Connect with us

Technologie

Une possible attaque de ransomware frappe le système italien de réservation de vaccins

Published

on


Une cyberattaque contre le système informatique d’un gouvernement régional italien a interrompu les réservations de vaccination contre le Covid-19 pendant près d’une semaine, mais l’attribution reste trouble.

Le 2 août 2021, des pirates informatiques ont lancé une attaque de logiciels malveillants sur le système informatique du département de la santé du Latium, la région très peuplée entourant Rome, forçant son site officiel et son système de réservation de vaccins Covid à tomber en panne après qu’un grand nombre de fichiers ont été cryptés.

Dans la foulée immédiate de l’attaque, le gouverneur régional Nicola Zingaretti a déclaré qu’elle avait été lancée « par des inconnus… de l’extérieur du pays », mais l’a décrit comme étant de « nature criminelle ou terroriste ».

Dans le but d’arrêter la propagation du logiciel malveillant, tous les serveurs informatiques appartenant au gouvernement de la région ont été fermés.

Les réservations de vaccins ont repris le 5 août sur un nouveau site internet. Une version temporaire du site web de la Lazio a été lancée le 9 août. Les responsables régionaux s’attendent à ce que d’autres services numériques soient à nouveau opérationnels dans les jours et les semaines à venir.

Selon des informations parues dans un journal italien La République, les pirates auraient eu accès au réseau de la Lazio via l’ordinateur d’un employé du gouvernement qui avait été laissé ouvert.

Le système contient des données sur « tous les citoyens » de la région, a écrit Repubblica |, y compris « l’ensemble de la classe dirigeante du pays, à partir de [President] Mattarella à [Prime Minister] Draghi », en raison de l’inclusion de Rome.

Cependant, les enquêteurs sur la cybercriminalité ont déclaré à CNN que des données de santé sensibles, y compris celles de Mattarella et Draghi, n’avaient « pas été violées par les pirates ».

Alors que le cryptage des fichiers indique une attaque ransomware – par lequel les cybercriminels exigent le paiement en échange du décryptage des fichiers – il y a encore de la confusion quant à qui a effectué l’attaque, car la demande de rançon n’a fait aucune demande spécifique et n’a pas déclaré quelle opération ransomware l’avait menée.

BleepingComputer a depuis signalé que l’URL de l’OIGNON inclus sur la demande de rançon est un site Tor connu pour l’opération RansomEXX, mais que cliquer sur la page de négociation ne montre toujours aucune demande de rançon.

En plus de cela, alors que les pages de négociation RansomEXX fournissent généralement des détails sur l’attaque, tels que la quantité de données volées ou des captures d’écran de fichiers, cette page n’a montré aucune indication que RansomEXX a volé des données.

Dans une mise à jour de l’article du 8 août, le chercheur en sécurité italien JAMESWT a déclaré à BleepingComputer qu’il y avait des preuves que l’attaque avait été menée par LockBit 2.0, mais qu’ils n’étaient pas en mesure de partager d’autres informations.

Depuis l’attaque, il a également été confirmé que le FBI et Europol aident la police italienne dans l’enquête sur la cyberattaque.

Jaya Baloo, responsable de la sécurité de l’information chez Avast, a déclaré que les attaques par ransomware étaient généralement la dernière étape d’une chaîne d’événements qui conduit à des réseaux informatiques compromis, ajoutant que pour empêcher les infrastructures de soins de santé critiques de perturbations généralisées à l’avenir, ils doivent sécuriser leurs réseaux et avoir des sauvegardes en ligne et hors ligne en place pour restaurer toute perte de données importantes.

« Lorsqu’une organisation est touchée par un ransomware, les cinq mesures à prendre seraient d’isoler les systèmes affectés, d’identifier et de sécuriser les options de sauvegarde, de collecter des informations de journal et de mener des analyses médico-légales si nécessaire, de tenter d’identifier la souche du ransomware et de voir s’il existe une clé de déchiffrement disponible, et de contacter les forces de l’ordre et de décider de la façon de procéder, », a-t-elle déclaré.

« À l’avenir, ils devraient également créer un plan d’intervention en cas d’incident qui peut les aider à effectuer le triage et fournir non seulement une capacité d’intervention rapide en cas d’incidents de sécurité, mais aussi aider à établir une voie d’amélioration progressive. Cela prendra du temps, mais c’est un processus critique, sinon la porte restera ouverte pour que la même chose se reproduise à l’avenir.

« Malheureusement, nous constatons une augmentation des attaques réussies parce que les ransomwares sont gérés comme un service aux cybercriminels, ce qui augmente à la fois la sophistication et la facilité de lancer une attaque. Nous avons besoin d’une coordination nationale pour améliorer nos défenses dans les infrastructures critiques et d’une coopération internationale pour mettre fin à ces opérations cybercriminelle.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance