Un rapport cinglant du Commissaire australien à l’information détaille comment des erreurs de configuration et des alertes manquées ont permis à un pirate informatique de violer Medibank et de voler les données de plus de 9 millions de personnes.

En octobre 2022, le fournisseur australien d’assurance maladie Medibank a révélé qu’il avait subi une cyberattaque qui avait perturbé les opérations de l’entreprise.

Une semaine plus tard, l’entreprise a confirmé que les auteurs de la menace avaient volé toutes les données personnelles de ses clients et un grand nombre de données sur les allégations de santé, provoquant une violation de données qui a touché 9,7 millions de personnes.

Les données de l’attaque ont ensuite été divulguées par un gang de rançongiciels connu sous le nom de BlogXX, qui serait une ramification du gang de rançongiciels shutdown REvil.

L’attaque a finalement été liée à un ressortissant russe nommé Aleksandr Gennadievich Ermakov, qui a été sanctionné par l’Australie, le Royaume-Uni et les États-Unis.

Conclusions de l’OAIC
Dans un nouveau rapport publié par le Bureau du Commissaire australien à l’information (OAIC), l’enquête de l’agence a déterminé que des défaillances opérationnelles importantes ont permis au pirate informatique de violer le réseau de Medibank.

« Le Commissaire allègue qu’entre mars 2021 et octobre 2022, Medibank a gravement interféré avec la vie privée de 9,7 millions d’Australiens en omettant de prendre des mesures raisonnables pour protéger leurs informations personnelles contre les abus et les accès ou divulgations non autorisés en violation de la Loi de 1988 sur la protection de la vie privée », lit-on dans un communiqué de presse de l’OAIC.

Selon le rapport, tout a commencé avec un entrepreneur Medibank (opérateur de centre de services informatiques) utilisant son profil de navigateur personnel sur son ordinateur de travail et enregistrant ses informations d’identification Medibank dans le navigateur.

Ces informations d’identification ont ensuite été synchronisées avec son ordinateur personnel, qui a été infecté par des logiciels malveillants voleurs d’informations, permettant aux auteurs de la menace de voler tous les mots de passe enregistrés dans son navigateur le 7 août 2022. Ces informations d’identification permettaient d’accéder à la fois à un compte standard et à un compte d’accès élevé (administrateur) chez Medibank.

« Au cours de la Période concernée, le compte administrateur avait accès à la plupart (sinon à la totalité) des systèmes de Medibank, y compris les lecteurs réseau, les consoles de gestion et l’accès au bureau à distance aux serveurs jump box (utilisés pour accéder à certains répertoires et bases de données de Medibank) », lit le rapport de l’OAIC.

On ne sait pas si l’attaquant à l’origine de la violation de Medibank a acheté les informations d’identification volées sur un marché de la cybercriminalité en ligne sur le Dark Web ou a mené la campagne de logiciels malveillants de vol d’informations.

Cependant, l’auteur de la menace a commencé à utiliser ces informations d’identification le 12 août pour d’abord violer le serveur Microsoft Exchange de l’entreprise, puis plus tard pour se connecter à la mise en œuvre du réseau privé virtuel (VPN) Palo Alto Networks Global Protect de Medibank, fournissant un accès interne au réseau d’entreprise.

Le rapport indique que Medibank n’a pas réussi à protéger les données des utilisateurs car il n’avait pas appliqué l’authentification multifacteur sur les informations d’identification VPN et permettait à toute personne ayant accès aux informations d’identification de se connecter à l’appareil.

« L’auteur de la menace a pu s’authentifier et se connecter au VPN Global Protect de Medibank en utilisant uniquement les informations d’identification de Medibank car, pendant la période concernée, l’accès au VPN Global Protect de Medibank ne nécessitait pas au moins deux preuves d’identité ou une authentification multifacteur (MFA). Au contraire, le VPN Global Protect de Medibank a été configuré de manière à ce que seul un certificat d’appareil, ou un nom d’utilisateur et un mot de passe (tels que les informations d’identification de Medibank), soient requis », poursuit le rapport.

En utilisant cet accès au réseau interne, l’auteur de la menace a commencé à se propager à travers les systèmes, volant 520 Go de données de la base de données MARS de l’entreprise et des systèmes MPLFiler entre le 25 août et le 13 octobre 2022.

Ces données comprenaient les noms des clients, les dates de naissance, les adresses, les numéros de téléphone, les adresses électroniques, les numéros Medicare, les numéros de passeport, les informations relatives à la santé et les données sur les réclamations (telles que les noms des patients, les noms des prestataires, les codes de diagnostic et de procédure primaires/secondaires et les dates de traitement.

Pour aggraver les choses, le rapport allègue que le logiciel EDR de l’entreprise a déclenché des alertes sur des comportements suspects les 24 et 25 août, qui n’ont pas été correctement triés.

Ce n’est qu’à la mi-octobre, lorsque Medibank a fait appel à une société de renseignement sur les menaces pour enquêter sur un incident Microsoft Exchange ProxyNotShell, qu’ils ont découvert que des données avaient déjà été volées lors de la cyberattaque.

Protection des informations d’identification avec MFA
Avec des milliards d’informations d’identification volées par des logiciels malveillants voleurs d’informations et des violations de données, cela crée une surface d’attaque massive contre laquelle il est difficile de se défendre sans défenses supplémentaires, telles que l’authentification multifacteur.

Toutes les organisations doivent fonctionner en supposant que leurs informations d’identification d’entreprise ont été exposées d’une manière ou d’une autre, et donc, l’utilisation de la MFA ajoute une défense supplémentaire qui rend beaucoup plus difficile pour les acteurs de la menace de violer un réseau.

Cela est particulièrement vrai pour les passerelles VPN, qui sont conçues pour être exposées publiquement sur Internet afin de permettre aux employés distants de se connecter aux réseaux d’entreprise.

Cependant, cela fournit également une surface d’attaque couramment ciblée par les gangs de ransomwares et d’autres acteurs de la menace pour violer les réseaux et doit donc être protégée par des défenses supplémentaires, telles que l’AMF.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *