Orangeworm : des pirates s’attaquent au secteur médical
Le 24 avril 2018 à 10h24
2 min
Internet
Internet
Dans un billet publié hier soir, Symantec sonne l’alarme autour d’une attaque par ver largement centrée sur le monde médical et les industries liées.
Hôpitaux, cliniques, fabricants, industrie pharmaceutique, prestataires informatiques ou encore équipementiers sont attaqués par un groupe qui se nomme lui-même Orangeworm. Ils utilisent principalement une porte dérobée, Kwampirs, capable d’établir une présence permanente. Les méthodes utilisées semblent privilégier les vieilles infrastructures, où Windows XP peut notamment être encore présent.
Selon Symantec, 40 % des attaques se concentrent sur le domaine médical. Par ailleurs, Orangeworm ne semble pas attaquer ses victimes au hasard. Le groupe choisirait spécifiquement ses victimes, pour récolter autant de données que possible. L’éditeur ajoute que les pirates ne cherchent pas spécialement à masquer leur présence.
Les États-Unis sont particulièrement visés avec 17 % des attaques. Viennent ensuite l'Inde (7 %), l'Arabie Saoudite (7 %), les Philippines (5 %) et une longue liste de pays à 2 % chacun, dont la France. Point important, Orangeworm ne semble pas soutenu par un État.
Le conseil est toujours le même dans ce genre de cas : disposer d’une solution de sécurité à jour, installer tous les correctifs du système (s’il y en a encore) et, dans le cas d’un produit n’ayant plus de maintenance (encore et toujours Windows XP), penser rapidement à son remplacement. Les produits de Symantec ont (évidemment) été mis à jour en conséquence.
Le 24 avril 2018 à 10h24
Commentaires (16)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/04/2018 à 13h06
Le 24/04/2018 à 14h05
La Commission de la Copie Privée doit vous adorer
" />
Le 24/04/2018 à 14h11
J’ai entendu parler de nouvelles disquettes Ioméga de 100Mo!
Dire que dans le temps, les ordinateurs n’avaient que 48Ko de mémoire (mais comment on faisait??)
Avec ça, plus que 1500 transferts par manip!
Le 24/04/2018 à 16h01
On a un bon paquet de DD externe et clairement on ne demande jamais le remboursement. Mais bon pas grave c’est juste de l’argent publique ;)
Le 24/04/2018 à 16h01
Le 24/04/2018 à 16h29
M’étonne pas, je bosse dans le domaine dentaire et quand je vois les vieux tromblons toujours utilisés, et souvent reliés au réseau, je me dis que c’est juste une catastrophe à retardement.
Après comme disait Odoc remplacer les OS/machines obsolètes n’est pas toujours aisé voir pas possible car parfois ça pilote des machines à plusieurs dizaines de milliers d’€ mais dont le support n’existe pas pour des OS plus récents
Le 24/04/2018 à 17h43
hmm des gens plus malin se sont probablement déjà frotté au problème mais il n’y aurait pas possibilité d’avoir l’OS compatible dans une VM sur un poste hôte a jour ? Ou alors on parle de connectique rare ?
Ou sinon en ayant les postes a risques sur un VLAN indépendant ? même si il faut pouvoir envoyer des données, c’est pas comme si tout etait stocké sur le poste en question, donc il n’a pas besoin d’accès direct au net
ps: et si ce genre de poste infecté est utilisé pour modifier le firmware de la machine$$$ de manière à l’endommager on fait quoi ? :|
Le 25/04/2018 à 06h28
c’est l’avenir du futur les disquette ZIP
" />
Le 25/04/2018 à 22h26
Hum là tu parles de gens capables d’appeler au secours le SAV parceque l’ordinateur ne s’allume pas alors qu’il n’est juste pas branché ou qu’il est tout bloqué alors que c’est juste qu’il n’y a plus de piles dans le clavier/souris sans fils alors aller leur parler de virtualisation, de vlan, etc …
" />
" />) alors faut pas trop leur en demander à propos d’informatique.
La plupart ont déjà du mal à maîtriser les outils de base servant à accomplir leur métier (perso je ne compte plus les fois où je me suis déplacé en urgence pour dépanner un client désespéré pour au final appuyer sur un bouton, ouvrir une vanne ou tourner un robinet, ou pire nettoyer des filtres dans des états …
Le 24/04/2018 à 09h35
Il s’agit d’un ver qui se propage via SMB et qui privilégie les partages administratifs.
En gros, n’utilisez pas de compte administrateur et ajustez les droits de vos partages au strict nécessaire (onglet Sécurité). Sinon, faites confiance à votre solution de sécurité.
Le 24/04/2018 à 09h44
C’est pas Facebook qui voulait des données médicales?
" />
Le 24/04/2018 à 10h15
De quel onglet tu parles, il se trouve où ?
Le 24/04/2018 à 12h08
Le 24/04/2018 à 12h35
Quand on voit ce qu’y tourne dans les labo, l’absence quasi complète de personnel info, on peut se dire que ça va être de pire en pire.
" />
A mon ancien labo, on avait encore des XP relié au réseau. Impossible de les changer sans changer la machine contrôlée par la bécane (+/- 15k€).
On a meme des truc tournant encore sous DOS (bon pas relié au réseau donc pas de probleme) c’est dire (obligé de conserver précieusement toutes disquettes car c’est le seul moyen de récupérer les résultats. La machine vaut dans les 100k€, pas moyen de changer le “pc” sans la changer)
L’informatique est vue comme un poste de dépense inutile dans les labo. Quand on voit les montagnes de data qu’on accumule de nos jours (à titre d’exemple on a des microscopes particuliers : 1 manip génère 1.5To de data :o) c’est le genre d’attaque qui peut vraiment faire des dégats et faire perdre des années de recherche à un labo
Le 24/04/2018 à 12h52
Ah ok, il fallait deviner que tu parlais de Windows…
Le 24/04/2018 à 13h04
Les méthodes utilisées semblent privilégier les vieilles infrastructures, où Windows XP peut notamment être encore présent.
l’indice était subtil, j’avoue
(même si j’ai bien conscience que 2018 sera l’année de Linux sur desktop™