Publicité en cours de chargement...
Le groupe Orangeworm cible le secteur de la santé
Même si l’origine du groupe Orangeworm et ses motivations n’ont pas été déterminées avec précisions à ce jour, tout laisse à penser que son but est de dérober des informations de santé aux établissements.
D’après Symantec, près de 40 % des victimes de cette attaque seraient des établissements de santé. Les autres secteurs victimes de cette attaque seraient tous en lien avec le secteur de la santé (éditeurs de logiciels, industrie pharmaceutique, constructeurs de dispositifs médicaux...).
La méthode de compromission initiale n’est pas évoquée dans le rapport, mais une variante du cheval de Troie Kwampirs [2] découvert en 2016, aurait été utilisée pour permettre l’établissement de connexions entre les machines compromises et les serveurs de commandes et de contrôle des attaquants.
Après une première collecte d’informations, les attaquants déterminent si la machine victime est intéressante ou non. Si la victime semble intéressante, il est ensuite propagé comme un vers dans le système d’informations, notamment à l’aide des partages réseau qu’il aurait pu trouver.
Afin de rester le plus discret possible, Kwampirs n’utilise pas d’outils tiers connus, mais uniquement des commandes intégrées au système Windows pour scanner le réseau.
Pour échapper à la détection par signatures des antivirus, il insère une chaîne de caractères aléatoires dans la DLL servant de charge utile.
Afin de conserver un accès persistant sur les machines infectées, un service baptiséWmiApSrvEx qui se lance automatiquement au démarrage est installé.
Même si les États-Unis semble être le pays dénombrant le plus de victimes (17%), de nombreux pays d’Asie et d’Europe, et notamment la France (2%) ont également été touchés.
Le logiciel malveillant a été retrouvé sur des dispositifs médicaux, tels que des appareils d’imagerie médicale (radiographie, IRM), ainsi que sur des machines destinées à aider les patients à remplir des formulaires de consentement.
Symantec donne quelques indicateurs de compromissions [3], tels que les adresses IP des serveurs C2 utilisés par les attaquants :
Même si à l’heure où j’écris ces quelques lignes, les serveurs semblent injoignables et toutes traces ont l’air d’avoir disparu de Shodan :
On peut se demander si cette attaque est finie ou si les serveurs sont accessibles que dans des plages horaires restreintes, sont désactivés temporairement pour se faire oublier, d’autres serveurs sont utilisés, le mystère reste entier ?
Une petite vérification des logs de nos firewalls peut s’avérer pertinente dans un premier temps, et la recherche des indicateurs de compromission dans un second temps peut l’être également en cas de trafic suspect, même si tout le monde sait bien que nos dispositifs médicaux se trouvent tous dans des réseaux isolés qui ne communiquent jamais au grand jamais avec Internet...
[1]
[2]
[3]
Avez-vous apprécié ce contenu ?
A lire également.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

L’arnaque à l’arrêt de travail comme source de réflexion
14 avril 2025 - 21:57,
Tribune
-Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...