Comment ANY.RUN aide les organisations de santé à lutter contre les attaques de ransomware : Étude de cas Interlock

  1. Accueil
  2. Comment ANY.RUN aide les organisations de santé à lutter contre les attaques de ransomware : Étude de cas Interlock

Les attaques par ransomware représentent une menace incessante pour le secteur de la santé, exposant des données sensibles de patients, perturbant des traitements vitaux et mettant des vies en danger. Avec des systèmes de santé souvent sous-financés et des infrastructures critiques vulnérables, les cybercriminels considèrent ce secteur comme une cible facile et lucrative.

Ces dernières années, les attaques par ransomware ont non seulement entraîné des pertes financières importantes, mais elles ont également ébranlé la confiance du public envers les organisations de santé. Les hôpitaux, les prestataires de services médicaux, et même les centres de dons de sang ont été touchés, laissant derrière eux un sillage de chaos.

Cet article met en lumière comment les organisations de santé peuvent tirer parti d’ANY.RUN, une plateforme de cybersécurité de premier plan, pour détecter et atténuer les attaques de ransomware, à travers une étude de cas réelle sur le groupe de ransomware Interlock.

L’impact dévastateur des ransomwares sur le secteur de la santé

Avant de plonger plus en détail dans la manière dont ANY.RUN aide à contrer ces menaces, examinons l’impact dévastateur que les attaques de ransomware peuvent avoir sur le secteur de la santé.

UnitedHealth190 millions de dossiers volés dans la plus grande violation de données dans le domaine de la santé.
Ascension5,6 millions de patients affectés par une attaque de ransomware Black Basta.
Kootenai Health464 000 dossiers de patients divulgués.
ConnectOnCallDonnées de santé de plus de 910 000 patients exposées lors d’une violation de son système SaaS.
MedusindUne violation en décembre 2023 a touché 360 000 individus, exposant des informations sensibles liées à la facturation et à la santé.
Anna Jaques HospitalUne attaque par ransomware a exposé les données sensibles de santé de plus de 316 000 patients, perturbant les services médicaux essentiels.
Organisation caritative de don du sangLes informations personnelles des donneurs ont été volées lors d’une attaque par ransomware contre cette organisation à but non lucratif.

Ce qui est en jeu :

  • Perte de confiance des patients : L’exposition d’informations personnelles et médicales érode la confiance envers les prestataires de soins de santé.
  • Perturbation opérationnelle : Les hôpitaux et les établissements médicaux sont contraints d’interrompre leurs services, retardant ainsi des traitements critiques.
  • Pression financière : Les organisations doivent faire face à des demandes de rançon, à des frais juridiques et à des coûts de récupération, ce qui aggrave l’impact global.

Pourquoi le secteur de la santé est une cible privilégiée

  1. Données sensibles : Les dossiers des patients ont une grande valeur sur le marché noir. Les groupes de ransomware exploitent cette situation en chiffrant les données et en exigeant des paiements pour les déchiffrer.
  2. Infrastructure critique : De nombreux systèmes de santé ne peuvent se permettre de longs arrêts en raison de leur rôle dans les soins aux patients.
  3. Cybersécurité sous-financée : Beaucoup de prestataires de santé fonctionnent avec des budgets serrés, privilégiant les services aux patients au détriment de défenses informatiques robustes.
  4. Détection lente : Une problématique courante est l’incapacité à identifier et répondre aux attaques dans leurs phases initiales, permettant ainsi aux ransomwares de se propager sans être détectés.

Groupe Interlock : une menace active pour le secteur de la santé

Interlock est un acteur de ransomware pratiquant la double extorsion.

Fin 2024, le groupe Interlock a lancé des attaques ciblées contre plusieurs établissements de santé aux États-Unis, provoquant des perturbations majeures et exposant des données sensibles de patients :

  • Brockton Neighborhood Health Center : Violation survenue le 20 octobre 2024, restée non détectée jusqu’au 17 décembre 2024.
  • Legacy Treatment Services : Attaque détectée le 26 octobre 2024.
  • Drug and Alcohol Treatment Service : Violation découverte le 24 octobre 2024.

Comment ANY.RUN aide à différents stades d’une attaque

ANY.RUN offre aux organisations de santé des outils proactifs pour analyser et enquêter sur les attaques de ransomware à différents stades.

Découvrons comment cela fonctionne en étudiant le groupe de ransomware Interlock. Les étapes de l’attaque sont basées sur l’un des rapports les plus détaillés sur cette menace, publié par Talos le 14 janvier 2025.

