Une seule attaque de ransomware contre un fournisseur de services gérés (MSP) néo-zélandais a interrompu du jour au lendemain les opérations commerciales de plusieurs de ses clients, la plupart appartenant au secteur de la santé. Selon le commissaire à la protection de la vie privée du pays, « un incident de cybersécurité impliquant une attaque par rançongiciel » fin novembre a bouleversé les opérations quotidiennes du ministère de la Santé néo-zélandais lorsqu’il a empêché le personnel d’accéder à des milliers de dossiers médicaux. Le ministère de la Justice, six autorités de réglementation de la santé, un assureur maladie et une poignée d’autres entreprises comptent également parmi les personnes touchées Il existe des moyens de récupérer d’une attaque de ransomware, mais les dommages s’étendent souvent aux clients et fournisseurs de l’organisation attaquée.
Le MSP ciblé dans cet incident est Mercury IT, une entreprise basée en Australie. Te Whatu Ora, le ministère néo-zélandais de la Santé, n’a pas pu accéder à au moins 14 000 dossiers médicaux en raison de la panne de Mercury IT. Cela comprend 8 500 dossiers de services de soins de deuil remontant à 2015 et 5 500 dossiers de registre de maladies cardiaques héréditaires de 2011. Bien que Te Whatu Ora ait déclaré dans une déclaration publique que ses services de santé n’étaient pas affectés par l’attaque du rançongiciel, on peut facilement voir à quel point la sécurité est médiocre. posture pourrait blesser par inadvertance les patients médicaux.
Dans le secteur privé, la société d’assurance maladie Accuro a signalé un téléchargement et une diffusion illégaux de données d’entreprise à la suite de l’attaque informatique Mercury. La plupart des données volées concernaient les finances de l’entreprise, selon Accuro dans un communiqué, qui a ensuite été divulgué sur le dark web. Certaines des données volées comprennent les coordonnées des membres et les numéros de police, ajoute Accuro, mais déclare qu’il n’y a pas eu d’utilisation abusive des données personnelles volées.
Attaques MSP : faire d’une pierre plusieurs coups
Cet incident montre à quel point les MSP sont des cibles attrayantes pour les attaquants en raison de la grande quantité de données client stockées dans les systèmes d’une seule entreprise. Les cybercriminels n’ont qu’à exploiter les vulnérabilités de sécurité d’un MSP pour voler des données confidentielles à des dizaines d’entreprises à la fois. Les enquêteurs sont trop tôt dans leur enquête pour déterminer l’objectif et le motif de l’attaquant, mais il y a une leçon claire pour les administrateurs informatiques dans cette histoire : auditez les pratiques de sécurité d’un MSP avant de payer.
Mots de passe : le maillon le plus faible
Le Rapport 2021 sur les menaces MSP par ConnectWise a révélé que 60 % des incidents clients MSP étaient liés à des ransomwares. Les groupes de rançongiciels n’ont besoin que du fruit le plus bas pour lancer une attaque réussie : des mots de passe faibles. Même si de nouvelles formes d’authentification sont développées pour rendre les mots de passe obsolètes, les mots de passe restent la méthode la plus courante et la plus vulnérable de sécurisation des données.
Par conséquent, l’une des méthodes les plus courantes de distribution de rançongiciels est une attaque par force brute RDP. Les attaquants lancent des attaques par force brute en utilisant un programme automatisé pour essayer une longue liste de combinaisons de mots de passe sur un compte jusqu’à ce qu’ils devinent la bonne, après de nombreux essais et erreurs. Une fois à l’intérieur, un attaquant est libre de voler des données à l’organisation de la cible et de paralyser ses systèmes avec un rançongiciel. Une défense courante contre les attaques par force brute consiste à définir un nombre fini de tentatives de connexion avant que le compte ne soit temporairement verrouillé.
Audit des mots de passe des fournisseurs
Les organisations risquent d’hériter des faiblesses de sécurité de leurs fournisseurs sans procéder à un audit de sécurité au préalable. Specops Password Auditor est un outil gratuit d’audit de mots de passe en lecture seule qui facilite la prise de décision des administrateurs informatiques en analysant Active Directory à la recherche de faiblesses de sécurité liées aux mots de passe. À l’aide de cet outil, les administrateurs peuvent afficher la posture de sécurité de chaque compte afin qu’aucun compte avec des mots de passe violés ne passe inaperçu.
Specops Password Auditor va à la racine des mots de passe faibles en identifiant les politiques de mot de passe qui ont permis leur création en premier lieu. Grâce aux rapports interactifs générés par Specops Password Auditor, les MSP peuvent identifier si leurs politiques sont conformes et lesquelles s’appuient sur les politiques de mot de passe par défaut. Ils peuvent également comparer leurs politiques de mot de passe avec diverses normes de conformité, telles que NIST, CJIS, NCSC, HITRUST et d’autres régulateurs. Les administrateurs informatiques peuvent demander aux fournisseurs et à leurs MSP d’exécuter cette analyse gratuite, puis d’obtenir un rapport en lecture seule. Pour une planification précise de la sécurité, les administrateurs peuvent personnaliser le rapport de conformité à la politique de mot de passe pour n’afficher que les normes pertinentes pour leur organisation.
Téléchargez Specops Password Auditor gratuitement ici.