Alerte - Nouvelles cybermenaces pesant sur les organismes de santé canadiens

Numéro : AL20-026 
Date : 30 octobre 2020

AUDITOIRE

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés. Les destinataires de la présente information peuvent redistribuer celle-ci au sein de leurs organismes respectifs.

OBJET

Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.

VUE D’ENSEMBLE

Le 28 octobre 2020, la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et le département américain de la Santé et des Services sociaux (HHS) ont émis un bulletin de sécurité conjoint [1] afin de faire rapport d’une information crédible au sujet d’une menace grandissante et imminente visant les secteurs des soins de santé et de la santé publique. Le Centre pour la cybersécurité estime que la présente menace pèse également sur les fournisseurs de soin de santé canadiens.

DÉTAILS

Parallèlement à la publication de ce bulletin de sécurité conjoint, FireEye publiait le 28 octobre 2020 [2] de l’information concernant des campagnes visant divers organismes, dont des hôpitaux et des centres médicaux. Le rapport de FireEye faisait mention des tactiques, techniques et procédures employées par les auteurs de menace à l’origine de ces campagnes, ainsi que des indicateurs des campagnes en question.

Le Centre pour la cybersécurité estime que la pandémie de COVID-19 constitue un risque important pour la cybersécurité des organismes de santé canadiens qui prennent part aux mesures nationales d’intervention visant à contrer la pandémie, par exemple, les intervenants en recherche médicale, les fabricants et les distributeurs de matériel médical, ainsi que les organismes qui élaborent les politiques. Plus particulièrement :

• Les auteurs malveillants disposant de moyens sophistiqués pourraient tenter de porter atteinte à la propriété intellectuelle (PI) des organismes qui prennent part aux activités de recherche et développement portant sur la COVID-19. Ces auteurs malveillants pourraient également tenter de voler des données ayant trait aux mesures que le Canada met en œuvre pour enrayer la pandémie de COVID-19.
• Les cybercriminels pourraient tirer avantage de la pandémie de COVID-19 en profitant de la pression qui est déjà exercée sur les organismes de santé canadiens pour exiger le paiement de rançons ou pour dissimuler d’autres tentatives de compromission.

Rançongiciel

L’impact qu’un rançongiciel pourrait avoir sur les organismes canadiens qui prennent part aux efforts consentis par le Canada en réponse à la COVID-19 pourrait être plus grave en cette période de pandémie que s’il avait été employé en période normale. Il est donc recommandé que les organismes fassent preuve d’une vigilance accrue pour relever, le plus tôt possible, les failles et les risques de compromission qui pourraient exposer les systèmes à des exploitations par voie de rançongiciels. Le Centre pour la cybersécurité conseille vivement à tous les organismes concernés de prendre acte de leurs plans de continuité opérationnelle respectifs et de les appliquer comme il se doit, ce qui comprend la restauration de fichiers à partir de copies de sauvegarde et le déplacement des principaux éléments opérationnels vers une infrastructure de réserve parallèle.

Évolution des outils destinés aux auteurs malveillants

Le 4 octobre, le Centre pour la cybersécurité a fait rapport du déploiement du rançongiciel Ryuk [3] au Canada; il s’agit de la phase d’exploitation qui suit la compromission des systèmes d’une victime par des outils comme Trickbot. Plus récemment, des chercheurs ont déterminé que des auteurs malveillants avaient commencé à utiliser de nouveaux outils et de nouvelles techniques afin de compromettre plus subtilement les victimes et de déployer des rançongiciels comme Conti, que plusieurs considèrent être le successeur du rançongiciel Ryuk.

Le premier de ces outils est BazarLoader, qui joue un rôle similaire à celui de Trickbot, mais peut se dissimuler plus efficacement. Selon nos observations, BazarLoader est utilisé, comme Trickbot, lors de la compromission initiale qui s’effectue généralement au moyen d’un courriel d’hameçonnage, ouvrant du même coup une porte dérobée à travers laquelle des maliciels additionnels peuvent être introduits dans le réseau. BazarLoader semble être le nouveau vecteur privilégié par les auteurs de menace qui s’attaquent à une cible de grande valeur, puisque son taux de détection est inférieur à Trickbot.