1. Compromission initiale (TA0001)

À ce stade, le groupe de ransomware Interlock utilise la technique de Drive-by Compromise pour accéder à l’infrastructure de la victime.

Compromission via Drive-by Compromise : Comment cela s’est produit

Le groupe de ransomware Interlock a soit compromis, soit enregistré un nouveau site de phishing, comme l’indiquent les données récentes d’enregistrement dans Whois. Ce site de phishing était conçu pour ressembler à un fil d’actualités, avec des liens permettant de télécharger des logiciels. Les utilisateurs imprudents visitant le site étaient piégés et incités à télécharger des fichiers malveillants.

Voici comment l’outil Threat Intelligence Lookup d’ANY.RUN peut être utilisé par les analystes à ce stade de l’attaque.

Détection précoce des domaines malveillants

En interrogeant le domaine apple-online.shop, ANY.RUN a révélé que des utilisateurs avaient signalé et analysé ce site dès le 6 septembre 2024, soit presque un mois avant que le groupe ne soit mentionné publiquement dans ce rapport. Cela signifie qu’ANY.RUN a détecté une activité suspecte près de deux mois avant la publication du rapport de Talos.

Requête :
domainName:"apple-online.shop$"

Grâce à ANY.RUN : une détection précoce des cybermenaces

Grâce à l’accès d’ANY.RUN à des échantillons publics des dernières cybermenaces dans le monde, les utilisateurs de TI Lookup ont pu identifier le domaine d’Interlock comme malveillant bien avant les rapports publics. Une telle détection précoce permet aux organisations de santé de prendre des mesures préventives longtemps avant la diffusion d’alertes publiques.

Analyse du contenu des sites web malveillants

Avec l’aide du bac à sable interactif d’ANY.RUN, il est possible de visualiser l’apparence du site web malveillant et de comprendre les contenus utilisés pour tromper les utilisateurs. En analysant de tels sites, les organisations de santé peuvent former leurs employés à reconnaître et éviter des menaces similaires à l’avenir.

La machine virtuelle permet à quiconque de voir le comportement de cette menace et d’interagir avec elle en temps réel.

Voir la session d’analyse

Le site web malveillant utilisé par Interlock affiché dans le bac à sable d’ANY.RUN

Enrichir les informations sur les menaces connues

Les données d’ANY.RUN peuvent également compléter les connaissances existantes des utilisateurs sur l’attaque.
Bien que les rapports aient indiqué que les attaquants utilisaient un malware déguisé en mise à jour de Google Chrome, ANY.RUN a découvert des tactiques supplémentaires, telles que l’imitation de mises à jour pour MSTeams et MicrosoftEdge. Cela est visible dans les noms de fichiers tels que MSTeamsSetup.exe et MicrosoftEdgeSetup.exe.

Rapports d’ANY.RUN avec l’analyse des faux programmes de mise à jour d’Interlock

Cela montre qu’en identifiant les déguisements alternatifs utilisés pour le malware, ANY.RUN permet aux organisations d’anticiper une gamme plus large de déguisements de fichiers utilisés par Interlock.

IOCs et Analyse de fichiers

Les rapports ont mentionné un fichier spécifique nommé upd_2327991.exe utilisé lors de l’attaque. La base de données d’ANY.RUN révèle des fichiers supplémentaires avec des conventions de nommage similaires, tels que :

La recherche avec TI Lookup d’ANY.RUN révèle des noms de fichiers supplémentaires utilisés par Interlock

Cela suggère que les attaquants ont généré des noms de fichiers en utilisant des motifs alphanumériques aléatoires. Chaque fichier avait des valeurs de hachage distinctes (SHA256), qui servent d’Indicateurs de Compromis (IOCs) uniques :

  • 8d911ef72bdb4ec5b99b7548c0c89ffc8639068834a5e2b684c9d78504550927
  • 97105ed172e5202bc219d99980ebbd01c3dfd7cd5f5ac29ca96c5a09caa8af67

Comment ANY.RUN aide les organisations de santé au stade d’accès initial

L’analyse a montré qu’avec l’aide de TI Lookup et du Bac à sable interactif d’ANY.RUN, les organisations de santé confrontées à des attaques par ransomware d’Interlock pouvaient :

  • Découvrir la date de début des attaques : Obtenir des informations sur les premières activités du groupe attaquant, qui se produisent souvent avant les rapports publics.
  • Étudier la configuration de l’attaquant : Identifier les domaines, adresses IP et autres éléments de la configuration de l’attaquant pour en apprendre davantage sur ses tactiques et méthodes.
  • Améliorer les systèmes de détection : Collecter des IOCs supplémentaires pour configurer des mécanismes de défense et améliorer la détection des attaques.

