7 plus grandes histoires de cybersécurité de 2024

Lucas Morel

CrowdStrike, Change Healthcare, les menaces croissantes de ransomware et les cyber-réglementations : voici ce qui a fait la une des journaux cette année et comment les RSSI et les cyber-professionnels s’adaptent.

Cette année, la cybersécurité a fait la une des journaux, avec plusieurs violations, attaques et incidents qui ont attiré l’attention du monde entier.

Mais quelques incidents en particulier ont eu des conséquences considérables, susceptibles de remodeler les protections du secteur, de bouleverser la façon dont les fournisseurs sécurisent les systèmes des clients ou de pousser les responsables de la sécurité à réévaluer leurs stratégies.

Les tendances à plus long terme telles que le renforcement des réglementations en matière de cybersécurité et l’impact de l’IA sur le secteur ont également eu et auront un impact significatif sur les opérations de sécurité informatique en 2024 et au-delà.

Voici un aperçu des événements de l’année en matière de cybersécurité, ainsi qu’un aperçu de la façon dont ces événements remodèlent les stratégies et les tactiques des RSSI pour défendre l’entreprise.

Attaque de rançongiciel Change Healthcare

Une attaque de ransomware contre Change Healthcare, propriété du groupe UnitedHealth, a provoqué des perturbations généralisées en février.

Des cybercriminels affiliés au gang de ransomwares ALPHV/BlackCat ont pénétré dans les systèmes de Change Healthcare en utilisant des informations d’identification divulguées pour accéder à un compte de portail Citrix non protégé par des contrôles d’accès à authentification multifactorielle. Ils ont siphonné des données sensibles – noms, numéros de sécurité sociale, diagnostics, plans de traitement et données financières, qui, selon les estimations, affecteraient jusqu’à 112 millions de personnes – avant de déployer un ransomware.

Le ministère américain de la Santé et des Services sociaux (HHS) enquête pour savoir si une violation des informations de santé protégées s’est produite en évaluant si UHG ou Change Healthcare ont violé les réglementations strictes en matière de confidentialité du secteur de la santé.

Change Healthcare – qui gère le plus grand centre d’information des États-Unis pour les réclamations d’assurance médicale – a mis ses systèmes hors ligne en réponse à l’attaque, qui a paralysé une grande partie du système de santé américain pendant des semaines. Des milliers de pharmacies et de prestataires de soins de santé ont été perturbés car les paiements électroniques et les demandes de remboursement médicales n’ont pas pu être traités.

Les patients ont été obligés de payer bon nombre de leurs médicaments de leur poche au lieu de compter sur des quotes-parts ou des coupons. Cette violation a menacé de nombreux prestataires médicaux d’insolvabilité. UnitedHealth Group a offert 2 milliards de dollars d’aide aux prestataires de soins de santé touchés par l’attaque.

Les coûts combinés des paiements accélérés et des prêts sans intérêt et sans frais à des milliers de prestataires concernés, ainsi que les efforts de réponse aux incidents et une reconstruction complète des systèmes de Change Healthcare ainsi que les pertes de revenus signifient que le coût total de la violation devrait dépasser 1 $. milliard.

Il est apparu plus tard que Change Healthcare avait payé l’équivalent de 22 millions de dollars en Bitcoin à un portefeuille de crypto-monnaie associé à ALPHV à la suite de l’attaque. Cela n’a pas empêché le groupe RansomHub de tenter d’extorquer à UnitedHealth la divulgation d’informations sensibles volées lors de la violation.

L’attaque a provoqué des appels à imposer des normes de sécurité de base pour les prestataires de soins de santé lors des audiences du Congrès en avril. Des questions ont également été soulevées quant à la manière dont la consolidation rend le secteur de la santé plus vulnérable aux cyberattaques.

Dans l’ensemble, l’incident a attiré l’attention du monde entier sur les cyberattaques croissantes contre le secteur de la santé, les ransomwares étant considérés comme la menace centrale du secteur. Les RSSI du secteur de la santé et d’autres secteurs ont tiré plusieurs leçons cruciales à la suite du fiasco.

L’effondrement de CrowdStrike

Une mise à jour de configuration défectueuse du logiciel de sécurité Falcon Sensor de CrowdStrike a provoqué des pannes du système Windows exécutant le logiciel en juillet. La mise à jour du contenu du Channel File 291 a provoqué une lecture de mémoire hors limites dans le client du capteur Windows, faisant planter les PC et les serveurs Windows concernés et les envoyant dans une boucle de démarrage.

On estime que 8,5 millions de systèmes Microsoft Windows ont été touchés.

Même si la mise à jour défectueuse a été rapidement retirée, la panne qui en a résulté a affecté des organisations du monde entier dans de nombreux secteurs, notamment les compagnies aériennes, les banques, les diffuseurs et les hôpitaux.

À la suite de la panne, CrowdStrike a renforcé ses processus de tests préliminaires et amélioré le contrôle qualité. L’incident a mis en évidence l’importance cruciale de tests robustes et de mécanismes de sécurité pour les logiciels de sécurité.

En réponse à cette panne, Microsoft a lancé un processus visant à évaluer si les fournisseurs de sécurité avaient besoin d’un accès au niveau du noyau pour fonctionner efficacement. En s’exécutant dans le noyau, les progiciels de sécurité bénéficient d’une plus grande visibilité et de la possibilité de contrecarrer les logiciels malveillants de bas niveau, mais cette approche signifie qu’en cas de problème, l’ensemble du système s’écrasera sur le fameux écran bleu de la mort.

En plus d’attirer l’attention du monde entier sur les problèmes liés aux tests logiciels et au niveau du noyau, l’incident a mis en évidence la dépendance excessive des RSSI et DSI à l’égard des logiciels d’administration, la nécessité de réévaluer le risque de concentration dans le cloud et l’importance d’avoir un plan de continuité d’activité solide, entre autres. enjeux stratégiques.

Violations généralisées de Snowflake liées aux lacunes de l’AMF

Les piratages de comptes impliquant la société d’entreposage de données basée sur le cloud Snowflake ont conduit à plusieurs violations de données très médiatisées, affectant des organisations, notamment AT&T, Ticketmaster, Neiman Marcus Group et Advance Auto Parts.

Le groupe de cybercriminalité UNC5537 a systématiquement compromis les instances client de Snowflake en utilisant des informations d’identification client volées avant d’exfiltrer les données sensibles. Ces données compromises ont été utilisées pour tenter d’extorquer de l’argent à nombre de ses victimes ou proposées à la vente sur des forums de cybercriminalité, selon une enquête menée par Mandiant, la division de renseignement sur les menaces de Google.

Dans un dossier réglementaire, AT&T a admis en juillet que les cybercriminels avaient volé les métadonnées téléphoniques et SMS de 110 millions de personnes. Les informations compromises comprenaient des enregistrements d’appels ou de SMS, mais pas le contenu des messages texte ni les informations personnelles identifiables du client. L’entreprise de télécommunications américaine aurait payé 377 000 dollars à des criminels pour qu’ils se débarrassent de ces relevés téléphoniques volés.

Le problème a été découvert pour la première fois en avril après que Mandiant a retracé une violation de données jusqu’à une instance Snowflake compromise à l’aide d’informations d’identification précédemment volées via un logiciel malveillant infostealer. Des travaux ultérieurs ont révélé que ce schéma se répétait dans plusieurs cas, dont beaucoup pouvaient être attribués à des infections de logiciels malveillants historiques remontant à 2020.

Mandiant et Google ont informé 165 organisations potentiellement concernées. Les informations d’identification compromises des comptes clients Snowflake dans les cas où l’authentification multifacteur n’était pas activée plutôt que toute violation de l’environnement de Snowflake ont été imputées à la vague de piratage.

En réponse, Snowflake a proposé à ses clients des conseils en matière de détection et de durcissement.

Deux suspects – Connor Riley Moucka de Kitchener, en Ontario, et John Binns, un Américain basé en Turquie – ont été inculpés par les procureurs américains en octobre pour leur implication présumée dans les violations de données de Snowflake.

Les attaques généralisées ont souligné pourquoi la sécurité du cloud est devenue une priorité absolue des RSSI et ont souligné que, dans les entreprises d’aujourd’hui, l’utilisation de la MFA est nettement en retard par rapport à ce qu’elle devrait être, avec de nouveaux mandats MFA de fournisseurs tels que Microsoft et AWS en perspective.

Le retrait de LockBit ne parvient pas à réduire les menaces de ransomware

Par ailleurs, le gang du rançongiciel LockBit a été démantelé lors d’une importante opération policière internationale en février. Des serveurs et des domaines Web liés au gang ont été saisis, des comptes malveillants ont été fermés et des suspects arrêtés en Pologne et en Ukraine dans le cadre de l’opération Cronos.