Après avoir établi l'accès, les auteurs de menace font appel à Anchor pour assurer leur présence sur le réseau. Le projet Anchor consiste en un ensemble d’outils permettant aux auteurs de menace de tirer avantage de plusieurs types d’activités malveillantes pour cibler les victimes à visibilité plus élevée.  Cet ensemble est conçu pour téléverser secrètement les outils et, une fois le téléversement terminé, supprimer toute preuve de l’activité malveillante. Tout comme BazarLoader, Anchor semble être étroitement lié à Trickbot.

ATTÉNUATION

En considération de ces menaces, le Centre pour la cybersécurité recommande que tous les organismes canadiens de la santé qui prennent part aux mesures nationales d’intervention visant à contrer la pandémie s’assurent de mettre en œuvre les pratiques exemplaires en matière de cyberdéfense.

Une attention particulière devrait être accordée aux conseils suivants :

• Il importe d’appliquer les 10 mesures de sécurité suivantes :
  • https://cyber.gc.ca/fr/10-meilleures-mesures-de-securite-des-ti-0
     
• Approches techniques à la détection et à l’atténuation des activités malveillantes :
  • https://cyber.gc.ca/fr/orientation/bulletin-de-cybersecurite-conjoint
     
• Restez à l’affût des activités d’hameçonnage liées à la COVID-19 :
  • https://cyber.gc.ca/fr/orientation/pratiques-exemplaires-en-cybersecurite-pour-la-covid-19
     
• Les employés qui travaillent depuis leur domicile pourraient ajouter une pression additionnelle sur les services de télétravail. Veiller à ce que les politiques de sécurité applicables soient mises en œuvre et à ce que les journaux informatiques soient examinés au cas où ils révéleraient des activités malveillantes :
  • https://www.cyber.gc.ca/fr/orientation/problemes-de-securite-lies-au-teletravail-itsap10016
  • https://www.cyber.gc.ca/fr/orientation/les-reseaux-prives-virtuels-itsap80101
     
• Examiner les alertes et les bulletins publiés récemment, dans lesquels on décrit les failles qui pourraient rendre votre environnement vulnérable :
  • https://cyber.gc.ca/fr/alertes-et-avis
     
• Les organismes qui ne disposent pas de capacités de cybersécurité suffisantes pourraient envisager de faire appel à une entreprise privée du secteur de la cybersécurité afin de renforcer leur cyberdéfense, tel qu’il est stipulé dans la publication du Centre pour la cybersécurité « la cybersécurité pour les organismes de santé : se protéger contre des cyberattaques courantes (ITSAP.00.131) » :
  • https://cyber.gc.ca/fr/orientation/la-cybersecurite-pour-les-organismes-de-sante-se-proteger-contre-des-cyberattaques

INDICATEURS DE COMPROMISSION 

Joint US Cyber Security Alert AA20-302A IOCs [1] :
https://us-cert.cisa.gov/sites/default/files/publications/AA20-302A.stix.xml (en anglais seulement)

Abuse.CH Trickbot C2 tracker :
https://feodotracker.abuse.ch/browse/trickbot (en anglais seulement)

Unhappy Hour Special: KEGTAP and SINGLEMALT With a Ransomware Chaser - UNC1878 Indicators [2] :
https://gist.github.com/aaronst/6aa7f61246f53a8dd4befea86e832456 (en anglais seulement)

Ryuk Ransomware: Extensive Attack Infrastructure Revealed :
https://community.riskiq.com/article/0bcefe76 (en anglais seulement)

RÉFÉRENCES

[1] Joint Cybersecurity Advisory - Ransomware Activity Targeting the Healthcare and Public Health Sector (AA20-302A) :
https://us-cert.cisa.gov/ncas/alerts/aa20-302a (en anglais seulement)

[2] FireEye Unhappy Hour Special: KEGTAP and SINGLEMALT With a Ransomware Chaser :
https://www.fireeye.com/blog/threat-research/2020/10/kegtap-and-singlemalt-with-a-ransomware-chaser.html (en anglais seulement)

[3] Campagne de rançongiciel Ryuk :
https://cyber.gc.ca/fr/avis/campagne-de-rancongiciel-ryuk

NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications.  Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

On invite les destinataires à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788) s’ils relèvent des activités similaires à ce qui est présenté dans la présente alerte.