ASCOMA Oct2024

Rapport d'incident · 26 février 2025 Critique

ASCOMA Cameroun

Secteur Financier et Bancaire
Type d'attaque
Exfiltration / Fuite de données (T1567) Phishing (T1566) Ransomware (T1486)
Statut
Confirmé
Impact
Critique
Fiabilité
Vérifié
Threat Actor
Worldleaks 💀 Ransomware-as-a-Service
Résumé & analyse

ASCOMA a été victime d'une attaque sophistiquée visant son système d'information central, utilisé pour valider les prises en charge médicales dans les pharmacies et hôpitaux du Cameroun.

  • Nature de l'attaque : Un groupe de cybercriminels a réussi à infiltrer le réseau et à chiffrer une partie des serveurs. Avant le chiffrement, les attaquants ont exfiltré des bases de données contenant des informations sur les assurés.
  • Données compromises : * Listes d'assurés (noms, entreprises employeurs, numéros de police).
    • Historiques de consommations médicales (données de santé ultra-sensibles).
    • Relevés d'identité bancaire (RIB) pour les remboursements.
  • Impact : Critique. L'indisponibilité du système a bloqué les prises en charge en pharmacie pour des milliers de Camerounais pendant plusieurs jours. Plus grave encore, la fuite de données expose les assurés à du chantage ou à des fraudes bancaires ciblées.
  • Vecteur : Probablement un email de phishing ouvert par un employé, permettant l'installation d'un "Cobalt Strike" (outil de prise de contrôle à distance) pour naviguer dans le réseau interne.
Sources

Alertes envoyées aux entreprises partenaires et aux assurés
https://www.ransomware.live/id/QVNDT01BIENhbWVyb29uQHdvcmxkbGVha3M?utm_source=chatgpt.com

Recommandations
  • Gestion du risque "Tiers" : Les entreprises clientes d'ASCOMA doivent désormais auditer la cybersécurité de leurs prestataires (Supply Chain Risk).
  • Anonymisation des données : Séparer les bases de données d'identité des bases de données de santé (données médicales pseudonymisées) pour limiter l'impact en cas de vol.
  • Plan de Continuité (DRP) : Tester régulièrement la restauration des sauvegardes "immuables" (non modifiables par un ransomware) pour garantir le service de santé sans interruption.
  • Méthode du groupe cybercriminel Worldleaks : Hameçonnage ciblé avec pièces jointes malveillantes (T1566.001), Exploitation d’applications exposées sur Internet (T1190), Compromission de VPN mal sécurisés sans authentification multifacteur, Utilisation de comptes valides compromis (T1078.002)
Observatoire national de la cybersécurité du Cameroun — Données publiques
Previous Post
Newer Post
Signaler
un incident