Attaque Green Nailao : quand la cybersécurité des hôpitaux européens est menacée
Imaginez : vos données médicales, les informations sensibles de vos patients, compromises par des pirates informatiques. C’est la réalité que plusieurs hôpitaux européens ont vécue en 2024, victimes d'une cyberattaque sophistiquée baptisée Green Nailao. Plongeons-nous au cœur de cette menace, et découvrons comment elle a opéré et ce que cela signifie pour la sécurité de nos données de santé.
Green Nailao : une menace insidieuse
L'attaque Green Nailao, identifiée par Orange Cyberdefense, a ciblé des organisations européennes, en particulier le secteur de la santé, entre juin et octobre 2024. Ce n’est pas une simple attaque de rançongiciel, mais un opérateur sophistiqué utilisant des tactiques avancées.
Des techniques d'intrusion très avancées
Les pirates ont utilisé une technique appelée "DLL search-order hijacking" pour déployer des implants malveillants connus : ShadowPad et PlugX. Ces outils, souvent associés à des intrusions d'origine chinoise, permettent un accès furtif et une prise de contrôle des systèmes.
- ShadowPad: une porte dérobée modulaire utilisée pour l'espionnage industriel. La version utilisée dans l'attaque Green Nailao était particulièrement obfuscée, rendant son détection difficile.
- PlugX: un backdoor polyvalent permettant aux pirates de contrôler à distance les systèmes compromis. Son déploiement confirmait la complexité de l'attaque.
L'exploitation de la vulnérabilité CVE-2024-24919 dans les passerelles Check Point a été une étape cruciale. «Patched in May 2024 but exploited in the wild since early April 2024 at least, the flaw enables threat actors to read certain information on gateways, and most importantly enumerate and extract password hashes for all local accounts.» Cette faille, corrigée en mai 2024, a permis aux attaquants d'obtenir des identifiants et d'accéder au réseau.
NailaoLocker : un rançongiciel inattendu
L'attaque Green Nailao a également déployé un rançongiciel inédit, baptisé NailaoLocker. Son but premier n'était peut-être pas uniquement financier.
- Double objectif ? Les chercheurs pensent que le rançongiciel servait de couverture pour des activités d'espionnage plus importantes. L'exfiltration de données sensibles était probablement l'objectif principal.
- Faible rentabilité ? L'analyse d'un portefeuille de cryptomonnaie lié à l'attaque suggère que les gains financiers ont été limités. Cela renforce l'hypothèse d'un objectif secondaire.
Un lien avec la Chine ?
Orange Cyberdefense estime qu'il y a une forte probabilité que Green Nailao soit lié à des groupes d'intrusion chinois. L'utilisation de ShadowPad et PlugX, ainsi que les techniques déployées, pointent dans cette direction. «This assessment is based on the use of ShadowPad, an implant almost exclusively associated with Chinese-targeted intrusion operations to date.»
Les conséquences pour le secteur de la santé
Cette attaque met en lumière la vulnérabilité du secteur de la santé aux cyberattaques. Les hôpitaux, avec leurs données sensibles et leurs systèmes parfois obsolètes, sont des cibles de choix.
- Besoin de vigilance accru: La mise à jour des logiciels et la formation du personnel sont essentielles pour renforcer la cybersécurité.
- Amélioration des mesures de sécurité: Des solutions de sécurité plus robustes sont nécessaires pour protéger les systèmes et les données médicales.
Que retenir de l'attaque Green Nailao ?
L'attaque Green Nailao illustre la sophistication croissante des cybermenaces et la nécessité pour les organisations, particulièrement dans le secteur de la santé, de renforcer considérablement leur sécurité. La rapidité de réaction face à une vulnérabilité est capitale. Il est temps de prendre la sécurité des données au sérieux, car la prochaine cible pourrait être votre hôpital.