2. TA0002 : Exécution

Une fois que les attaquants ont obtenu un accès initial, la phase d’Exécution commence. Cette étape implique le déploiement de charges utiles malveillantes ou l’exécution de commandes nuisibles sur l’appareil compromis. Dans les attaques par ransomware d’Interlock, les utilisateurs lancent involontairement un faux fichier de mise à jour, déclenchant l’exécution du malware et permettant aux attaquants d’établir le contrôle sur le système de la victime.

Comment le groupe Interlock exécute ses attaques

Les rapports ont révélé que les attaquants utilisaient des Outils d’Accès à Distance (RATs), leur donnant un contrôle total sur la machine infectée. En déguisant ces RATs en logiciels légitimes, tels que les mises à jour de Chrome, MSTeams ou Microsoft Edge, les attaquants ont veillé à ce que leurs actions restent inaperçues jusqu’à ce que des dommages importants soient causés.

Détection des URL chiffrées dans les faux programmes de mise à jour

Avec le Bac à sable ANY.RUN, les analystes pouvaient découvrir que le faux programme de mise à jour contenait des URL chiffrées utilisées pour communiquer avec l’infrastructure des attaquants. Par exemple, le tag xor-url dans ANY.RUN a révélé des URL cachées dans les fichiers de configuration du malware.

Voir la session d’analyse

L’étiquette CFG indique qu’il existe des données de configuration disponibles pour le processus

En cliquant sur l’option CFG (Configuration) dans le bac à sable, les analystes peuvent consulter les URL déchiffrées. Ces informations fournissent des renseignements exploitables sur les méthodes de communication du malware et aident à identifier des schémas similaires lors de futures attaques.

L’URL déchiffrée par ANY.RUN

Utilisation de la recherche YARA pour trouver d’autres échantillons

La fonctionnalité de recherche YARA d’ANY.RUN a permis aux chercheurs de créer une règle pour détecter des échantillons de RAT liés à l’attaque.

Voici un exemple d’une règle YARA conçue pour identifier les échantillons de RAT déguisés d’Interlock :

rule Interlock_RAT {

    strings:

        $ = « /MSTeamsSetup.exe\\ » xor

        $ = « /ChromeSetup.exe\\ » xor

        $ = « /MicrosoftEdgeSetup.exe\\ » xor

    condition:

        any of them

}

Cette règle YARA a révélé plus de 44 nouveaux fichiers malveillants, chacun représentant un nouvel indicateur.

Ces IOCs peuvent être ajoutés aux systèmes de détection, élargissant ainsi le champ de protection.

Yara Search dans TI Lookup

Découverte d’Iocs supplémentaires

En plus de détecter des fichiers malveillants, la session du bac à sable d’ANY.RUN a révélé des IOCs réseau tels que des URL et des adresses IP qui n’étaient pas couvertes dans d’autres rapports.

Une des URL trouvées via TI Lookup et non mentionnée dans le rapport de Talos

L’URL présentée ci-dessus n’a pas été incluse dans le rapport détaillé de Talos.

Si les organisations rencontrant cette URL et ce payload avaient utilisé le Bac à sable interactif d’ANY.RUN, elles auraient pu exécuter le RAT dans un environnement virtuel sécurisé et constater sa nature malveillante. Cela aurait pu les empêcher de faire exploser le payload sur leurs propres systèmes.

Pendant l’exécution, ANY.RUN aide les utilisateurs à :

  • Découvrir des IOCs : Trouver des IOCs de fichiers et de réseau supplémentaires, y compris ceux trouvés dans les configurations.
  • Trouver des menaces inconnues : Découvrir des menaces auparavant inconnues.
  • Analyser les menaces : Explorer en toute sécurité des URL suspectes et faire exploser des payloads.

TA0006 : Accès aux informations d’identification

Une fois que les attaquants ont la capacité d’exécuter des commandes sur un système compromis, leur prochaine étape consiste souvent à voler les informations d’identification d’accès. Dans l’attaque par ransomware d’Interlock, le groupe a utilisé un outil de vol personnalisé pour collecter et exfiltrer ces informations.

