Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Un budget en R&D apparemment supérieur pour les attaquants que chez les éditeurs de logiciels : difficile pour nous de lutter

27 nov. 2019 - 16:45,
Tribune - Charles Blanc-Rolin
En regardant les innovations techniques apportées aux logiciels malveillants, je me dis deux choses. Tout d’abord que les attaquants ne sont pas en manque d’inspiration lorsqu’il s’agit de malmener nos pauvres systèmes d’information. Ensuite qu’ils doivent attribuer beaucoup plus de budget au département recherche et développement que les éditeurs de logiciels « bienveillants », en particulier ceux du secteur de la santé.

Alors que de nombreuses applications métiers, dites « professionnelles », imposent l’attribution des privilèges d’administration Windows pour fonctionner ainsi que la désactivation du pare-feu et permettent l’utilisation d’un navigateur Web avec 12 versions de retard ou le stockage des mots de passe en clair dans la base de données ou dans des fichiers de log, les derniers rançongiciels et chevaux de Troie mis en exergue cette année sont de véritables pépites d’ingénierie logicielle.

CryptoMix Clop

Le rançongiciel dont a récemment été victime le CHU de Rouen [1], et qui chiffre les fichiers avec des extensions du type .Clop ou (C majuscule), a fait ses premières apparitions fin février de cette année.

D’après le rapport publié par l’Anssi le 22 novembre [2], il semble être majoritairement distribué via des campagnes de phishing de masse et s’appuyer notamment sur la vulnérabilité FlawedAmmyy [3], une porte dérobée découverte en 2016 dans le logiciel de contrôle à distance Ammyy Admin. Des serveurs de commande et de contrôle s’appuyant sur l’outil de pentest Cobalt Strike sont également utilisés, basés notamment en Ukraine.

Des exécutables signés avec des certificats pour apparaître comme légitimes produisent l’arrêt des services Windows de différents antivirus ainsi que des systèmes de gestion de bases de données et de logiciels de sauvegarde [4] de même que la suppression des copies cachées de Windows (Volume Shadow Copies) permettant la réparation automatique fournie avec le système d’exploitation. Dans ses versions les plus récentes, la modification de plusieurs clés de registre [5] désactive Windows Defender, Microsoft Security Essentials sur les systèmes Windows vétustes et la solution Malwarebytes Anti-Ransomware sont désinstallés, le tout, si possible, avec un compte administrateur du domaine s’il réussit à compromettre l’annuaire Active Directory afin de se déployer massivement sur le SI.

Emotet

Le cheval de Troie Emotet, dont le CHU de Montpellier a été victime cette année [6], lui aussi distribué en masse par courriels, s’appuie également sur l’annuaire Active Directory pour se répandre sur l’ensemble du SI. Il récupère des informations de connexion, des coordonnées bancaires (son but ultime), mais aussi des contacts qu’il peut trouver dans les courriels, histoire d’en faire bénéficier les copains.

BitPaymer/FriedEx/IEncrypt

Dans un rapport publié le mois dernier [7], l’Anssi revient sur le rançongiciel connu sous les noms de BitPaymer, FriedEx ou encore IEncrypt qui a touché plusieurs hôpitaux écossais au mois d’août 2017. Il est distribué via de fausses mises à jour de Flash Player ou de Google Chrome sur des sites légitimes qui ont été compromis ou par le biais de connexions RDP peu ou pas protégées.

Lors de son chargement, le malware vérifie l’existence du fichier « C:\\aaa_TouchMeNot_.txt » afin de s’assurer de ne pas s’exécuter au sein de l’environnement d’émulation de Windows Defender. La création d’un tel fichier pourrait d’ailleurs permettre de protéger les machines de ce type d’attaques.

Ryuk, le retour !

Le rançongiciel Ryuk est de retour, et si, comme aux Assises de la sécurité des systèmes d’information, un prix de l’innovation devait être décerné aux attaquants, je pense qu’il aurait sa place parmi les lauréats.
Il analyse le cache ARP pour trouver des adresses IP de machines présentes dans des réseaux locaux, « 10. », « 172.16. » ou « 192.168. » par exemple, afin de connaître les réseaux accessibles avant d’en scanner toutes les adresses une par une et d’identifier un maximum de victimes.
Cerise sur le gâteau, il est capable de réveiller toutes les machines éteintes connectées au réseau grâce au protocole Wake on Lan !

Je l’avoue, je suis fan !

Si l’on consacrait ne serait-ce que le dixième de l’énergie dépensée par ces attaquants à réaliser de bonnes actions, je crois que notre monde serait bien meilleur.


[1] https://twitter.com/malwrhunterteam/status/1197084962895347712

[2] https://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-CTI-009.pdf

[3] https://attack.mitre.org/software/S0381/

[4] https://github.com/k-vitali/cryptomix-clop-ransomware/blob/master/2019-02-26-cryptomix-ransomware-notebook-vk.ipynb

[5] https://github.com/k-vitali/Malware-Misc-RE/blob/master/2019-11-21-clop-ransomware-anti-ms-commands.vk.raw

[6] https://sfrpresse.sfr.fr/article/d2269a8b-66ce-46be-a4f4-5e654a34a087

[7] https://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-CTI-006.pdf

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Horizon Santé 360 : des promesses concrètes de l’innovation en santé

Horizon Santé 360 : des promesses concrètes de l’innovation en santé

27 oct. 2025 - 11:04,

Actualité

- Pauline Nicolas, DSIH

Après une matinée centrée sur la souveraineté et les perspectives stratégiques du groupe La Poste Santé & Autonomie et de ses expertises, l’après-midi d’Horizon Santé 360 a laissé place à la mise en pratique avec ateliers riches et inspirants où l’innovation a pu se déployer tout autant qu’être soum...

Illustration Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?

Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?

20 oct. 2025 - 14:04,

Communiqué

- Computer Engineering

Pas de panique ! Vous êtes encore nombreux à chercher des solutions dématérialisées pour répondre à l’évolution de la réglementation européenne concernant le suivi renforcé des Dispositifs Médicaux Implantables (DMI).

Illustration L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

17 oct. 2025 - 10:18,

Actualité

- Rédaction, DSIH

L’Agence régionale de santé (ARS) Pays de la Loire, en partenariat avec la Caisse primaire d’assurance maladie (CPAM) de la Mayenne et le groupement e-santé régional, a présenté la feuille de route du numérique en santé 2025-2026.

Illustration Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

13 oct. 2025 - 19:56,

Communiqué

- CHU de Reims

Le Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.