La cause d’une des plus effroyables cyberattaques de 2024 vient d’être divulguée. Après enquête, il s’avère que les cybercriminels de BlackCat ont pu pénétrer dans le système informatique de Change Healthcare en tirant profit de la négligence des responsables. Ceux-ci n’avaient pas activé un mécanisme de sécurité pourtant incontournable.Il y a deux mois, les cybercriminels de BlackCat se sont attaqués à UnitedHealth, une compagnie d’assurance américaine qui s’est spécialisée dans les soins de santé. Les pirates ont déployé un ransomware sur le système informatique de Change Healthcare, une filiale d’UnitedHealth qui fournit des logiciels de paiement aux fournisseurs de soins.
Le fonctionnement des fournisseurs de soins de santé des États-Unis a été considérablement affecté par la cyberattaque. Pendant des semaines, ceux-ci ont rencontré des difficultés dans leurs activités, contraignant Change Healthcare à fournir un logiciel de préparation des demandes médicales d’appoint en attendant de rétablir ses systèmes. Malgré les efforts de l’entreprise, les hôpitaux, les pharmacies et les cabinets médicaux ont rencontré de gros retards dans le paiement des réclamations d’assurance. C’est la pire cyberattaque vécue par le système de santé des États-Unis, estime l’American Hospital Association. Elle a coûté plus de 870 millions de dollars à UnitedHealth.
6 To de données sensibles volées
Avant de chiffrer les données, les pirates ont dérobé les informations confidentielles de nombreux Américains. Selon BlackCat, six téraoctets de données ont été exfiltrées dans le courant de l’opération. Parmi les données volées, on trouve les dossiers médicaux des patients américains. De l’aveu d’Andrew Witty, PDG d’UnitedHealth, ce sont les données d’un tiers des Américains qui ont été volées.
Devant le Sénat américain, le responsable a confirmé qu’UnitedHealth a accepté de verser la rançon exigée par les hackers de BlackCat. Le groupe a versé 22 millions de dollars en bitcoins aux criminels, dans l’espoir de protéger les données sensibles des Américains. En vain. Après avoir perçu la rançon, BlackCat a divulgué les données sur des marchés noirs du dark web. Les informations sensibles se sont retrouvées entre les mains d’au moins deux gangs.
Une fuite de données à l’origine de la cyberattaque
Surtout, Andrew Witty a révélé l’origine de l’intrusion aux sénateurs des États-Unis. D’après l’enquête d’UnitedHealth, « les criminels ont utilisé des informations d’identification compromises pour accéder à distance au portail Citrix Change Healthcare, une application utilisée pour permettre l’accès à distance aux ordinateurs de bureau ». Sans grande surprise, l’attaque repose sur la fuite d’informations d’identification. C’est le cas de la plupart des attaques informatiques. Comme le révèle une étude de Surfshark, 17 milliards de comptes ont été piratés en l’espace de vingt ans.
De nombreuses entreprises emploient le logiciel Citrix pour donner accès à distance aux employés à leurs ordinateurs professionnels via les réseaux internes. L’entreprise n’a pas précisé comment les pirates russes ont mis la main sur les identifiants offrant l’accès à Citrix. Contactés par BleepingComputer, les enquêteurs de la société Hudson Rock indiquent que les informations d’identification Citrix d’un employé de Change Healthcare ont été subtilisées par un malware espion.
« Une fois que l’acteur de la menace a obtenu un accès, il s’est déplacé latéralement à l’intérieur des systèmes de manière plus sophistiquée et ont exfiltré les données. Le ransomware a été déployé neuf jours plus tard », explique Andrew Witty au Sénat.
Un mécanisme de sécurité négligé
Malheureusement, le portail n’était pas protégé par une « authentification multifacteurs », ajoute le dirigeant du groupe. De facto, il était possible de pénétrer au sein du système uniquement à l’aide d’un mot de passe et d’un nom d’utilisateur. Le portail ne réclamait pas de code envoyé par SMS, par mail ou par le biais d’une application d’authentification dédiée. L’ajout d’un système d’authentification à deux facteurs aurait théoriquement barré la route des cybercriminels de BlackCat.
En réaction à la révélation d’Andrew Witty, Ron Wyden, sénateur démocrate et président du comité sénatorial des finances, a estimé que la cyberattaque aurait pu être aisément évitée en appliquant les préceptes fondamentaux de base de la cybersécurité. Le sénateur ajoute qu’il « n’aurait pas fallu attendre la pire cyberattaque jamais survenue dans le secteur de la santé pour enfin convenir de faire ce strict minimum ». Face aux sénateurs, le PDG d’UnitedHealth a assuré que la société allait désormais imposer l’authentification à deux facteurs à tous les pans de l’entreprise.
C’est loin d’être la première fois qu’une cyberattaque est rendue possible par une négligence de cet acabit. En janvier dernier, la Securities and Exchange Commission (SEC), le régulateur de la Bourse des États-Unis, a perdu le contrôle de son compte X (Twitter) à la suite d’une arnaque à la carte SIM. L’attaque aurait été contrecarrée par l’activation de l’authentification à deux facteurs sur le compte. Le régulateur aurait pu demander que la plateforme réclame un code additionnel, envoyé par mail par exemple, avant d’ouvrir ses portes. Selon une étude réalisée par CyberEdge en 2022, près de la moitié des entreprises n’ont pas activé l’authentification à deux facteurs pour se protéger des piratages.
merci à 01Net