Cyberattaque mondiale : le virus ResolverRAT prend d’assaut le secteur de la santé et de la pharmacie

Un nouveau virus du nom de ResolverRAT se propage dans le monde entier. Le malware piège les entreprises du secteur de la santé et de la pharmacie avec des mails de phishing calibrés. Au terme de l’attaque, il orchestre le vol de toutes les données de l’ordinateur infecté.

Les chercheurs de Morphisec Threat Labs ont débusqué un nouveau virus à l’assaut d’organisations situées dans le monde entier. Baptisé ResolverRAT, le malware est un cheval de Troie avec accès à distance. Déguisé en programme inoffensif, le logiciel malveillant permet à un pirate informatique de prendre le contrôle à distance d’un ordinateur infecté.

Phishing et vol de données à grande échelle

Dans la plupart des attaques recensées par Morphisec Threat Labs, le virus se propage par le biais de mail de phishing. Les employés des entreprises visées reçoivent un courriel évoquant des violations légales ou du droit d’auteur. Ces motifs sont susceptibles d’éveiller la curiosité des cibles et d’endormir leur méfiance. Les « thèmes alarmants » utilisés sont spécifiquement calibrés pour provoquer les réactions des salariés des industries visées. Les chercheurs ont découvert plusieurs similitudes avec les campagnes de phishing propageant des maliciels comme Rhadamanthys et Lumma.

Le mail piégé contient un exécutable pour un logiciel HP (Hewlett-Packard). Ce fichier va implanter ResolverRAT dans la mémoire de l’ordinateur. Une fois dans le système, le virus va utiliser une série de tactiques pour rester indétectable. Par exemple, il copie ses propres fichiers dans plusieurs répertoires utilisés par Windows pour lancer automatiquement des programmes au démarrage, ou pour stocker des applications, comme les dossiers « Démarrage », « Program Files » ou « LocalAppData ».

Surtout, il va exfiltrer toutes les données stockées sur l’ordinateur. Pour rester discret, ResolverRAT va découper les fichiers de plus de 1 Mo en petits morceaux de 16 Ko pour passer inaperçu et se fondre dans le trafic Internet habituel en provenance de l’ordinateur infecté. De facto, il est capable de transférer des données sur des serveurs à distance sans se faire repérer.

Une « opération à portée mondiale »

ResolverRAT cible essentiellement les organisations des secteurs de la santé et de la pharmacie. Les chercheurs n’ont pas divulgué publiquement le nom des victimes du malware. De plus en plus de pirates s’attaquent au monde de la santé, en visant des hôpitaux ou des cliniques, dans l’espoir de collecter des données médicales sensibles. Ces entités sont plus susceptibles de verser une rançon pour éviter la fuite des informations sur le dark web. Pour Dirk Shrader, chercheur en chef de Netwrix, il est probable que les cybercriminels ont trouvé une faille à l’échelle de l’industrie de la santé et de la pharmacie :

« Les attaques organisées de logiciels malveillants ciblant le secteur de la santé et les entreprises pharmaceutiques suggèrent fortement que le groupe APT utilisant ResolverRAT a identifié une vulnérabilité systémique propre à cette industrie. Ces secteurs sont soumis à des réglementations complexes, qui vont de la propriété intellectuelle à la confidentialité des données, en passant par les exigences en matière de santé publique ». 

Les experts du Morphisec Threat Labs précisent uniquement que le mail de phishing initial est décliné en plusieurs langues, dont en italien, en tchèque, en hindi, en turc, et en portugais. C’est pourquoi les chercheurs parlent d’une « opération à portée mondiale ». Les cybercriminels cherchent vraisemblablement à « maximiser les taux d’infection grâce à un ciblage adapté ». La plus récente vague d’attaques a été observée le 10 mars 2025, indique le rapport. On ignore qui sont les hackers à l’origine de la cyberattaque.

« Pour faire face à ces menaces, les organisations doivent mettre en place une gestion rigoureuse des privilèges. Un utilisateur ne devrait pas être autorisé à installer un logiciel ou à exécuter un fichier. En cas de besoin d’une nouvelle application, un processus défini doit être prévu pour en autoriser l’installation. Ces garde-fous empêchent les utilisateurs de compromettre involontairement la sécurité de l’entreprise, tout en leur laissant la marge nécessaire pour opérer et remplir leurs fonctions principales. Bien entendu, des actions de sensibilisation sont nécessaires, mais le stress et l’urgence restent les ennemis de la vigilance. C’est pourquoi la suppression des privilèges inutiles, tels que les droits d’administrateur local sur les terminaux, reste l’un des moyens les plus efficaces de réduire le risque d’installations de malwares », recommande Dirk Shrader.

Source : Morphisec

__________________________________________________________________________________________________________