Avril 2024

Cyber threats
Barometer

Les cyber-menaces du mois vues par les analystes CTI de Gatewatcher
175 650
Indicateurs de compromission (IoCs) identifiés
75 263
Rapports de compromission identifiés (groupement d’IoCs)

Éclairage du mois

Seulement quelques mois après l’opération Cronos menée par une coalition internationale, le groupe Lockbit semble connaître un regain d’activité. Malgré les efforts des autorités pour le neutraliser, le groupe cybercriminel a fait une nouvelle victime au sein des établissement de santé. C’est en effet au tour de l’hôpital Simone- Veil de Cannes de déplorer une compromission de ses données qui s’ajoute à la longue liste d’attaques menées ces derniers mois par d’autres acteurs ransomware contre les CHU de Rennes, Brest et Lille.

Une fois les données extraites du CHU le 17 avril 2024, une annonce concernant leur compromission a été réalisée sur le site vitrine de Lockbit le 29 avril 2024. Selon les termes des cybercriminels, l’établissement avait jusqu’au 1 mai 2024 à minuit pour payer la rançon.

Chu Cannes Lockbit
Capture d’écran de l’annonce de la compromission du CHU de Cannes sur le site vitrine de lockbit

En l’absence de volonté de paiement de la rançon, 61 GO de données ont été publiées sur le site vitrine du groupe dans le dark web immédiatement apres la fin de l’ultimatum. Les documents fuités contiennent un grand nombre d’informations sensibles (données personnelles et de santé) sur les patients, le personnel de l’hôpital ainsi que sur le fonctionnement de la structure.

Le mode opératoire de ce groupe très prolifique de Ransomware as a Service (RaaS) ont déjà été longuement décrite dans le dernier CTSR. Lockbit serait actuellement responsable de plus du quart des demandes de rançon en France.

Pour rappel, il est fortement déconseillé de payer ces dernières lorsque l’on est victime d’un ransomware car aucune garantie n’est offerte quant au retrait des données ou à la restauration complète du système.
Les attaques par rançongiciels ne constituent malheureusement pas le seul risque auquel est confronté le secteur de la santé. Pour en savoir plus sur les autres menaces, vous pouvez lire le panorama des menaces visant le domaine de la santé , publié sur le Lab de Gatewatcher.

TOP

VULNÉRABILITÉS CRITIQUES (%)

TOP

SECTEURS  D’ACTIVITÉ VISÉS (%)

Définitions du mois

Le Plan de Continuité d’Activité (PCA) et le Plan de Reprise d’Activité (PRA) sont des pratiques qui s’inscrivent dans un processus de gestion des risques. Bien que souvent utilisées de manières interchangeables, ils se distinguent par leurs objectifs.

Le Plan de Continuité d’Activité est un système holistique ayant pour but d’identifier les différentes menaces pouvant affecter le bon fonctionnement d’une entreprise ou plus spécifiquement d’un système d’information. Le PCA permet également la mise en place de mesures préventives afin que l’organisation puisse maintenir son activité après un aléa en y incluant au besoin un « mode dégradé ». Dans ce cas de figure, seules les fonctions essentielles sont assurées parfois avec une intensité réduite en veillant à garantir qu’il n’y ait jamais d’interruption de service ou de perte/corruption de données.

Le Plan de Reprise d’Activité, quant à lui, intervient en cas de défaillance ou d’absence de PCA. Son objectif est de déterminer les étapes, les moyens et les procédures nécessaires à la reconstruction du système organisationnel affecté ainsi qu’un certain nombre d’éléments associés. On peut notamment citer l’objectif de temps de récupération (RTO), définissant la durée d’interruption des services acceptable, et l’objectif de point de récupération (RPO) déterminant la perte de donnée acceptable (1 heure, 1 jour, 1 mois avant l’incident).

TOP

FAMILLES DE MALWARE (%)

TOP

CATÉGORIES DE MENACES (%)

À propos du cyber threats barometer

Malwares, vulnérabilités critiques, attaques persistantes avancées, secteurs particulièrement visés, signaux faibles de menaces émergentes… Ce n’est un secret pour personne, la connaissance de son environnement cyber est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.

Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de quatre milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.

Demander une démo

Cyber Threats Barometer : Votre résumé mensuel des cyber-menaces vues par les analystes CTI de Gatewatcher
Deco Cta Demo