Malgré le retrait, des attaques avec le ransomware LockBit ou des variantes de celui-ci ont ensuite été signalées, et des informations selon lesquelles des éléments du groupe avaient l’intention de relancer leurs opérations ont également commencé à faire surface. Comme auparavant, ces escroqueries impliquent généralement des tentatives d’extorsion aux victimes en échange de menaces de divulgation de données volées, ainsi que des demandes de paiement pour des clés de décryptage.

LockBit – une opération majeure de ransomware-as-a-service – a gagné environ 90 millions de dollars en attaquant uniquement des victimes américaines entre janvier 2020 et juin 2023.

Une fois de plus, malgré une activité importante des autorités policières, les ransomwares continuent de devenir plus rapides, plus intelligents et plus méchants, avec de nouveaux groupes continuant d’émerger à la suite des retraits et des entreprises obligées d’ajouter de nouveaux chapitres à leurs manuels de négociation de ransomwares et de débattre de l’opportunité de payer le prix. prix d’extorsion.

Les deepfakes deviennent une menace plus grande

L’année a été marquée par une accélération de l’utilisation de l’intelligence artificielle à des fins bénéfiques et malveillantes.

Les attaquants peuvent utiliser l’IA pour faire évoluer et affiner leurs techniques, rendant ainsi les attaques de ransomware et de phishing plus efficaces. Par exemple, les technologies de l’IA peuvent être utilisées à mauvais escient pour générer de faux fichiers audio et vidéo, appelés deepfakes.

La société multinationale de conception et d’ingénierie basée à Londres, Arup, a été victime d’une arnaque deepfake qui lui a coûté 200 millions de dollars de Hong Kong (25,6 millions de dollars). Un employé financier de son bureau de Hong Kong a été amené à autoriser la transaction après avoir assisté à une vidéoconférence au cours de laquelle des fraudeurs ont utilisé la technologie deepfake pour se faire passer pour son directeur financier basé au Royaume-Uni.

Les deepfakes commencent également à apparaître comme un élément des escroqueries nord-coréennes contre les faux informaticiens. Des agents nord-coréens se faisant passer pour des professionnels légitimes de l’informatique dans le but d’obtenir un emploi dans des entreprises occidentales. S’ils sont embauchés, ces « travailleurs à distance » exploitent leur accès privilégié pour voler des informations sensibles ou exclusives tout en percevant un salaire qui est reversé au régime nord-coréen.

Plus de 300 entreprises auraient été victimes de cette escroquerie informatique qui aurait généré des millions de dollars de revenus pour le gouvernement nord-coréen, lui permettant d’échapper aux sanctions internationales tout en finançant ses programmes d’armement.

Conséquences de la violation du NPD

Une violation de la société américaine de vérification des antécédents National Public Data a révélé les données de centaines de millions de personnes en exposant 2,9 milliards de dossiers. Le piratage a eu lieu en décembre 2023, mais n’est devenu de notoriété publique qu’après un vidage de 4 To de données volées sur un forum sur la cybercriminalité en juillet 2024.

La violation a révélé les numéros de sécurité sociale, les noms, les adresses postales, les courriels et les numéros de téléphone d’environ 170 millions de personnes aux États-Unis, au Royaume-Uni et au Canada.

En octobre 2024, National Public Data, qui a fait l’objet de plusieurs poursuites à la suite de la violation, a déposé son bilan.

Les pressions réglementaires s’accentuent

Les attaques de cyberespionnage Salt Typhoon contre les fournisseurs de télécommunications, imputées à la Chine, ont donné lieu à des projets visant à obliger les opérateurs de télécommunications à renforcer leur sécurité.

Des réglementations plus strictes en matière de cybersécurité étaient également au menu en Europe avec l’élargissement de la directive européenne sur la sécurité des réseaux et de l’information. NIS2 couvre davantage d’industries et de secteurs, introduisant des mesures plus strictes de gestion des risques de cybersécurité et de reporting des incidents.

Les règles révisées de divulgation des violations de la Securities and Exchange Commission (SEC) des États-Unis ont imposé une responsabilité accrue aux RSSI, en particulier à ceux des sociétés cotées en bourse. Les responsables de la sécurité sont exposés à une responsabilité personnelle en cas de défaillances en matière de cybersécurité ou de divulgations trompeuses.

La complexité croissante de la réglementation et la responsabilité personnelle ne sont que quelques-uns des facteurs qui créent un exercice d’équilibre difficile pour les RSSI – et contribuent à l’insatisfaction professionnelle croissante et aux idées de défection des RSSI – alors qu’ils réfléchissent aux principaux points à retenir de 2024 en vue de la nouvelle année.