Les établissements de santé assiégés par le ransomware Trinity
Le secteur de la santé est confronté à une cybermenace croissante provenant d'une nouvelle variante de ransomware connue sous le nom de Trinity . Le ministère américain de la Santé et des Services sociaux (HHS) a émis un avertissement, alertant les organisations du secteur de la santé et de la santé publique des dangers imminents.
Table of Contents
Une menace croissante en matière de ransomware
Détecté pour la première fois en mai 2024, Trinity est une souche de ransomware relativement nouvelle. Il crypte les fichiers en ajoutant une extension « .trinitylock ». Selon le HHS, il partage des similitudes avec d'autres familles de ransomware comme 2023Lock et Venus. Ces groupes ciblent souvent les infrastructures critiques, et Trinity ne fait pas exception.
Comme d'autres ransomwares, Trinity utilise un site de fuites pour répertorier ses victimes et négocier avec les organisations pour le décryptage des fichiers. Les opérateurs du ransomware exfiltrent les données avant de verrouiller les systèmes pour les garder en otage en vue d'une nouvelle extorsion.
Une fois à l'intérieur, Trinity utilise des e-mails de phishing, des logiciels vulnérables et des sites Web malveillants pour accéder au réseau. Ensuite, il effectue une reconnaissance du réseau, analyse les systèmes et se déplace latéralement pour élever les privilèges. L'une des tactiques avancées de Trinity consiste à se faire passer pour le jeton de processus légitimes pour étendre sa portée au sein du réseau de la victime.
Méthodes de cryptage et d'extorsion
Après avoir obtenu un accès complet, Trinity crypte les fichiers à l'aide d'un algorithme de cryptage robuste. Les fichiers sont rendus inutilisables à moins que la victime ne possède la clé de décryptage correcte. Chaque fichier affecté est étiqueté avec une extension « .trinitylock », identifiant clairement les données cryptées.
Une fois le processus de cryptage terminé, les victimes reçoivent des notes de rançon au format texte et .hta, ainsi que des fonds d'écran modifiés affichant l'attaque. La note de rançon comprend généralement une URL onion pour accéder au site de l'attaquant et des instructions pour la communication.
Liens vers d'autres familles de ransomwares
Le HHS souligne que Trinity est étonnamment similaire aux familles de ransomwares 2023Lock et Venus. Ils partagent l’algorithme de chiffrement ChaCha20, et leurs notes de rançon, leurs noms de mutex et leurs valeurs de registre sont presque identiques. Ces liens profonds suggèrent que Trinity pourrait être un successeur direct de 2023Lock, ce qui en fait une menace évolutive.
Impact sur les organisations de soins de santé
Les secteurs de la santé et de la santé publique sont particulièrement vulnérables. Une organisation de santé américaine a déjà été victime de ce groupe et, à ce jour, le site de fuite de Trinity recense cinq victimes. Parmi elles, Rocky Mountain Gastroenterology, à laquelle les attaquants affirment avoir volé 330 gigaoctets de données.
Actuellement, il n’existe aucun outil de décryptage disponible pour le ransomware Trinity, ce qui laisse peu d’options aux victimes. Si certaines ont connu un succès partiel en utilisant des outils de récupération de données, le besoin de conseils d’experts en cybersécurité est élevé.
Préparation de la prochaine attaque
Le risque posé par Trinity et d’autres familles de ransomwares pour les systèmes de santé est évident. Quelles mesures votre organisation doit-elle prendre pour prévenir une attaque ? Vos défenses actuelles sont-elles suffisantes pour résister à une violation ? Des mesures de sécurité réfléchies et proactives peuvent faire la différence entre devenir une victime ou rester en sécurité.
