Avoir le doigt sur le pouls - Tendances des ransomwares dans le secteur de la santé.
Au cours des dernières années, les ransomwares ont continué à submerger les organisations. Bien que presque tous les secteurs aient connu un afflux sans précédent de menaces, le secteur de la santé a été particulièrement sensible aux attaques de ransomwares.
Les attaques de ransomware contre les organisations de santé ont presque doublé en 2021, 66 % de ces organisations ayant subi au moins une attaque au cours de l'année écoulée. Cet afflux a également créé des inquiétudes importantes dans l'industrie en ce qui concerne la divulgation des données.
À la base, le ransomware est une attaque calculée et mesurée visant à causer un maximum de dégâts. La plupart des attaques de rançongiciels ne sont pas aléatoires ; Les acteurs de la menace ont tendance à connaître leurs cibles, les types de données qu'ils peuvent détenir et les actifs à chiffrer et à compromettre. Cela permet aux attaquants de frapper les sections les plus critiques du réseau d'une organisation, provoquant ainsi un maximum de perturbations.
Alors que les organisations de santé gèrent une pléthore de données sensibles et précieuses, il est essentiel que les dirigeants de l'organisation comprennent les tendances fréquentes de divulgation de données dans une attaque de ransomware et identifient les types de données les plus vulnérables à de telles attaques.
La divulgation des données est devenue une préoccupation urgente
Au cours de l'année dernière, les attaques de rançongiciels ont évolué à partir du principe de base suivant : violer un système, chiffrer des fichiers et exiger le paiement d'une rançon afin de les déverrouiller. Les acteurs de la menace passent souvent du temps dans le système de la victime, collectant et exfiltrant des données sensibles, avec un plan pour divulguer les données pour des gains financiers supplémentaires.
La divulgation des données des rançongiciels se produit généralement en deux étapes. Au départ, les attaquants compromettent un échantillon des données cryptées pour rendre la menace crédible aux yeux des victimes et les forcer à payer la rançon. La deuxième étape consiste à divulguer ou à vendre les données à d'autres acteurs malveillants, ce qui rend l'organisation potentiellement vulnérable à de futures attaques.
Les divulgations de données deviennent une tendance courante pour les gangs de ransomwares pour gagner un salaire rapide. Cela est principalement dû au fait que les organisations s'appuient de plus en plus sur les sauvegardes de données pour éviter les paiements de rançon. Les sauvegardes permettent aux victimes de restaurer les fichiers qui ont été cryptés, mais elles ne fournissent pas de protection contre la divulgation de données. Ainsi, la divulgation de données permet souvent aux acteurs de la menace de tirer des gains financiers de leurs attaques, même si la victime ne paie pas la rançon. Dans les cas où la victime paie, la divulgation des données sert de moyen de double extorsion. Il va sans dire que les fuites de données peuvent avoir des conséquences paralysantes pour les organisations de soins de santé, car ces organisations enregistrent des données extrêmement sensibles telles que des informations médicales, des données personnelles sur les patients, des données financières et d'autres informations confidentielles. Toute divulgation peut potentiellement détruire la crédibilité de l'organisation et compromettre ses relations avec les patients, les employés, les partenaires et les fournisseurs.
Alors, comment les établissements de santé peuvent-ils prendre des mesures pour se protéger contre la menace croissante de divulgation de données provoquée par les attaques de ransomware ? La première étape consiste à identifier les types de données qui sont les plus sensibles.
Les types de données les plus fréquemment divulgués dans le secteur de la santé
Dans le cadre de nos recherches continues chez Rapid7, nous avons enquêté sur 161 divulgations de données dans le cadre d'incidents de rançongiciels distincts dans divers secteurs, survenus entre avril 2020 et février 2022. Dans le secteur de la santé, il y avait une tendance claire aux divulgations. Interne financer et comptabilité les fichiers étaient les types de données les plus courants dans le domaine de la santé
divulgations, ces données se produisant 71 % du temps. Les données des clients et des patients ont été divulguées dans 66 % des incidents, les données de vente et de marketing étant présentes dans 19 % des cas.
Maintenant, la grande question est de savoir pourquoi ces catégories de données sont plus fréquemment divulguées que d'autres. Nous avons constaté que cela est principalement dû au facteur de valeur. Les organisations de santé enregistrent un volume important de transactions financières de la part des patients et des assureurs. Ils maintiennent également un volume élevé de comptabilité données, car ils dépensent souvent beaucoup pour acheter des ressources tangibles auprès de fournisseurs.
De même, les données des clients et des patients ont également une valeur de « vente » élevée pour les acteurs de la menace, car les informations privées des utilisateurs peuvent permettre aux attaquants de concevoir de futures attaques et des chaînes d'attaque plus longues.
De plus, en termes de double extorsion, la divulgation d'une partie de ces données sensibles peut souvent forcer les victimes à répondre aux demandes de rançon.
Renforcer la résilience contre les menaces de ransomwares
Afin d'atténuer les menaces de double extorsion et de divulgation de données, les entreprises doivent aller au-delà des sauvegardes. Il est impératif que les organisations de soins de santé introduisent des stratégies plus proactives dans leur infrastructure de sécurité, y compris un cryptage plus fort et une segmentation du réseau.
La segmentation du réseau divise le réseau de l'entreprise en microsegments, chaque segment et ses différentes applications étant isolés les uns des autres. Pour accéder à différents segments de réseau et applications, les utilisateurs doivent constamment valider leur identité et leurs privilèges d'accès, limitant ainsi les mouvements latéraux d'un acteur malveillant. De plus, l'utilisation de méthodes et d'algorithmes de chiffrement plus puissants dans les bases de données peut potentiellement masquer les données derrière des clés de chiffrement plus longues et plus complexes. Ces stratégies aideront les organisations à contenir les dommages en cas de violation et empêcheront potentiellement les attaquants d'exfiltrer des données critiques.
Il est également évident que certains types de données nécessitent plus de protection que d'autres. Les centres de données ou les applications qui contiennent ces types de données vulnérables doivent non seulement être micro-segmentés, mais ils doivent également être protégés par des solutions automatisées de renseignement sur les menaces qui peuvent détecter, signaler et éliminer les menaces potentielles en temps réel.
Dans certains cas, la divulgation est souvent une réalité inévitable. Par conséquent, les entreprises doivent toujours avoir une politique et une stratégie de réponse pour guider efficacement leurs actions dans de tels scénarios. Avec la montée en flèche des menaces de ransomwares chaque année, ces pratiques peuvent grandement contribuer à protéger les organisations de santé et à atténuer l'impact potentiel d'une attaque.
