Le Département américain de la Santé et des Services sociaux (HHS) avertit que les pirates informatiques utilisent désormais des tactiques d’ingénierie sociale pour cibler les services d’assistance informatique dans le secteur de la santé et de la Santé publique (HPH).

L’alerte sectorielle émise par le Centre de Coordination de la cybersécurité du secteur de la santé (HC3) cette semaine indique que ces tactiques ont permis aux attaquants d’accéder aux systèmes des organisations ciblées en inscrivant leurs propres appareils d’authentification multifacteur (MFA).

Lors de ces attaques, les auteurs de la menace utilisent un indicatif régional pour appeler des organisations se faisant passer pour des employés du service financier et fournissent des informations de vérification d’identité volées, y compris des identifiants d’entreprise et des numéros de sécurité sociale.

En utilisant ces informations sensibles et en affirmant que leur smartphone est cassé, ils convainquent le service d’assistance informatique d’inscrire un nouvel appareil dans MFA sous le contrôle de l’attaquant.

Cela leur donne accès aux ressources de l’entreprise et leur permet de rediriger les transactions bancaires dans les attaques de compromission de messagerie professionnelle.

« L’auteur de la menace ciblait spécifiquement les informations de connexion liées aux sites Web des payeurs, où il soumettait ensuite un formulaire pour apporter des modifications ACH aux comptes des payeurs », explique HC3 [PDF].

« Une fois que l’accès aux comptes de messagerie des employés a été obtenu, ils ont envoyé des instructions aux processeurs de paiement pour détourner les paiements légitimes vers des comptes bancaires américains contrôlés par des attaquants. »

« Les fonds ont ensuite été transférés sur des comptes à l’étranger. Au cours de la campagne malveillante, l’auteur de la menace a également enregistré un domaine avec une variante à une seule lettre de l’organisation cible et créé un compte usurpant l’identité du directeur financier de l’organisation cible. »

Dans de tels incidents, les attaquants peuvent également utiliser des outils de clonage vocal d’IA pour tromper les cibles, ce qui rend plus difficile la vérification des identités à distance. C’est maintenant une tactique très populaire, avec 25% des personnes ayant subi une arnaque d’usurpation d’identité vocale par IA ou connaissant quelqu’un qui l’a fait, selon une récente étude mondiale.

Vibrations d’araignées dispersées
Les tactiques décrites dans l’alerte du département de la Santé sont très similaires à celles utilisées par le groupe de menaces Scattered Spider (alias UNC3944 et 0ktapus), qui utilise également le phishing, le bombardement MFA (alias fatigue MFA) et l’échange de cartes SIM pour obtenir un accès initial au réseau.

Ce gang de cybercriminels se fait souvent passer pour des employés informatiques pour inciter le personnel du service client à leur fournir des informations d’identification ou à exécuter des outils d’accès à distance pour violer les réseaux des cibles.

Des pirates informatiques dispersés ont récemment crypté les systèmes de MGM Resorts à l’aide du ransomware BlackCat/ALPHV. Ils sont également connus pour la campagne 0ktapus, dans laquelle ils ont ciblé plus de 130 organisations, dont Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games et Best Buy.

Le FBI et la CISA ont publié un avis en novembre pour mettre en évidence les tactiques, techniques et procédures (TTP) de Scattered Spider en réponse à leurs attaques de vol de données et de ransomware contre une longue série d’entreprises de premier plan.

Cependant, HC3 indique que des incidents similaires dans le secteur de la santé signalés jusqu’à présent n’ont pas encore été attribués à un groupe de menace spécifique.

Pour bloquer les attaques ciblant leurs services d’assistance informatique, il est conseillé aux organisations du secteur de la santé de:

  • Exiger des rappels pour vérifier les employés demandant des réinitialisations de mot de passe et de nouveaux appareils MFA.
  • Surveillez les changements ACH suspects.
  • Revalider tous les utilisateurs ayant accès aux sites Web des payeurs.
  • Considérez les demandes en personne pour des questions sensibles.
  • Exiger des superviseurs qu’ils vérifient les demandes.
  • Former le personnel du service d’assistance à l’identification et au signalement des techniques d’ingénierie sociale et à la vérification de l’identité des appelants.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *