Le 9 février 2025, l'hôpital Mackay Memorial de Taipei, à Taiwan, a été touché par le ransomware Crazy Hunter. Quelques jours plus tard, une deuxième attaque a touché l'hôpital chrétien de Changhua, situé à proximité.1 Les attaquants ont accédé aux environnements Active Directory (AD) des hôpitaux et, une fois à l'intérieur, ils ont pu désactiver les mécanismes de sécurité, élever les privilèges et exécuter des codes malveillants pour verrouiller les systèmes, tout en chiffrant et en dérobant des millions de dossiers médicaux.
Ces incidents s'inscrivent dans le cadre d'une augmentation globale des cyberattaques contre les systèmes de santé, où les attaquants s'appuient sur le fait que le rétablissement des services médicaux est une question de vie ou de mort. Et ils savent comment exploiter les environnements d'identité complexes et hybrides dont dépendent les organismes de santé - en accédant à l'AD.
Pourquoi la sécurité d'Active Directory est essentielle pour les organismes de santé
Les attaques contre les organismes de santé offrent aux cybercriminels la possibilité de s'enrichir à plusieurs niveaux. En amont, les attaquants extorquent d'énormes rançons. En aval, les dossiers médicaux volés constituent un trésor de données personnelles, prêtes à être exploitées.
Comme l'a révélé Semperis dans son Rapport sur les risques liés aux ransomwares en 2024les premières attaques contre les organismes de santé sont extrêmement réussies, créant un chaos immédiat et un besoin urgent de rétablir les soins pour les patients. Mais la menace ne s'arrête pas à la première attaque. Parmi les organismes de santé qui ont déclaré avoir été attaqués, 35 % ont indiqué avoir subi plusieurs attaques simultanées. Et même lorsqu'ils ont payé la rançon - souvent plusieurs fois - 40 % d'entre eux ont tout de même subi une perte de données.
La cible principale des acteurs malveillants qui cherchent à pénétrer dans les systèmes de santé - ainsi que dans d'autres secteurs très ciblés tels que la finance et la fabrication - est AD. En tant que service d'identité central, AD est la source d'accès aux systèmes existants, aux architectures hybrides complexes et à une myriade d'appareils connectés.
Cela signifie que la sécurité AD est d'une importance capitale à tous les niveaux pour toute industrie critique.
Comment les pirates exploitent les failles de sécurité de l'AD
Bien que l'enquête soit en cours sur la source initiale de l'intrusion dans les hôpitaux taïwanais, les autorités savent que les attaquants ont spécifiquement ciblé les environnements AD des hôpitaux. Dans son rapport technique sur la cybersécurité 2024 (CTR) Détection et atténuation des compromissions d'Active Directoryl'alliance Five Eyes a publié des conseils pour remédier aux vulnérabilités de la sécurité de l'AD, notant que l'un des principaux défis de la sécurisation de l'AD est que chaque utilisateur dispose d'autorisations qui permettent à un attaquant d'identifier et d'exploiter les faiblesses.
Il existe de nombreux moyens pour les acteurs malveillants d'accéder à AD :
- Compromettre un utilisateur AD par ingénierie sociale ou hameçonnage.
- Utilisation d'une passerelle Remote Desktop Gateway (RD Gateway) exposée et mal configurée et d'informations d'identification volées pour obtenir un accès RDP direct à des systèmes internes.
- Utiliser des informations d'identification compromises pour s'authentifier via des solutions VPN qui n'appliquent pas l'authentification multifactorielle (MFA), ce qui permet aux attaquants de pénétrer dans le réseau.
- Utiliser des informations d'identification valides ou des vulnérabilités exploitées pour tirer parti d'environnements Citrix/VDI orientés vers l'Internet et mal ou insuffisamment sécurisés.
- Exploiter les vulnérabilités ou les mauvais contrôles d'authentification dans les portails auto-hébergés (par exemple, les systèmes de ressources humaines, les outils d'assistance).
