Sirius Healthcare et Semperis aident les cabinets médicaux à déjouer les effets dévastateurs et à renforcer leur position en matière de sécurité
Lorsqu'un cabinet médical privé spécialisé dans l'orthopédie a été menacé par une attaque de ransomware, il a pris des mesures rapides pour minimiser l'impact.
L'environnement Microsoft Active Directory (AD) complexe et distribué du cabinet médical comprenait plus de 130 serveurs et 25 contrôleurs de domaine (DC), ce qui le rendait vulnérable à une attaque de ransomware dans le domaine de la santé.
Ce grand cabinet d'orthopédie, de kinésithérapie et de médecine sportive comptait 30 sites et plus de 2 000 employés. L'environnement AD distribué de l'organisation était donc complexe, avec plus de 100 serveurs et des dizaines de DC. Ce type de système complexe est un rêve devenu réalité pour les acteurs de la menace, qui adorent cibler les vulnérabilités AD et les modifications de configuration dans les tentatives de ransomware dans le domaine de la santé.
Un courriel de phishing conduit à une attaque de ransomware dans le secteur de la santé
Dans ce cas, les attaquants ont commencé par exploiter les faiblesses, les mauvaises configurations et les angles morts de l'environnement AD du cabinet.
- Grâce à un courriel d'hameçonnage réussi, les attaquants ont obtenu un accès initial à l'environnement du cabinet de soins de santé.
- À partir de là, les attaquants ont effectué des mouvements latéraux, réussissant à compromettre des comptes privilégiés.
- Les auteurs de la menace ont établi la persistance de l'accès administratif à de nombreux systèmes critiques de l'organisation.
Lorsque l'attaque par ransomware a été découverte, les attaquants avaient utilisé le mouvement latéral et l'escalade des privilèges pour compromettre plusieurs AD DC ainsi que la forêt et le domaine de l'entreprise. Heureusement, le client n'avait pas encore subi d'exfiltration de données ou d'impacts opérationnels significatifs.
Nous avions ce que nous pensions être une mise en œuvre réfléchie du réseau. Nous avons déployé des efforts raisonnables pour renforcer la sécurité, mais il y a toujours des choses que l'on peut faire mieux, et cela s'est retourné contre nous. Nous avons été victimes d'une attaque par ransomware. L'attaque a été assez brutale et a touché la plupart de nos systèmes.
CTO, pratique des soins de santé orthopédiques
Réponse, détection et remédiation rapides
L'organisation s'est tournée vers Sirius Healthcare, un intégrateur américain de solutions commerciales basées sur la technologie, pour obtenir de l'aide en matière de réponse aux incidents et de remédiation. Sirius a fait appel à Semperis pour son expertise dans la défense des environnements hybrides et multiclouds et la fourniture de solutions de sécurité AD spécifiques.
L'équipe a trouvé un DC qui n'avait pas été touché par l'attaque, ce qui a contribué à l'effort de récupération. Parmi les autres aspects clés de la reprise, citons la fermeture immédiate des accès à risque et une analyse et un nettoyage approfondis de l'AD. Par exemple, Semperis a demandé à l'équipe de.. :
- Réinitialiser son ticket Kerberos (KRBTGT), une confiance à trois voies qui garde les portes du réseau.
- Réinitialiser deux fois les mots de passe des comptes
- Désactiver les services de spooler d'impression fonctionnant sur tous les DCs
Nous avons pris un grand nombre de mesures immédiates pour lutter contre l'attaque, notamment la mise en quarantaine des DC affectés, la fermeture des accès à risque et la recherche de DC propres pour nous aider à récupérer.
CTO, pratique des soins de santé orthopédiques
Se défendre contre les futures attaques de ransomware dans le secteur de la santé
"Une fois remis sur pied, nous devions nous assurer que les malfaiteurs avaient quitté notre environnement", explique le directeur technique du cabinet. "À ce stade, nous ne savions pas si nous étions toujours compromis. Nous devions partir du principe qu'ils étaient partout, et nous devions les trouver et les éliminer".
Sirius et Semperis ont aidé le cabinet à surveiller son environnement afin de déterminer si les attaquants continuaient à faire de la reconnaissance. Les outils de sécurité de Semperis axés sur AD, y compris la solution de détection et de réponse aux menaces Directory Services Protector (DSP), ont aidé l'organisation à obtenir une image précise et complète de l'incident et de sa position en matière de sécurité AD.
L'outil DSP a tenu ses promesses, mais je pense que la véritable valeur de l'intervention de Semperis réside dans son personnel et dans sa connaissance approfondie d'AD et des attaques basées sur AD.
CTO, pratique des soins de santé orthopédiques
Désormais, DSP scanne et surveille en permanence l'environnement informatique du cabinet orthopédique, à la recherche de configurations AD erronées que les attaquants pourraient exploiter pour obtenir un accès. En outre, DSP suit les modifications apportées à AD et permet d'annuler automatiquement les activités malveillantes, qu'il s'agisse d'attaques d'acteurs de la menace ou d'erreurs innocentes commises par des membres de l'équipe informatique interne.
La plus grande valeur de DSP est peut-être sa capacité à examiner AD plus en profondeur que les outils de sécurité traditionnels. DSP suit le flux de réplication AD, ce qui permet de détecter des attaques sophistiquées et auparavant invisibles telles que DC Shadow - une attaque de la chaîne d'exécution à un stade avancé qui permet à des attaquants disposant d'informations d'identification privilégiées d'enregistrer des contrôleurs de domaine malhonnêtes. Avec l'augmentation des attaques de ransomware dans le secteur de la santé, de telles mesures préventives sont vitales.
DSP Des contrôles sont en place pour surveiller en permanence l'environnement AD hybride du cabinet orthopédique. Les indicateurs d'exposition (IOE) aux ransomwares ou à d'autres attaques et les changements suspects sont signalés pour faire l'objet d'une attention immédiate.
"Nous avons vraiment commencé à passer à la vitesse supérieure", a déclaré le directeur technique. "Nous utilisons désormais DSP pour nous alerter sur les changements de stratégie de groupe. [Les stratégies de groupe contrôlent en partie ce que les utilisateurs peuvent ou ne peuvent pas faire sur un système informatique]. Cela nous a permis de mettre en œuvre des processus [internes] de contrôle et d'amélioration des changements plus solides afin d'empêcher les activités informatiques malhonnêtes qui peuvent être pratiques pour nous, mais qui ne sont pas sûres."
A propos de Sirius Healthcare (une société CDW)
À chaque étape du continuum des soins de santé et tout au long du cycle de vie de la technologie, Sirius Healthcare fournit les meilleures solutions technologiques multifournisseurs qui aident les organismes de soins de santé à améliorer la qualité des soins, à contrôler les coûts, à renforcer la sécurité, à se conformer aux réglementations et à étendre leur portée aux communautés. Pour en savoir plus sur Sirius Healthcare, appelez Sirius dès aujourd'hui au 800-460-1237 pour discuter de vos besoins.