Comment fonctionne le vol d’informations d’identification dans cette attaque

  • L’outil de vol des attaquants était conçu pour collecter des données sensibles, y compris des noms d’utilisateur, des mots de passe et d’autres informations d’identification d’accès.
  • Selon les rapports des fournisseurs, les données volées étaient stockées dans un fichier nommé “chrgetpdsi.txt.” Ce fichier servait de dépôt pour les informations d’identification recueillies avant leur exfiltration.
Utilisons TI Lookup pour trouver plus d'informations sur le voleur :
filePath:"chrgetpdsi.txt$

Résultats d’une recherche TI Lookup pour un fichier txt utilisé dans l’attaque

En conséquence, nous voyons que le voleur a été détecté par ANY.RUN dès août 2024, bien avant que les utilisateurs commencent à enquêter sur le domaine compromis.

Le premier rapport du bac à sable sur le voleur utilisé par Interlock

La détection précoce d’outils malveillants comme ce voleur fournit aux équipes de sécurité des informations exploitables pour se défendre contre des menaces en évolution.

TA0008 : Mouvement latéral

Lors de la phase de mouvement latéral, les attaquants visent à se propager à travers le réseau, obtenant l’accès à des systèmes et des ressources supplémentaires.
Le groupe de ransomware Interlock a effectué des mouvements latéraux au sein des réseaux en utilisant des outils d’administration à distance légitimes tels que Putty, Anydesk et RDP. Ces outils sont souvent abusés par les attaquants pour accéder à des systèmes supplémentaires sans être détectés.

Requêtes TI Lookup
PuttythreatName: »putty »
AnydeskthreatName: »anydesk »
RDPthreatName: »rdp »

Le bac à sable ANY.RUN excelle à identifier la présence de ces outils lorsqu’ils sont abusés à des fins malveillantes.

En exécutant des fichiers suspects dans un environnement contrôlé, ANY.RUN peut :

  • Détecter l’exécution d’activités liées à Putty, Anydesk ou RDP.
  • Fournir des informations détaillées sur la façon dont ces outils sont utilisés par les attaquants.

Signature dans le bac à sable interactif d’ANY.RUN indiquant la présence de Putty

TA0010 : Exfiltration de données

Lors de la phase d’exfiltration de données, les attaquants transfèrent les données volées hors du réseau de la victime.
Le groupe de ransomware Interlock a utilisé le stockage cloud Azure pour exfiltrer des données.
À l’intérieur du bac à sable ANY.RUN, vous pouvez voir les données de configuration système envoyées à un serveur de Command and Control (C2) via le RAT.
ANY.RUN capture les données envoyées par le RAT vers des serveurs contrôlés par les attaquants. Dans cet exemple, les journaux ont révélé des informations envoyées à l’adresse IP 217[.]148[.]142[.]19 sur le port 443 :

Trafic réseau du RAT capturé par le bac à sable interactif d’ANY.RUN

En utilisant des outils comme CyberChef, nous pouvons déchiffrer le trafic enregistré (par exemple, les données chiffrées par XOR) pour identifier ce que les attaquants ont exfiltré.

Le déchiffrement avec CyberChef montre que le RAT a envoyé des données système aux attaquants

Ainsi, pendant la phase d’exfiltration des données, les journaux du bac à sable d’ANY.RUN enregistrent le trafic envoyé vers des systèmes externes, permettant aux analystes d’identifier exactement quelles données sont transmises au serveur de l’attaquant.

Avantages clés d’ANY.RUN pour les organisations de santé

ANY.RUN donne aux organisations de santé des outils rapides, sûrs et efficaces pour protéger les données des patients et maintenir des opérations critiques.

  1. Configuration rapide : Commencez à analyser les menaces immédiatement, sans configurations complexes requises.
  2. Intelligence sur les menaces proactive : L’identification précoce des indicateurs malveillants donne aux prestataires de santé une longueur d’avance.
  3. Analyse en temps réel : Observez les activités malveillantes et interagissez avec les menaces instantanément dans un environnement virtuel sécurisé.
  4. Sessions d’analyse illimitées : Effectuez autant d’analyses de logiciels malveillants que nécessaire, sans limites.
  5. Rapports complets : Recevez des rapports détaillés avec des IOCs, des TTPs et des résumés du comportement des logiciels malveillants.

Conclusion

ANY.RUN peut être un outil inestimable à différentes étapes des attaques par ransomware. Lors des enquêtes sur les incidents, TI Lookup peut fournir des données critiques sur la menace en cours. Exécuter des logiciels malveillants dans le bac à sable d’ANY.RUN avant de les exécuter sur une machine locale permet d’identifier de manière proactive la menace et d’analyser en profondeur son comportement. En combinant les outils d’ANY.RUN, les organisations de santé peuvent non seulement améliorer leur compréhension des capacités des menaces, mais également s’assurer qu’elles sont identifiées et atténuées efficacement.

Menu