Catégories
Informatique

Microsoft permet au secteur de la santé de lutter contre les ransomwares mortels pendant la crise du COVID-19

microsoft "src =" data: image / gif; base64, R0lGODlhAQABAIAAAAAAAP /// yH5BAEAAAAALAAAAAABAAEAAAIBRAA7 "class =" dimension1 "data-src =" https://images.hothardware.com/contentimages/newsitem/51221/contentjm "/></div>
<p>Les ransomwares sont aujourd'hui un problème important pour les particuliers et les organisations. Cependant, il peut être un problème particulièrement important pour les organisations de soins de santé et a le potentiel de coûter des vies pendant la pandémie de COVID-19 qui fait rage dans le monde. Microsoft dit que pendant cette période de crise, alors que les organisations évoluent vers une main-d'œuvre distante, les opérateurs de ransomware ont trouvé une nouvelle cible sous la forme de périphériques réseau tels que des passerelles et des appliances VPN.
</p>
<p>Microsoft affirme qu'il met un accent particulier sur le secteur des soins de santé en protégeant les services essentiels, en particulier les hôpitaux aujourd'hui. Microsoft note qu'en ce moment, REvil, également connu sous le nom de Sodinokibi, est l'une des campagnes de ransomware qui essaie activement d'exploiter les vulnérabilités de la passerelle et du VPN pour accéder aux organisations cibles. Une fois l'accès obtenu, les attaquants ont pu voler les informations d'identification et élever les privilèges pour se déplacer latéralement sur le réseau afin d'assurer la persistance avant d'installer leurs charges utiles de ransomware ou de malware.
</p>
<p>Ces soi-disant attaques de ransomware «exploitées par l'homme» sont «un cran au-dessus des campagnes de ransomware courantes», explique Microsoft. Le géant du logiciel affirme qu'il exploite son vaste réseau de sources de renseignements sur les menaces et a identifié plusieurs dizaines d'hôpitaux avec des passerelles ou des appareils VPN vulnérables dans leur infrastructure. Microsoft dit que pour aider les hôpitaux, dont beaucoup étaient déjà assiégés de patients dans le cadre de la crise actuelle des coronavirus / COVID-19, il a envoyé une notification ciblée avec des détails importants sur les vulnérabilités de leurs systèmes et comment les attaquants pourraient en tirer parti.
</p>
<div style=pirate de ransomware

La notification ciblée a également donné aux organisations de soins de santé des recommandations pour appliquer des mises à jour de sécurité qui pourraient les protéger contre les exploits utilisant ces vulnérabilités. Microsoft souligne que ses équipes de renseignement sur les menaces ont observé de nombreux auteurs d'État et de cybercriminalité ciblant des systèmes VPN non corrigés depuis de nombreux mois. Plus précisément, les attaquants derrière le ransomware REvil recherchent activement sur Internet les systèmes vulnérables.

Microsoft a été alerté de ces analyses par ses services de protection contre les menaces et note également que des attaquants ont été observés en utilisant la fonction de mise à jour des clients VPN pour déployer les charges utiles de logiciels malveillants. Microsoft dit qu'il recommande fortement à toutes les entreprises de revoir l'infrastructure VPN pour les mises à jour. Les attaques de ransomwares dans les soins de santé peuvent avoir des résultats très réels sur les patients, les chercheurs liant une augmentation des crises cardiaques fatales aux attaques de ransomwares l'année dernière. Microsoft a fait des recommandations pour atténuer la menace des ransomwares:

  • Appliquez toutes les mises à jour de sécurité disponibles pour les configurations VPN et pare-feu.
  • Surveillez et prêtez une attention particulière à votre infrastructure d'accès à distance. Toute détection de produits de sécurité ou anomalies trouvées dans les journaux d'événements doit être examinée immédiatement. En cas de compromis, assurez-vous que tout compte utilisé sur ces appareils a une réinitialisation de mot de passe, car les informations d'identification pourraient avoir été exfiltrées.
  • Activez les règles de réduction de la surface d'attaque, y compris les règles qui bloquent le vol d'informations d'identification et l'activité des ransomwares. Pour lutter contre les activités malveillantes initiées par le biais de documents Office armés, utilisez des règles qui bloquent les activités avancées de macro, le contenu exécutable, la création de processus et l'injection de processus lancée par les applications Office. Pour évaluer l'impact de ces règles, déployez-les en mode audit.
  • Activez AMSI pour Office VBA si vous disposez d'Office 365.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *