Les agences fédérales, les associations de soins de santé et les chercheurs en sécurité avertissent qu’un groupe de ransomware suivi sous le nom de Black Basta ravage des secteurs d’infrastructures critiques lors d’attaques qui ont ciblé plus de 500 organisations au cours des deux dernières années.
Selon CNN, l’une des dernières victimes du groupe russophone est Ascension, un système de santé basé à Saint-Louis qui comprend 140 hôpitaux dans 19 États. Une intrusion dans le réseau qui a frappé l’organisation à but non lucratif la semaine dernière a détruit bon nombre de ses processus automatisés de gestion des soins aux patients, y compris ses systèmes de gestion des dossiers de santé électroniques et de commande de tests, de procédures et de médicaments. Par la suite, Ascension a détourné les ambulances de certains de ses hôpitaux et s’est appuyée sur des processus manuels.
« Graves perturbations opérationnelles »
Dans un avis publié vendredi, le FBI et la Cybersecurity and Infrastructure Security Agency ont déclaré que Black Basta avait victimisé 12 des 16 secteurs d’infrastructures critiques du pays dans des attaques qu’il avait lancées contre 500 organisations à travers le monde. L’association de soins de santé à but non lucratif Health-ISAC a publié le même jour son propre avis avertissant que les organisations qu’elle représente sont des cibles particulièrement recherchées par le groupe.
« Le célèbre groupe de ransomwares, Black Basta, a récemment accéléré ses attaques contre le secteur de la santé », indique l’avis. Il poursuit : « Au cours du mois dernier, au moins deux établissements de santé, en Europe et aux États-Unis, ont été victimes du ransomware Black Basta et ont subi de graves perturbations opérationnelles. »
Black Basta opère depuis 2022 selon ce que l’on appelle le modèle ransomware-as-a-service. Selon ce modèle, un groupe central crée l’infrastructure et les logiciels malveillants nécessaires pour infecter les systèmes à travers un réseau une fois qu’une première intrusion est effectuée, puis simultanément chiffrer les données critiques et les exfiltrer. Les affiliés effectuent le piratage proprement dit, qui implique généralement soit du phishing, soit une autre ingénierie sociale, soit l’exploitation de failles de sécurité dans les logiciels utilisés par la cible. Le groupe central et les affiliés se partagent les revenus qui en résultent.
Récemment, des chercheurs de la société de sécurité Rapid7 ont observé Black Basta en utilisant une technique qu’ils n’avaient jamais vue auparavant. L’objectif final était de tromper les employés des organisations ciblées pour qu’ils installent des logiciels malveillants sur leurs systèmes. Lundi, les analystes de Rapid7, Tyler McGraw, Thomas Elkins et Evan McCann, ont rapporté :
Depuis fin avril 2024, Rapid7 a identifié plusieurs cas de nouvelle campagne d’ingénierie sociale. Les attaques commencent lorsqu’un groupe d’utilisateurs de l’environnement cible reçoit un grand volume de spams. Dans tous les cas observés, le spam était suffisamment important pour submerger les solutions de protection de messagerie en place et arriver dans la boîte de réception de l’utilisateur. Rapid7 a déterminé que bon nombre des e-mails eux-mêmes n’étaient pas malveillants, mais consistaient plutôt en des e-mails de confirmation d’inscription à la newsletter provenant de nombreuses organisations légitimes à travers le monde.
Agrandir / Exemple de courrier indésirable
Rapide7
Avec les e-mails envoyés et les utilisateurs concernés ayant du mal à gérer le volume de spam, l’acteur malveillant a alors commencé à appeler les utilisateurs concernés se faisant passer pour un membre de l’équipe informatique de leur organisation, tendant la main pour offrir une assistance pour leurs problèmes de courrier électronique. Pour chaque utilisateur qu’il a appelé, l’acteur malveillant a tenté de l’inciter socialement à fournir un accès à distance à son ordinateur en utilisant des solutions légitimes de surveillance et de gestion à distance. Dans tous les cas observés, Rapid7 a déterminé que l’accès initial était facilité soit par le téléchargement et l’exécution de la solution RMM couramment utilisée, AnyDesk, soit par l’utilitaire d’assistance à distance Windows intégré Quick Assist.
Dans le cas où les tentatives d’ingénierie sociale de l’acteur malveillant ne parvenaient pas à convaincre un utilisateur de fournir un accès à distance, Rapid7 a observé qu’il passait immédiatement à un autre utilisateur qui avait été ciblé par ses courriers indésirables en masse.
