Le Federal Bureau of Investigation (FBI) des États-Unis, les départements de la sécurité intérieure et de la santé et des services sociaux (HHS) ont émis mercredi une alerte commune avertissant d’une augmentation « imminente » des ransomwares et autres cyberattaques contre les hôpitaux et les prestataires de soins de santé.

« Les cyberacteurs malveillants ciblent les [Healthcare and Public Health] Secteur avec des logiciels malveillants TrickBot, conduisant souvent à des attaques de ransomwares, au vol de données et à la perturbation des services de santé, « la Cybersecurity and Infrastructure Security Agency m’a dit dans son avis.

Le tristement célèbre botnet se propage généralement par e-mail de spam malveillant à des destinataires peu méfiants et peut voler des données financières et personnelles et déposer d’autres logiciels, tels que des ransomwares, sur des systèmes infectés.

Il convient de noter que les cybercriminels ont déjà utilisé TrickBot contre un important fournisseur de soins de santé, Services de santé universels, dont les systèmes ont été paralysés par le ransomware Ryuk à la fin du mois dernier.

TrickBot a également connu une grave perturbation de son infrastructure ces dernières semaines, avec Microsoft orchestrant un retrait coordonné pour rendre ses serveurs de commande et de contrôle (C2) inaccessibles.

« Le défi ici est à cause des tentatives de démontage, l’infrastructure TrickBot a changé et nous n’avons pas la même télémétrie que nous avions auparavant », a déclaré Alex Holden de Hold Security. Le New York Times.

Bien que le rapport fédéral ne nomme aucun acteur de la menace, l’avis prend note du nouveau cadre de porte dérobée Anchor de TrickBot, qui a récemment été porté sous Linux pour cibler des victimes plus importantes.

« Ces attaques impliquaient souvent l’exfiltration de données à partir de réseaux et d’appareils de point de vente », a déclaré CISA. «Dans le cadre du nouvel ensemble d’outils Anchor, les développeurs de Trickbot ont créé Anchor_DNS, un outil permettant d’envoyer et de recevoir des données depuis les machines victimes à l’aide du tunnel DNS (Domain Name System).»

Comme The Hacker News l’a rapporté hier, Anchor_DNS est une porte dérobée qui permet aux machines victimes de communiquer avec les serveurs C2 via un tunnel DNS pour échapper aux produits de défense du réseau et faire en sorte que leurs communications se fondent dans le trafic DNS légitime.

Un rapport distinct de FireEye coïncide également avec l’avertissement, qui a appelé un groupe de menaces à motivation financière qu’il appelle « UNC1878« pour le déploiement du ransomware Ryuk dans une série de campagnes dirigées contre les hôpitaux, les communautés de retraités et les centres médicaux.

Exhortant le secteur HPH à corriger les systèmes d’exploitation et à mettre en œuvre la segmentation du réseau, CISA a également recommandé de ne pas payer de rançons, ajoutant que cela pourrait encourager les mauvais acteurs à cibler des organisations supplémentaires.

« Sauvegardez régulièrement les données, l’espace aérien et le mot de passe pour protéger les copies de sauvegarde hors ligne », a déclaré l’agence. «Mettre en œuvre un plan de récupération pour conserver et conserver plusieurs copies de données et de serveurs sensibles ou propriétaires dans un emplacement physiquement séparé et sécurisé.