Les pirates Killnet ciblent le secteur de la santé - Les informations à connaître et les mesures à prendre
Ces derniers jours, la situation en Ukraine redevient tendue suite à de multiples frappes de missiles et de drones. Ces opérations surviennent alors que les alliés occidentaux ont annoncé l'envoi de chars pour contribuer à faire reculer les forces russes. Mais la bataille contre les cybercriminels frappe également près de chez nous, en particulier pour les établissements de soins de santé et les hôpitaux américains.
Le groupe Killnet qui soutient le gouvernement russe a lancé ces derniers jours une série d'attaques par déni de service distribué (DDoS) contre certaines des meilleures cliniques et centres médicaux des États-Unis. De nombreux experts estiment d'ailleurs que des attaques similaires pourraient être étendues à d'autres pays qui soutiennent l'Ukraine.
Les raisons pour lesquelles vous avez probablement déjà entendu parler du groupe Killnet
La création du groupe de pirates Killnet n'est pas récente, mais la nature de leurs attaques contre les institutions gouvernementales, les entreprises privées (et dorénavant les établissements de soins de santé) évolue. Killnet fait partie du même collectif de pirates qui soutient le gouvernement russe et qui a récemment mis hors service le site Web du Parlement européen (PE) en lançant une attaque DDoS après la déclaration des dirigeants du PE affirmant que « la Russie est un État qui soutient le terrorisme », a indiqué la présidente du Parlement, Roberta Metsola. La Lituanie, la République tchèque et la Roumanie ont également vu leurs sites Web gouvernementaux attaqués.
Aux États-Unis, le terrain est un peu plus vaste. L'année dernière, les sites Web gouvernementaux d'au moins trois États figuraient parmi les cibles de Killnet. En octobre 2022, les sites Web des aéroports américains ont également été attaqués par Killnet, et le groupe s'est vanté d'avoir volé les données des employés de l'entreprise de défense Lockheed Martin lors d'une cyberattaque en août 2022.
Toutes ces entreprises sont des infrastructures critiques, mais l'attaque des systèmes de santé est encore plus grave, car elle peut toucher des millions de patients d'un seul coup.
Des techniques répandues, mais une seule cible
Killnet attaque en deux étapes, il commence par bombarder les sites Web avec une attaque HTTP, puis il procède à une attaque par amplification DNS. Ces techniques ne sont pas inédites, mais l'acharnement de Killnet sur le secteur de la santé l'est.
Étant donné que l'administration Biden a fortement insisté, à la fin de l'année dernière, sur le rôle clé de l'amélioration des directives et des exigences en matière de cybersécurité dans le domaine des soins de santé, il n'est pas totalement surprenant qu'une organisation soutenant la Russie tire parti des vulnérabilités. Qu'il s'agisse de faiblesses supposées ou avérées n'est pas la question.
Les informations dont nous disposons et comment nous pouvons apporter notre aide
Les cybercriminels de Killnet procèdent à des recherches approfondies sur leurs cibles. Les événements récents ont montré que les soins de santé resteront probablement une cible de prédilection. Alors que le secteur des soins de santé se numérise rapidement, la conversation autour de la position, de l'infrastructure et de l'atténuation évolue.
Akamai connaît bien cette problématique, et nous entretenons un discours proactif en examinant les données et en passant en revue les techniques de reconnaissance des pirates. Dans le secteur des soins de santé, c'est particulièrement important dans la mesure où ce dernier a subi le plus grand nombre d'attaques DDoS sur la plateforme Akamai en 2022 (à l'exception des principaux segments de marché, tels que le commerce digital, qui ont un volume plus important en raison de la nature intrinsèque de leurs industries).
Selon nos observations, des groupes comme Killnet semblent être parfaitement conscients de qui est actuellement protégé, et qui ne l'est pas. En effet, les attaques DDoS ont tendance à se concentrer sur les entités moins bien protégées. Grâce à une reconnaissance minutieuse et précise, les pirates déterminent qui sera la prochaine victime.
J'ai conscience qu'il est difficile de trouver le temps et les ressources nécessaires pour évaluer les mesures à prendre pour faire face aux risques avérés. Cependant, il n'y a rien de pire que d'être embarqué dans une « cyber-guerre » sans avoir élaboré un plan de riposte en temps de paix. »
Roger Barranco, Vice President of Security Operations chez Akamai
Une simple requête HTTP ou une recherche de connexions BGP peut permettre la validation du chemin de requête depuis la machine du pirate jusqu'au serveur Web cible. De même, vous pouvez déterminer si l'infrastructure cible est protégée par des défenses DDoS basées sur le routage ou le protocole BGP.
Et ensuite ?
Personne ne peut prédire l'avenir. Mais en tant qu'industrie ayant récemment fait face à l'épidémie de COVID-19, à la baisse des marges bénéficiaireset à la pénurie de travailleurs (parmi une myriade d'autres difficultés), il est probable que les discussions sur la préparation dans le secteur des soins de santé aient été davantage axées sur les résultats cliniques ou financiers.
Et c'est ça qui doit changer. Aujourd'hui, la protection des patients ne se limite pas au port d'un masque ou à la vaccination. Il faut aussi protéger leurs données personnelles et sécuriser de manière exhaustive les systèmes qui doivent être disponibles en permanence pour fournir des soins de santé 24 h/24, 7 j/7 et 365 jours par an. L'évaluation de la préparation aux menaces est un élément fondamental de la discussion qu'Akamai maîtrise parfaitement.
Si une entreprise consent à prendre le risque associé à une couche de défense relativement faible, elle doit au moins procéder à une évaluation technique des mesures à prendre en cas d'intégration d'urgence, comme le temps d'approvisionnement, l'impact durant le temps d'approvisionnement, les exigences de configuration des équipements existants et le coût. »
Roger Barranco, Vice President of Security Operations chez Akamai
En savoir plus
Vous souhaitez en savoir plus sur l'évolution et la menace croissante des attaques DDoS ? Cette évaluation de l'architecture du dispositif de sécurité, menée en 30 minutes par des experts d'Akamai, vous aidera à identifier si vous êtes en danger.
