Le chantage à vos clients est-il la nouvelle tendance d’extorsion?

  • FrançaisFrançais


  • Un assistant de bureau recherche le dossier médical égaré d’un patient dans une clinique familiale au milieu d’une transition vers un système de dossiers de santé électroniques. Le traitement des données des patients reste sous un microscope après l’attaque d’extorsion numérique révélée par un centre de psychothérapie finlandais. (Photo par John Moore / Getty Images)

    La violation de données et l’attaque d’extorsion numérique révélée par le centre de psychothérapie finlandais Vastaamo le mois dernier représente une escalade tactique significative: les coupables ont utilisé des données volées pour faire chanter non seulement l’établissement mais aussi ses patients.

    Les organisations du secteur de la santé et au-delà doivent être conscientes des attaques potentielles par imitation, qui pourraient entraîner des dommages importants à la fois à la réputation et aux résultats. Bien que cet incident isolé ne soit pas censé à lui seul nuire à la profession de la santé mentale dans son ensemble, la confiance dans la capacité de l’industrie à protéger les données privées pourrait chuter si d’autres attaques suivaient.

    Cela dit, malgré toutes les retombées potentielles, les experts disent que la stratégie de ciblage des clients ou des patients des organisations victimes est très inefficace et pas nécessairement si productive. Ce crime d’opportunité, disent-ils, n’a de sens que si les informations exfiltrées sont extrêmement sensibles et que l’individu victime a des poches profondes.

    Les attaquants adoptent une approche inhabituelle

    L’incident de Vastaamo n’est pas entièrement sans précédent. En janvier dernier, il a été rapporté que des attaquants de ransomware se sont infiltrés dans le Center for Facial Restoration de Miramar, en Floride, et ont tenté d’extorquer individuellement les clients de la clinique de chirurgie plastique. (Le ransomware n’a pas été spécifiquement lié à l’affaire Vastaamos.)

    Pourtant, l’attaque contre Vastaamo, qui sert de sous-traitant pour le système de santé publique finlandais, se distingue à la fois par son audace à cibler les patients, ainsi que par la taille même du bassin de victimes potentielles – environ 40000 personnes au total.

    C’est évidemment décevant et problématique, mais je ne suis pas surpris », a ajouté Marcus Christian, associé de la division Cybersécurité et confidentialité des données de Mayer Brown et du groupe White Collar Defense and Compliance. Après tout, a noté Christian, il y avait déjà un précédent où des extorqueurs numériques contactaient des employés individuels dans des organisations et menaçaient de contacter les clients des entreprises.

    Dans ce cas, les attaquants ont effectivement suivi. Selon Vastaamo, les intrus ont accédé aux systèmes de l’entreprise entre novembre 2018 et mars 2019. Les auteurs ont tenté d’extorquer trois employés de l’entreprise en septembre, ont rendu public une quantité limitée de données volées le 21 octobre, puis ont commencé à envoyer un courrier électronique à un nombre non spécifié de clients avec menaces de chantage à partir du 24 octobre.

    Selon les experts, la raison pour laquelle les attaquants ne menacent pas souvent les clients individuels des entreprises piratées est que cela demande beaucoup d’efforts et qu’il existe des moyens plus simples de monétiser leurs activités illicites. Pour cette seule raison, il est possible que l’incident de Vastaamo reste une anomalie parmi les attaques.

    «Je ne vois pas ce type d’extorsion se généraliser», a déclaré Crane Hassold, directeur principal de la recherche sur les menaces chez Agari, et ancien analyste du Cyber ​​Behavioral Analysis Center du FBI. «Le retour sur investissement pour aller plus loin dans ce processus et s’attaquer aux clients d’une organisation ajouterait une quantité considérable de travail au cybercriminel.»

    Christian a convenu que toucher des centaines ou des milliers d’individus «n’est peut-être pas à bien des égards le plus productif [way to] attaquer une entreprise et obtenir peut-être cinq, six, sept chiffres ou plus »dans un paiement.

    D’un autre côté, l’idée que les attaquants pourraient s’attaquer aux clients, clients ou patients individuels d’une entreprise – provoquant un immense cauchemar de relations publiques et une possible perte d’activité – pourrait convaincre les entreprises victimes de payer.

