Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Rentrée d’enfer pour les RSSI : pas le temps de finir de se raconter les vacances que l’on se fait déjà attaquer !

08 sept. 2020 - 11:49,
Tribune - Charles Blanc-Rolin
Les souliers neufs chaussés, le masque haute couture sur le nez et le cartable tendance à peine enfilé qu’il faut déjà commencer à éviter les balles ! Alors que l’on tente de faire un point sur les actualités de l’été à ne pas rater, le CERT-FR de l’ANSSI nous annonce déjà des orages cyber !

Petit récapitulatif des infos importantes de l’été :

14 Juillet : feu d’artifice dans les SI Windows

C’est en ce jour de fête nationale pour nous français, que Microsoft nous propose un spectacle de pyrotechnie avec la vulnérabilité Sigred (CVE-2020-1350) affectant tous les SI basés sur une architecture Windows, corrigée dans son patch tuesday mensuel [1].

Il y en a aussi pour les aoûtiens

Rebelote avec le patch tuesday du mois d’août : deux vulnérabilités zero day corrigées, l’une permettant une exécution de code arbitraire à distance dans Internet Explorer et l’autre permettant l’exécution de fichiers avec une signature incorrecte dans Windows.
Sans oublier la vulnérabilité affectant le protocole Netlogon RPC pouvant permettre à un attaquant non authentifiée de grimper au niveau administrateur de domaine [2].

Antivirus Windows : Microsoft Defender et rien d’autre

C’est avec l’arrivée du patch tuesday d’août que Microsoft a annoncé qu’il ne serait plus possible de désactiver, sur Windows 10 (les systèmes serveurs ne sont pas affectés) son système de protection en temps réel. Attention donc aux problèmes de compatibilité qui pourraient survenir lors de la cohabitation avec certains produits tiers ! [3]

Dites au revoir au navigateur Edge

La date est arrêté, le navigateur Edge, dans sa version non basée sur Chromium vous dira définitivement au revoir le 9 mars 2021 [4].

Ryuk, c’est fini, et dire que… ce n’est pas terminé, Conti prends le relais…

Après avoir sévi pendant plusieurs années, notamment dans un hôpital Suisse [5], le rançongiciel Ryuk fait place, depuis juillet à son successeur, Conti. Les attaquants ont déjà fait de nombreuses victimes et publient une partie des données dérobées à leurs victimes sur leur site Web, et affichent même un compteur des visualisations, histoire de mettre un peu plus la pression sur les victimes. Parmi les victimes justement, plusieurs entreprises françaises ou encore cet hôpital américain :

Pour lequel on retrouve des copies de permis de conduire qui ont été scannés par exemple :

Heureusement qu’en France, grâce au RGPD, aucun établissement de santé ne fait de choses pareilles ! Hein ?!?

Vidéo gag chez les éditeurs de logiciels du secteur de la santé !

Le site databreaches.net est récemment revenu sur 9 fuites de données Github qui ont potentiellement permis d’accéder aux données de santé d’environ 200 000 patients. Des mots de passe en clair dans le code du logiciel, disponibles sur un dépôt public, les mots de passe d’accès à un serveurs SFTP contenant des données de santé disponibles sur le Github d’un développeur, mais aussi à sa messagerie professionnelle ayant servie à réaliser des campagnes de spam, en France notamment… J’en passe et des meilleures… [6]

La version 2.9.0 de Ping Castle est arrivée et ça va encore piquer les administrateurs AD…

Vincent Le Toux, ninja de la sécurité, comme il se défini, connu pour ses travaux de recherche sur Windows et Active Directory, sa participation au développement de Mimikatz, le bébé de Benjamin Delpy, a publié début août la tant attendue version 2.9.0 de son excellent outil d’analyse Active Directory : Ping Castle [7]. Cette version intègre notamment de nouveaux scanners, mais aussi de nouvelles règles de contrôle préconisées par l’ANSSI [8].

REvil ajoute le groupe d’hôpitaux américains Valley Health Systems à son palmarès

Le groupe derrière le rançongiciel REvil fait sa promotion en ajoutant le groupe d’hôpitaux américains Valley Health Systems à sa liste de victimes [9].

Alerte générale ! Emotet revient en force !

Depuis plusieurs semaines déjà, une importante recrudescence du code malveillant Emotet utilisé pour le déploiement d’autres codes malveillants, est observée. Le CERT national japonais a récemment publié une V1.0 de son outil de détection post-mortem :Emocheck [10]. Pour bien commencer la semaine, le CERT-FR de l’ANSSI a ouvert une alerte ce lundi 7 septembre, intitulée « Recrudescence d’activité Emotet en France » [11]. Aïe, ça pique !

Et Dridex alors ?

Observée également en ce début de semaine, une campagne visant à distribuer le code malveillant Dridex est en cours. C’est une pseudo facture au nom du service de livraison FedEx qui est utilisée comme appât :

 

Adresses expéditrices du type : [email protected]
Origine des serveurs émetteurs : Italie

Exemple de nom de fichiers : X-XXX-XXXXX.xlsm

sha256 : cbbb3ffd6f20060d8176954afb0f26fb220a281fd0e49facd02be8f597f24645

IOCs réseau :

isrg[.]trustid[.]ocsp[.]identrust[.]com
bombshellshow[.]me
siebuhr[.]com

Suivez le guide !

Pour la rentrée, l’ANSSI a publié un nouveau guide sur le thème des rançongiciels dans lequel on retrouve des retours d’expériences et notamment le témoignage de Cédric Hamelin sur l’incident vécu par le CHU de Rouen [12].

Bonne rentrée à tous !


[1] https://www.apssis.com/actualite-ssi/438/cve-2020-1350-sigred-tous-les-si-bases-sur-une-architecture-windows-concernes.htm

[2] https://www.forum-sih.fr/viewtopic.php?f=78&t=742&p=6202#p6202

[3] https://docs.microsoft.com/fr-fr/windows-hardware/customize/desktop/unattend/security-malware-windows-defender-disableantispyware

[4] https://techcommunity.microsoft.com/t5/microsoft-365-blog/microsoft-365-apps-say-farewell-to-internet-explorer-11-and/ba-p/1591666

[5] https://cyberveille-sante.gouv.fr/cyberveille-sante/1589-suisse-attaque-sur-un-hopital-zurichois-avec-le-maliciel-emotet-2020-01-17

[6] https://www.databreaches.net/wp-content/uploads/No-need-to-hack-when-its-leaking.pdf

[7] https://www.pingcastle.com/

[8] https://www.cert.ssi.gouv.fr/dur/CERTFR-2020-DUR-001/

[9] https://hotforsecurity.bitdefender.com/blog/revil-ransomware-operators-claim-valley-health-systems-as-new-victim-24020.html

[10] https://github.com/JPCERTCC/EmoCheck/releases/tag/v1.0.0

[11] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/

[12] https://www.ssi.gouv.fr/uploads/2020/09/anssi-guide-attaques_par_rancongiciels_tous_concernes-v1.0.pdf

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.