qui se négocie autour d’un dollar américain, ou d’une carte de crédit avec données complètes qui, selon le pays d’origine, peut atteindre 30 dollars. Ces données, qui permettent de surcroît d’usurper facilement l’identité de leurs propriétaires, montrent bien tout l’intérêt qui s’attache pour les hackers à faire main basse sur les fichiers des hôpitaux.
Entre chantage et intelligence économique
Enfin, un autre moyen de monétiser facilement ces données est le chantage sur les personnes ou la mise aux enchères de dossiers de particuliers. L’attaque qui avait visé une clinique de chirurgie esthétique londonienne à la clientèle triée sur le volet illustre ce premier vecteur de profit (6). Il est très possible que les clients de cet institut, probablement peu enclins à divulguer la nature des interventions qu’ils y ont subi, aient été contactés et que la remise de leur dossier médical ait été conditionnée au paiement d’une rançon. Si les victimes refusent de céder au chantage, elles courent le risque que leurs dossiers soient rendus publics ou vendus aux enchères sur des réseaux clandestins.
Un autre aspect touche au monde des affaires où la santé des dirigeants reste souvent un sujet sensible (7). Dans le cas où des discussions sensibles sont en cours, où des entreprises sont en concurrence pour décrocher des marchés importants, préparent leur entrée en Bourse… la divulgation d’informations jetant le doute sur la bonne santé des organes dirigeants de l’entreprise peuvent avoir des effets désastreux sur la négociation, permettre à un concurrent peu sourcilleux de l’éthique de prendre un avantage décisif ou encore faire baisser drastiquement le cours des actions, facilitant ainsi une OPA hostile.
Dans ce contexte, l’existence d’un marché fructueux pour les données médicales est en lien direct avec le risque de voir perdurer ce type d’attaque sur les hôpitaux. En effet, bien que les États fassent généralement pression pour que les rançons ne soient pas payées et que des hôpitaux, quand bien même ils le souhaiteraient, ne disposent pas des moyens nécessaires pour céder au chantage, par manque de moyens ou d’agilité, il n’en reste pas moins que ces données spécifiques font l’objet d’une demande soutenue. Or, qu’il s’agisse de l’économie légale ou parallèle, la demande crée l’offre, cette dernière créant ensuite un écosystème de plus en plus concurrentiel, chaque opérateur cherchant à augmenter ses marges et à optimiser ses gains.
Les hôpitaux, une opportunité pour les hackers ?
À la lumière de ces éléments, on comprend mieux l’intérêt de cibler les centres médicaux et les hôpitaux. En outre, si la pandémie les a mis sous le feu des projecteurs, elle a aussi accru leurs failles de sécurité. En effet, parmi les points qui font que les hôpitaux sont des cibles de choix, certains ont été largement accentués par la crise. À ce titre, le travail sur site distant a ouvert une brèche dans leur dispositif de sécurité informatique, chaque connexion à un réseau à partir de nouveaux appareils étant risquée si ces matériels n’ont pas été sécurisés préalablement. Au surplus, un seul appareil piraté peut ouvrir l’accès à tout un système. En outre, ajoutés aux personnels travaillant à domicile, les sites itinérants de test et de vaccination, éloignés des centres médicaux a sont un facteur de risque supplémentaire, en particulier si la connexion au réseau hospitalier se fait depuis des appareils personnels.
Enfin, l’urgence et la pression à laquelle les personnels soignants doivent faire face participent à en faire une cible de choix : la nécessité d’accéder rapidement aux données de santé dont peuvent dépendre des vies humaines aura tendance à prévaloir sur des réflexes de sécurité, au demeurant souvent perfectibles, des réseaux informatiques.
Un autre facteur qui concourt à accroître l’attractivité des hôpitaux pour les hackers tient aux innovations technologiques qui marquent le milieu de la santé mais augmentent corrélativement sa surface d’attaque. De nombreux appareils, couramment utilisés dans de nombreux protocoles de soins, sont des objets connectés qui ont été conçus pour leur utilité thérapeutique et non pour leur aptitude à résister à des attaques cyber. À ce titre, ils ouvrent davantage de points d’entrée aux attaques, car même s’ils ne stockent pas directement les données des patients, ils peuvent être utilisés pour lancer une attaque sur un serveur contenant les éléments recherchés. À l’autre bout de la chaîne demeurent les failles induites par un matériel informatique hors d’âge peu adapté au développement d’une stratégie efficace de lutte contre les attaques.
Enfin, les modalités de stockage des données, souvent concentrées sur un serveur unique et l’élimination imparfaite des données précédemment enregistrées participent à faire de bien des hôpitaux des cibles de choix pour les hackers.
Quant à savoir qui…
On le voit le marché que représente malgré eux les hôpitaux et centres médicaux est plus qu’alléchant et l’identification des pirates responsables de ces attaques reste problématique. Ryuk, le ransomeware principalement utilisé dans les attaques d’octobre 2020 (8), n’est pas clairement rattachable à un groupe d’opérateurs précis. En effet, s’il ressemble à Hermès, un autre rançongiciel, il en diverge sur plusieurs points. Tout d’abord, Hermès était un RaaS, un « Ransome As A Service ». En d’autres termes, le groupe qui l’a créé le commercialise sur des forums clandestins (ici exploit.in), pour 400 $ environ, à d’autres groupes qui s’en servent pour s’introduire dans les réseaux informatiques de leurs victimes afin d’empocher les rançons. Or, Ryuk n’a pas été revendu et n’est donc pas précisément un RaaS même s’il est un acteur important de la sphère cybercriminelle. Cela ne simplifie pas pour autant l’identification de son opérateur.
En effet, Ryuk doit disposer d’une chaîne d’infection, c’est-à-dire que le ransomeware ne se déploie qu’après que d’autres logiciels malveillants aient pénétré le réseau ciblé. S’agissant des attaques visant les hôpitaux, plusieurs ont pu être utilisés, parmi lesquels Emotep, TrickBot et Bazarloader. Une fois ces logiciels malveillants entrés dans le système, souvent par le biais d’un classique un courriel d’hameçonnage, les attaquants peuvent accéder à un contrôleur de domaine qui leur permet alors de déployer Ryuk. L’opération complète prend de quelques jours à quelques heures.
Là encore, les codes malveillants ne sont pas strictement attachés à un opérateur précis. Si Crowdstrike relie TrickBot au groupe Wizard Spider, il apparaît que selon FireEye, un autre groupe, UNC1878 (alias One group), serait à l’origine des attaques à l’encontre d’hôpitaux américains depuis octobre 2020 (9). Enfin, d’autres acteurs, issus du groupe criminel russophone FIN6, auraient également participé à des attaques mettant en œuvre les rançongiciels Ryuk, mais aussi LockerGoga.
Ainsi, plusieurs options restent sur la table quant au perpétrateur de Ryuk. Selon une hypothèse, plusieurs acteurs malveillants utiliseraient Ryuk (10). Une autre approche verrait dans Ryuk un unique opérateur qui pourrait faire appel à plusieurs logiciels dans la chaîne d’infection qui lui est nécessaire. Cet opérateur pourrait alors solliciter un ou plusieurs hacker-for-hire, sorte de pirates informatiques mercenaires à la recherche d’emploi, comme cela se pratique dans la sphère économique légale. Cette hypothèse pourrait expliquer, par exemple, l’apparition de membres du groupe FIN6.
Enfin, comme le rappelle l’ANSSI une troisième hypothèse serait celle d’un opérateur unique qui mettrait Ryuk à la disposition de partenaires de choix.
Les données de santé sont de plus en plus attractives pour les pirates informatiques soucieux de s’enrichir, notamment parce qu’elles sont l’objet d’un réel marché. Ce marché a pour effet d’exacerber les concurrences et, par conséquent, d’accroître le risque d’attaques informatiques pour les structures susceptibles d’être ciblées. La crise COVID a tout à la fois accru la surface d’attaque des services de santé et focalisé l’attention de l’opinion publique sur ce sujet d’autant plus anxiogène que les hôpitaux sont sous tension. Au final, l’attrait pour les hackers des données contenues dans les dossiers médicaux n’étant pas appelé à décroître, il est désormais impératif d’organiser la défense des systèmes d’informations susceptibles d’être visés et, en même temps, de sensibiliser et de former les utilisateurs (clients et professionnels) afin de limiter la surface d’attaque d’un secteur devenu un enjeu économique particulièrement stratégique.
Christine Dugoin-Clément
Notes
(1) https://edition.cnn.com/2021/01/19/tech/ransomware-2020-review/index.html
(2) https://www.zdnet.fr/actualites/ryuk-ransomware-le-plus-rentable-selon-le-fbi-39900099.htm#:~:text=Ryuk%20%C3%A9tait%20la%20principale%20variante,novembre%202016%20et%20novembre%202019.
(3) https://www.enigmasoftware.fr/ryuk-ransomware-revendique-plus-de-victimes/
(4) https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/ransomware#:~:text=The%20FBI%20does%20not%20support,this%20type%20of%20illegal%20activity
(5) https://www.ssi.gouv.fr/uploads/2020/09/anssi-guide-attaques_par_rancongiciels_tous_concernes-v1.0.pdf
(6) https://www.welivesecurity.com/2017/10/24/plastic-surgery-hacking-dark-overlord/
(7) https://www.autonews.com/article/20180727/COPY01/307279969/fiat-chrysler-says-it-didn-t-know-about-ceo-s-illness-as-queries-surface
(8) https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-011.pdf
(9) https://www.youtube. com/watch?v=BhjQ6zsCVSc.
(10) https://blog.malwarebytes. com/threat-spotlight/2019/12/threat-spotlight-the-curious-case-of-ryuk-ransomware/