    Pour cette raison, «tenter de faire chanter les individus auxquels se rapportent les données exfiltrées pourrait bien être une évolution naturelle des cas de cyberextorsion et devenir de plus en plus courant», a suggéré Brett Callow, analyste des menaces chez Emsisoft. «L’objectif n’est peut-être pas d’obtenir de l’argent auprès des individus, mais plutôt d’augmenter la pression sur les futures victimes pour qu’elles paient.»

    Le fait que des informations puissent être utilisées de manière malveillante de cette manière est susceptible de concerner beaucoup plus les organisations que les informations simplement publiées sur un site Tor obscur avec une URL qui n’est connue que de quelques-uns, a ajouté Callow. «Et, bien sûr, les organisations peuvent également craindre que cela augmente la probabilité que des poursuites judiciaires soient engagées contre elles.»

    Christian a convenu que les attaquants essaient toujours «d’augmenter la peine des conséquences pour l’entreprise victime s’ils ne paient pas la rançon». Et attaquer les patients vulnérables avec leurs informations confidentielles sur la santé mentale est un moyen idéal pour le faire. «C’est inadmissible, mais sur la base de ce que certains de ces acteurs ont menacé, c’est quelque chose qui était prévisible», a-t-il déclaré, notant qu’il y a plusieurs mois, il a vu les premiers signes de cybercriminels ciblant des clients individuels.

    «Il y a eu beaucoup de développement cette année où les groupes sont de plus en plus effrontés… Ils croient qu’ils peuvent commettre ces crimes en toute impunité», a déclaré Christian.

    Et ce ne sont pas seulement les dossiers médicaux volés qui constituent un bon matériel de chantage. «Les documents juridiques confidentiels ou les dossiers académiques pourraient être des cibles attrayantes pour les cybercriminels» cherchant à extorquer les victimes au niveau individuel, a déclaré Hassold.

    De plus, une attaque comme celle lancée contre les clients de Vastaamo a encore plus de sens du point de vue commercial si les victimes elles-mêmes ont réellement des poches profondes, ont noté les experts. «Pensez aux cabinets de services professionnels avec des clients célèbres», a déclaré Christopher Ballod, directeur général associé de la pratique du cyber-risque de Kroll, une division de Duff & Phelps.

    En effet, il est curieux que le groupe de ransomwares qui a attaqué Grubman, Shire, Meiselas & Sacks plus tôt cette année n’ait pas tenté d’extorquer les clients célèbres du cabinet d’avocats du divertissement au lieu d’exiger du cabinet de débourser des millions de dollars. (Ou s’ils l’ont fait, cela n’a pas été rapporté publiquement.)

    «Ce sont des industries de fiducie: le droit, les services financiers, en particulier les soins de santé mentale», a déclaré Ballod. «Il va presque sans dire que les dommages à la marque… dans l’un de ces secteurs en cas de violation sont potentiellement graves», de sorte que la perspective de contacter directement les clients concernés pourrait être une incitation suffisante pour une organisation à payer.

    Les violations peuvent endommager une marque, mais qu’en est-il d’une industrie?

    Les experts sont divisés sur le point de savoir si les dommages causés par une violation qui cible les clients pourraient avoir un impact sur une industrie dans son ensemble, par rapport à l’organisation victime uniquement.

    Du point de vue de Ballod, les gens se sentiront obligés de continuer à rechercher les services dont ils ont besoin.

    «Vous aurez probablement des personnes qui ont des cicatrices, qui en sont affectées, qui ne voudraient pas y retourner [to therapy], mais la vérité est que si vous avez besoin de l’aide fournie par de tels services, il est difficile d’imaginer qu’une violation de données par un service vous empêchera de chercher ce service ailleurs », a déclaré Ballod. Il a noté que les violations se produisent partout, à tel point que le public devient souvent indifférent en raison de la «fatigue des violations».

    La même règle s’applique aux avocats, comptables et prestataires de services professionnels similaires. Les clients peuvent exiger des détails sur la manière dont leurs informations sont protégées, mais il y a peu de chances qu’ils restent simplement à l’écart.

    Ballod a ajouté cette mise en garde: «Si vous voyez une industrie entière frappée d’un seul coup, à plusieurs reprises», alors tous les paris sont ouverts et les patients potentiels pourraient perdre confiance.

    Christian, cependant, était plus ouvert à l’idée qu’une seule infraction pouvait avoir un impact psychologique négatif sur le public.