- Utiliser la pulvérisation de mots de passe contre des points d'authentification accessibles de l'extérieur, tels que OWA, VPN ou les portails SSO.
Une fois qu'une brèche a été ouverte dans AD, les attaquants peuvent utiliser cet accès pour :
- Exploiter des mots de passe faibles par des attaques par force brute telles que les techniques de pulvérisation de mots de passe.
- Lancer une attaque AS-REP Roasting , si l'hôpital dispose de systèmes et d'applications hérités qui ne prennent pas en charge la préauthentification Kerberos.
- Utilisation d'informations d'identification privilégiées pour modifier les objets de stratégie de groupe (GPO) d'AD afin de propager le ransomware.
- Accéder aux comptes de service hérités, qui sont courants et souvent très privilégiés dans les environnements hospitaliers et peuvent conduire à une escalade des privilèges ; par exemple, demander un ticket de service pour un compte d'administrateur de domaine hérité qui a un nom de principal de service (SPN) défini et effectuer un Kerberoasting pour essayer de récupérer le mot de passe en clair du compte, ce qui conduit immédiatement à des privilèges d'administrateur de domaine.
Comment CrazyHunter a navigué dans l'AD de l'intérieur
Le Mackay Memorial a remarqué une anomalie du système le 9 février. L'hôpital a immédiatement signalé le problème au centre d'analyse et de partage de l'information sur la sécurité de l'information (H-ISAC) du ministère taïwanais de la santé et des affaires sociales, qui a déployé une équipe d'intervention rapide pour accélérer le rétablissement.
Mais les dégâts se sont rapidement aggravés. Plus de 500 ordinateurs de l'hôpital sont tombés en panne, les dossiers des patients et les systèmes critiques ont été cryptés et les services d'urgence ont été paralysés. Les services médicaux ont été rétablis en l'espace d'une journée, mais les données personnelles de plus de 16,6 millions de patients ont été volées et vendues par les attaquants, Hunter Ransom Group.2
Le ransomware CrazyHunter a suivi une trajectoire qui pourrait être utilisée pour exploiter les vulnérabilités de la sécurité AD dans n'importe quelle organisation.
Augmentation des privilèges et déplacement latéral vers les GPO
Une fois à l'intérieur des comptes AD compromis, les attaquants ont élevé leurs privilèges dans AD, probablement en exploitant des configurations erronées ou des autorisations insuffisantes.
Ensuite, les attaquants ont utilisé des objets de stratégie de groupe (GPO) pour distribuer des exécutables malveillants conçus pour le chiffrement, la manipulation de processus et l'évasion de sécurité. Parce qu'ils permettent des contrôles étendus dans AD, les GPO sont couramment utilisés dans les attaques de ransomware pour exécuter des charges utiles sur plusieurs systèmes simultanément.
Évasion de la défense : Attaque "Bring Your Own Vulnerable Driver" (Apportez votre propre conducteur vulnérable)
Les attaques BYOVD s'appuient sur des pilotes signés mais vulnérables pour élever les privilèges et exécuter du code en mode noyau. Dans ce cas, les attaquants ont déployé le pilote Zemana vulnérable zam64.sys - le pilote de signature légitime de l'outil de protection contre les logiciels malveillants ZAM. Dans les attaques BYOVD typiques, le pilote est exploité pour lancer des attaques par élévation de privilèges et désactiver les mécanismes de sécurité tels que les solutions de protection ou de détection et de réponse des points finaux (EDR).
Comment améliorer la résilience opérationnelle des services critiques ?
Comme l'explique le CTR Five Eyes, une fois que les attaquants ont infiltré AD, ils profitent de la complexité des relations entre les utilisateurs et les systèmes. Ces interconnexions souvent cachées permettent aux acteurs malveillants de déguiser des actions malveillantes en modifications AD "normales", ce qui leur permet de s'introduire librement dans le système d'identité.
