Actualités

En mai 2016, InfoArmor, une société américaine de sécurité prévenait le National Healthcare and Public Health Information Sharing and Analysis (NH-ISAC) du vol de 600000 données personnelles de patients. Les pirates d’origine russe auraient ensuite voulu vendre trois terabytes de ces données.

Un groupe de hackers russes a dérobé 600000 données personnelles de patients américains. Ce vol massif de datas médicales a de quoi surprendre, mais pas tant que cela selon Balazs Scheidler, CTO et co-fondateur de Balabit, fournisseur européen de solutions de sécurité contextuelle: "Les données personnelles sont souvent vendues sur le Dark web... Les informations médicales valent 10 fois plus que des numéros de cartes de crédit sur le marché noir".

Comme l’explique un article de Reuters du 24 septembre 2014, les cybercriminels profitent d’un manque de moyen et de systèmes informatiques vieillissants. Ils acquièrent facilement un grand nombre de datas qui serviront à la fraude médicale. "Les fraudeurs utilisent ces données pour créer de fausses cartes d'identité, acheter du matériel médical ou des médicaments qui peuvent être revendus. Ils combinent également plusieurs patients avec un faux numéro de fournisseur pour tromper les assurances" poursuit l'agence de presse anglaise.

Le procédé de l'attaque russe

Dans ce cas précis les pirates ont piraté un compte utilisateur classique avec des identifiants simples, puis visent des connexions RDP (Remote Desktop Protocol) sur des serveurs avec des adresses IP externes statiques.  "Une fois à l’intérieur du réseau, ils ont pu escalader les privilèges grâce à un exploit LPE (Local privilege escalation) jusqu’à devenir des utilisateurs privilégiés, bénéficiant alors de capacités d’actions et d’accès aux données sensibles. Cela signifie que même si le compte piraté à l’origine ouvrait sur des accès classiques, les pirates peuvent facilement gagner de nouveaux privilèges dès lors qu’ils ont réussi à pénétrer le réseau.", précise Balazs Scheidler.

Les cybercriminels ont profité d’une maladresse car les ports ne doivent pas rester ouverts, Or, dans ce cas précis, le RDP l’était et ils  ont pu y pénétrer facilement. Cependant, Balazs Scheidler ajoute que "Le mode opératoire utilisé pour accéder au système en question requiert une connaissance précise des vulnérabilités de l’OS. C’est donc le signe d’une attaque sophistiquée."

Prévenir les risques

Ces compromissions auraient pu être évitées en suivant quelques règles de sécurité, comme surveiller les sessions utilisateurs pour identifier les manipulations abusives à temps. Des méthodes permettent d’enregistrer l’écran, les clics, les frappes sur le clavier et même les mouvements de la souris.

"A partir du moment où les équipes de sécurité disposent d’une connaissance importante sur les activités quotidiennes des utilisateurs, il leur est possible d’appliquer de l’analyse comportementale (User Behavioral Analytics ou UBA) pour trouver des informations intéressantes et pertinentes. Les équipes peuvent ainsi se concentrer sur les investigations aux endroits où un incident est réellement intervenu. L’analyse comportementale des utilisateurs permet cela en fournissant une liste détaillée et notée des sessions les plus suspectes." conclut Balazs Scheidler.

 




Autres News Cyber Crime

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 145464
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12

Mag-Securs n°57

Dernier numéro

Événements SSI

Réduire