GlobalSign Blog

Série Cyber Autopsie : Le portail d'enregistrement des vaccinations Covid d'Italie

Série Cyber Autopsie : Le portail d'enregistrement des vaccinations Covid d'Italie

Note de la rédaction : octobre marque le mois national de la cybersécurité, un mois complet consacré à la création d'un monde plus cyber-sécurisé pour nous tous. Précédemment, nous vous avons donné 31 conseils pour vous aider à devenir #becybersmart. Cette année, pour attirer l'attention sur ce sujet important, nous ajoutons plusieurs nouveaux cas à notre dossier Cyber Autopsie, qui auraient pu être évités si de meilleures défenses avaient été mises en place. Rejoignez-nous tous les vendredis d'octobre pour découvrir l'une de ces cyberattaques notoires et restez dans les parages pour découvrir des idées et des enseignements qui pourraient bien vous permettre de ne pas figurer sur la liste.

Cyber Victime:

Le portail d'enregistrement des vaccinations pour le COVID-19 en Italie. Hébergé sur le site web de la région de Rome en Italie et considéré comme l'un des plus grands sites de réservation en ligne, il était utilisé par des milliers d'Italiens pour se faire vacciner. Cette attaque fait écho à d'autres opérations liées au vaccin Covid-19 ou au passeport sanitaire européen.

Détails du cas : 

Cette attaque contre le gouvernement et dans le contexte de la crise sanitaire est considérée comme la plus importante cyberattaque contre les institutions de l'administration publique italienne. En s'introduisant sur la plateforme, les pirates ont réussi à bloquer ses services et ont utilisé un ransomware pour exiger un paiement en échange de données. "Il s'agit d'une attaque informatique très puissante, très grave, et tout a échoué", a souligné le directeur de la santé de la Lazio, Alessio d'Amato. Les pirates ont eu accès aux données personnelles de citoyens italiens qui attendaient leur rendez-vous de vaccination, mais les autorités ont déclaré qu'aucune donnée n'avait été volée.

Cyber historique : 

Auparavant, le portail d'enregistrement des vaccinations n'avait jamais été attaqué, mais selon les données de l'Association italienne de cybersécurité, il y a eu environ 1 900 cyberattaques graves contre le domaine public italien en 2020, dont 10 % étaient liées au COVID-19. Dans le monde entier, on a assisté à une explosion de ce type d'attaques sur les données et les plateformes liées à la vaccination ou aux laissez-passer sanitaires en 2021. C'est le cas de Walgreen's, un groupe de pharmacies américaines, dont la base de données contenant des listes de personnes ayant été vaccinées a été piratée. Il y a également eu le piratage plus récent des ventes de santé passées en Europe.

Description des événements : 

L'attaque du portail des vaccins a eu lieu dans la nuit du 31 juillet 2021. Les citoyens qui ont voulu se connecter au site de Salute Lazio (Santé du Latium) après minuit ont vu apparaître le message "Bad Gateway". Les informaticiens ont immédiatement compris qu'un virus ransomware, généralement conçu pour obtenir une rançon de l'entreprise qu'il avait infectée, avait été lancé. Pour ne rien arranger, certains éléments indiquaient que le virus appartenait à la famille des "cryptolockers", considérée comme l'une des plus puissantes. En conséquence, les pirates ont pu crypter des fichiers et bloquer toute activité du système, y compris le centre de réservation des vaccins Covid-19. Le site infecté a été immédiatement isolé.

Systems/Parties Impacted: 

Les dommages causés par l'attaque ont été immédiats. Pendant plusieurs jours, la région n'a pas été en mesure d'organiser des rendez-vous de vaccination, alors que Rome espérait vacciner 80 % des 12-18 ans avant le début de l'année scolaire. Les activités de 80 centres ont diminué et de nombreuses personnes qui avaient été vaccinées quelques jours avant l'attaque n'ont pas pu obtenir le fameux "passeport santé" leur permettant de voyager. Mais les dégâts vont bien au-delà, car le site web contenait les données privées et les dossiers médicaux de 5,8 millions d'Italiens. Les autorités ont toutefois affirmé qu'aucune donnée n'avait été volée.

Mode of Entry: 

Selon des sources rapportées par BleepingComputer, un cybergroupe connu sous le nom de RansomeXX a planifié l'attaque. Selon les rapports, dans la lettre d'extorsion, l'attaquant a fourni à la Lazio un lien vers une page du Dark Web afin de communiquer avec les cyber-escrocs. Le pirate a utilisé le code d'accès de l'un des administrateurs du système pour s'introduire sur la plateforme, rendant toutes les données du site web difficiles à comprendre. Les responsables de la région ont fermé le système, craignant que le "code de verrouillage" n'attaque les sauvegardes restantes. 

L'opération de ransomware-as-a-service (RaaS) RansomeXX, anciennement connue sous le nom de Defray777, est active depuis 2018 mais s'est fait connaître en 2020 après des attaques contre de grandes organisations, notamment le ministère des Transports du Texas.  RansomeXX a commencé comme une variante Windows, mais une variante Linux a été découverte en janvier 2021. Le ransomware est généralement livré en tant que charge utile secondaire en mémoire sans jamais toucher le disque, ce qui le rend plus difficile à détecter et très évasif. En février 2021, le ransomware RansomeXX a frappé la Mutuelle Nationale des Hospitaliers (MNH), une compagnie d'assurance maladie française, perturbant gravement ses opérations.

Le plus curieux et le plus inquiétant dans cette attaque est qu'elle ne semble pas être isolée. Selon Chuck Everette, directeur de la défense en matière de cybersécurité de la société de cybersécurité Deep Instinct Ltd, "l'attaque du portail de vaccination du Latium semble faire partie d'une attaque de la chaîne d'approvisionnement et n'est donc pas un incident isolé. Comme cette attaque fait partie d'une campagne plus large, elle est susceptible d'inquiéter davantage d'autres agences gouvernementales et organisations de santé dans le monde."

Diagnostic final :  

Alors, ransomware ? Terrorisme politique ? Les autorités s'interrogent. La cybercriminalité est un fléau en pleine expansion. Selon l'agence européenne de cybersécurité, 10 milliards d'euros de rançons ont été versés dans le monde par des entreprises en 2019. Des dizaines d'hôpitaux dans le monde, en Australie, en France, en Irlande ou aux États-Unis, ont été rançonnés et les principaux réseaux situés en Ukraine, en Russie, à Taïwan ou au Vietnam sont connus. 

Cependant, le cas du Latium est intriguant. En attaquant le système de santé en pleine pandémie de Covid, les pirates se sont mis sous les feux de la rampe. Les négociations pour obtenir une rançon nécessitent de la discrétion, car aucune institution ne veut donner l'impression de se soumettre aux délinquants. De plus, l'attaque a eu lieu cinq jours avant l'entrée en vigueur du "laissez-passer vert" obligatoire pour les espaces publics fermés et pour les déplacements. La bataille politique fait rage : les mouvements "no vax" et "no green pass" manifestent chaque jour. L'attaque de la plateforme Salute Lazio pourrait donc être un acte de terrorisme politique réalisé avec la collaboration de mercenaires cybercriminels recrutés sur le Dark Web.

Nous ne connaîtrons peut-être jamais toute l'histoire, mais les signaux d'alarme pour les institutions publiques de santé sont clairs. 

iStock-1053433252.jpg
 

Share this Post