Pour garantir la résilience opérationnelle, les entreprises doivent utiliser des solutions de sécurité AD spécialisées pour remédier aux vulnérabilités de la sécurité AD, détecter les comportements anormaux qui peuvent indiquer une attaque imminente, et permettre une reprise rapide lorsqu'une attaque se produit inévitablement.
1. Mettre en œuvre la détection et la réponse aux menaces liées à l'identité (ITDR)
Semperis Directory Services Protector (DSP) assure une surveillance continue et permet des actions proactives afin de réduire la surface d'attaque des environnements AD les plus vastes et les plus complexes. DSP peut :
- Identifier toute configuration AD suspecte, y compris les autorisations GPO douteuses.
- Identifier tous les comptes de service dont le chiffrement est faible
- Visibilité des comptes de service susceptibles d'être utilisés pour se connecter de manière interactive (ce qui est un signe fort de compromission).
- Identifier tous les comptes qui sont encore susceptibles de faire l'objet d'un AS-REP Roasting afin de permettre la remédiation de ces comptes, si possible, ou une surveillance étroite, si la remédiation n'est pas possible.
2. Détecter et atténuer les menaces
En plus de remédier de manière proactive aux vulnérabilités de sécurité AD, les entreprises devraient mettre en œuvre une solution automatisée de détection des attaques en temps réel, telle que Semperis Lightning Identity Runtime Protection (IRP). Grâce à l'utilisation d'algorithmes d'intelligence artificielle spécialement entraînés à partir d'expériences réelles d'attaques d'identité, cette solution permet aux défenseurs de la sécurité de réduire le bruit de la surveillance et de se concentrer sur les alertes critiques qui peuvent indiquer une attaque imminente. Lightning IRP peut :
- Identifier les tentatives des acteurs de la menace pour voler des tickets de service avec un chiffrement faible
- Identifier les activités de connexion anormales des comptes compromis
- Détecter les schémas indiquant la présence d'attaques par pulvérisation de mot de passe et par force brute.
3. Assurer la résilience grâce à un rétablissement rapide de l'AD
Dans le cas d'une attaque paralysante ou d'une violation connue, la capacité de récupérer AD rapidement et dans un état de confiance est essentielle pour permettre aux organisations de refuser de payer la rançon et de réduire les impacts coûteux.
Une solution de récupération comme Semperis Active Directory Forest Recovery (ADFR)- qui peut récupérer AD sans risquer une réinfection par des logiciels malveillants et des attaques ultérieures - est essentielle lorsqu'une violation grave a été détectée et qu'un nettoyage manuel est considéré comme trop risqué. ADFR peut :
- Garantir que l'environnement AD récupéré est exempt de logiciels malveillants et de ransomwares.
- Automatiser la restauration des forêts AD pour éviter les erreurs humaines et permettre le rétablissement des activités en quelques minutes ou quelques heures.
- Accélérer l'analyse forensique post-attaque pour identifier les comptes compromis et prévenir les attaques futures
Aperçu de Semperis
Les cyberattaques contre le Mackay Memorial Hospital et le Changhua Christian Hospital nous rappellent brutalement qu'avec des récompenses élevées et des barrières à l'entrée qui peuvent être contournées par un simple courriel d'hameçonnage, les acteurs malveillants ont les organismes de santé dans leur collimateur. Il est essentiel de se préparer à l'inévitabilité d'une cyberattaque.
La lutte contre les menaces changeantes dans ce paysage nécessite un plan de résilience de l'identité détaillé et testé qui coordonne une défense de la sécurité de l'AD à plusieurs niveaux à travers les personnes, les processus et la technologie. Pour les organismes de santé - avec leurs systèmes complexes, en évolution rapide et leurs architectures hybrides - les défis d'une telle coordination sont importants.
Mais les risques de l'inaction sont bien plus grands.
En savoir plus sur la sécurité d'Active Directory
- Abus de stratégie de groupe expliqué
- Audit efficace des modifications de GPO avec Directory Services Protector
- Défense en couches pour la sécurité de l'Active Directory
- Le kerberoasting expliqué
- Explication de la torréfaction AS-REP