    «Si quelqu’un lit cela dans le journal ou le voit en ligne, il ne pense pas seulement à ce qui s’est passé… Il pense aussi à son fournisseur», a déclaré Christian, qui a comparé le scénario à la décision de certaines personnes de refuser d’urgence avait besoin de soins médicaux par crainte de contracter le COVID-19 dans un hôpital ou un établissement médical.

    «Quelqu’un qui a des problèmes de santé mentale peut percevoir le coût potentiel d’aller chercher un traitement comme étant trop élevé en termes d’impact potentiel de sa vie privée», a-t-il déclaré.

    Deborah Baker, directrice de la politique juridique et réglementaire de l’American Psychological Association (APA) – la plus grande organisation scientifique et professionnelle de psychologues aux États-Unis – ne pense pas que l’incident de Vastaamo dissuadera les patients de se faire soigner. «Les rapports de violations massives de données affectant les entreprises de technologie, les systèmes de santé et maintenant cette pratique de santé mentale finlandaise particulière, où les informations sensibles d’un individu pourraient être en danger, ne sont pas nouveaux, et nous n’avons pas vu de preuves que ce risque dissuade les gens de rechercher les soins de santé mentale », a-t-elle déclaré.

    Néanmoins, SC Media a demandé à l’APA comment les professionnels de la santé mentale et leurs oragnisations respectives peuvent inspirer davantage confiance dans le traitement responsable des données des patients.

    «Les lois sur la protection des données comme le RGPD en Europe et la HIPAA aux États-Unis aident à protéger les données de santé personnelles, et cela devrait apporter un certain réconfort au public», a déclaré Baker. «Malheureusement, se conformer à ces exigences de confidentialité des données ne peut pas réduire à zéro le risque d’une éventuelle violation de données. Cependant, ces lois réduisent considérablement les risques et, en cas de violation, définissent clairement les responsabilités de la partie victime de la violation d’informer les personnes concernées. »

    «Cela revient donc à savoir si un fournisseur se conforme de manière adéquate aux exigences de confidentialité des données pertinentes pour sa juridiction et comment ce fournisseur communique ces informations avec les patients», a poursuivi Baker.

    Baker a également déclaré que les patients qui sont particulièrement préoccupés par le partage de certaines informations privées peuvent demander à leur professionnel de la santé mentale s’ils peuvent «documenter les parties sensibles du dossier sur papier».

    Bien qu’il existe des milliers de professionnels qui pourraient probablement répondre à une telle demande, Baker a noté que certains systèmes plus importants sont passés entièrement aux dossiers de santé électroniques.

    «La tendance est de passer aux fichiers électroniques et non au papier», a déclaré Baker. «Avec la pandémie, de nombreux fournisseurs ont dû faire la transition vers la prestation de soins par télésanté. Et cela peut inclure la prestation de soins depuis un endroit autre que le bureau du psychologue, et si le psychologue ne conserve que des dossiers papier, il serait difficile de fournir des soins ailleurs que dans son bureau », a expliqué Baker.

    Mais même les entités de soins de santé qui sont passées principalement au numérique peuvent prendre des mesures pour éviter d’être le prochain Vastaamo, qui a limogé son directeur général la semaine dernière pour avoir prétendument supprimé les détails de la violation et négligé les lacunes de la sécurité de l’information qui ont entraîné deux violations distinctes du système de données.

    Ballod a déclaré que les organisations pourraient potentiellement inspirer plus de confiance aux consommateurs si elles sont transparentes dans la divulgation des mesures qu’elles prennent pour sécuriser les données et si elles peuvent démontrer leur conformité aux lois sur la confidentialité à l’intérieur et à l’extérieur de leur propre juridiction.

    «Il est maintenant temps de l’intensifier et de prendre ces mesures proactives: pour mener des évaluations, pour comprendre qu’ils ont besoin d’une authentification multifactorielle le cas échéant», a déclaré Christian. «Ils ont besoin de mettre à jour leurs systèmes et leurs logiciels. Ils doivent installer des correctifs au moment opportun lorsque les vulnérabilités sont rendues publiques… Et ils doivent créer des cultures où les personnes au sein de leurs organisations seront conscientes des problèmes. Ils vont être formés et donc moins susceptibles d’être victimes de tentatives de phishing, etc.

    «Ils ne réduiront pas le risque à zéro, mais ils peuvent le réduire de manière significative.»

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *