ASCOMA Oct2024

Rapport d'incident · 26 février 2025 Critique

ASCOMA Cameroun

Secteur Financier et Bancaire
Type d'attaque
Exfiltration / Fuite de données (T1567) Phishing (T1566) Ransomware (T1486)
Statut
Confirmé
Impact
Critique
Fiabilité
Vérifié
Threat Actor
Worldleaks 💀 Ransomware-as-a-Service
Résumé & analyse

ASCOMA a été victime d'une attaque sophistiquée visant son système d'information central, utilisé pour valider les prises en charge médicales dans les pharmacies et hôpitaux du Cameroun.

  • Nature de l'attaque : Un groupe de cybercriminels a réussi à infiltrer le réseau et à chiffrer une partie des serveurs. Avant le chiffrement, les attaquants ont exfiltré des bases de données contenant des informations sur les assurés.
  • Données compromises : * Listes d'assurés (noms, entreprises employeurs, numéros de police).
    • Historiques de consommations médicales (données de santé ultra-sensibles).
    • Relevés d'identité bancaire (RIB) pour les remboursements.
  • Impact : Critique. L'indisponibilité du système a bloqué les prises en charge en pharmacie pour des milliers de Camerounais pendant plusieurs jours. Plus grave encore, la fuite de données expose les assurés à du chantage ou à des fraudes bancaires ciblées.
    • Impact sur la confidentialité des données (Données Métier) : En tant que courtier, ASCOMA manipule des données extrêmement sensibles. Le vol implique potentiellement des fichiers clients, des contrats d'assurance d'entreprises locales et internationales, des données financières (RIB, chiffre d'affaires des assurés) ainsi que des données de santé / prévoyance (fiches médicales, remboursements de soins) de milliers d'assurés.
    • Impact réputationnel et de confiance : La publication de la victime sur le Data Leak Site (DLS) de WorldLeaks sert de moyen de pression public. Pour un intermédiaire de confiance comme un courtier, l'exposition publique de ses failles de sécurité nuit gravement aux relations avec ses entreprises partenaires et les compagnies d'assurance tierces.
    • Impact juridique et conformité : L'exfiltration de données à caractère personnel (PII) expose l'entité aux réglementations en vigueur sur la protection des données et à de potentielles poursuites ou demandes de comptes de la part des régulateurs ou des clients impactés.
  • Vecteur : Probablement un email de phishing ouvert par un employé, permettant l'installation d'un "Cobalt Strike" (outil de prise de contrôle à distance) pour naviguer dans le réseau interne.

Profil de l'Attaquant : WorldLeaks

Tactiques, Techniques et Procédures (TTPs)

  • Modèle économique : Extortion-as-a-Service (EaaS). Le groupe fournit une plateforme clé en main à des affiliés.
  • Évolution stratégique (Janvier 2025) : Abandon total du chiffrement des fichiers (Ransomware classique). Le groupe se concentre exclusivement sur le vol de données et l'extortion pure.
  • Objectifs & Avantages :
  • Extraction automatisée des données via des outils mis à disposition des affiliés.
  • Menace de publication sur leur site Tor en cas de non-paiement.
  • Complexité technique et risques de détection réduits (l'absence de chiffrement évite de lever les alertes comportementales des ED/XDR sur les volumes de modifications de fichiers).
Sources

Alertes envoyées aux entreprises partenaires et aux assurés
https://www.ransomware.live/id/QVNDT01BIENhbWVyb29uQHdvcmxkbGVha3M?utm_source=chatgpt.com

Recommandations
  • Gestion du risque "Tiers" : Les entreprises clientes d'ASCOMA doivent désormais auditer la cybersécurité de leurs prestataires (Supply Chain Risk).
  • Anonymisation des données : Séparer les bases de données d'identité des bases de données de santé (données médicales pseudonymisées) pour limiter l'impact en cas de vol.
  • Plan de Continuité (DRP) : Tester régulièrement la restauration des sauvegardes "immuables" (non modifiables par un ransomware) pour garantir le service de santé sans interruption.
  • Méthode du groupe cybercriminel Worldleaks : Hameçonnage ciblé avec pièces jointes malveillantes (T1566.001), Exploitation d’applications exposées sur Internet (T1190), Compromission de VPN mal sécurisés sans authentification multifacteur, Utilisation de comptes valides compromis (T1078.002)
Previous Post
Newer Post
Signaler
un incident