COVID-19 : VEILLE CYBERSÉCURITÉ #17 – 13 août 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le ransomware Netwalker

Attaque : Le FBI alerte sur une campagne de phishing exploitant le COVID-19 pour diffuser le ransomware Netwalker
Procédé : Campagne de phishing
Cible : Entités publiques et privées
Date de publication : 28/07/2020
Lien(s) :
https://assets.documentcloud.org/documents/7009488/FBI-FLASH-7-28-2020-BC.pdf
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/take-a-netwalk-on-the-wild-side/
https://cybleinc.com/2020/07/28/one-of-the-largest-construction-and-civil-engineering-group-in-france-allegedly-struck-by-netwalker/

Description 

Le ransomware Netwalker a fait sa première apparition en août 2019. Depuis lors, de nouvelles versions plus robustes et plus sophistiquées sont apparues entre fin 2019 et début 2020. Les campagnes liées à ce malware semblent néanmoins ne s’attaquer qu’à des cibles en l’Europe de l’Ouest ou aux États-Unis.

Le « Ransomware As A Service » (RaaS) est un marché florissant, en particulier depuis le début de la pandémie de COVID-19. En effet, Netwalker a été diffusé via des campagnes de phishing utilisant des leurres COVID-19 à partir de mars 2020. C’est également à cette période que ses développeurs ont revu leur système de vente et de maintenance pour un suivi plus efficace. 

Ce malware a notamment été utilisé par plusieurs campagnes de phishing en juin 2020 sur des infrastructures américaines en ciblant différents types d’entreprises et de particuliers. Les développeurs de Netwalker ont néanmoins déclaré ne pas vouloir s’en prendre à des organismes de santé.

Mode opératoire 

Une campagne utilisant Netwalker comme charge principale comporte plusieurs étapes. Tout d’abord, les attaquants s’introduisent dans les systèmes d’informations par plusieurs moyens :

  • Exploitation de failles critiques (Telerik UI – CVE-2019-18935, Pulse VPN – CVE-2019-11510) ;
  • Intrusion de comptes (bruteforce de Remote Desktop, achat, etc.) ;
  • Spear-phishing.

Le moyen le plus courant est l’exploitation de services exposés (cf. CVE ci-dessus), ou encore du bruteforce de Remote Desktop. Néanmoins, certaines campagnes récentes se basent sur du spear-phishing en envoyant un document VBScript malveillant en pièce jointe.

En ressource de ce VBScript, un fichier nommé “1337” ou “31337”, chiffré en RC4, est appelé et déchiffré. Ce fichier contient la configuration du malware. Dans cette dernière, il est possible de retrouver les éléments suivants :

  • La clé publique ;
  • Le mode de chiffrement ;
  • L’URL Tor pour déchiffrer les données ;
  • Les tâches, services, processus à terminer ;
  • La note du ransomware ;

Il est possible d’extraire la configuration du malware depuis la mémoire. De plus, la clé de chiffrement est codée en dur dans le ransomware.

À l’exécution, la première charge va exécuter du Powershell pour faire une injection Reflective DLL. Cette technique permet de contourner les antivirus actuels. Puis, Netwalker va créer une entrée dans la clé “RunOnce” du registre Windows afin de s’exécuter à chaque ouverture de session Windows. Il va ensuite supprimer les “Shadow Copy” du serveur (ces copies permettent de restaurer des données ultérieures) et enfin, chiffrer et supprimer les fichiers du poste infecté.

Netwalker peut également se propager dans le réseau interne de la cible. Pour cela, ce malware utilise des méthodes communes : PsExec ou TeamViewer/AnyDesk. PsExec est un programme développé et maintenu par Microsoft pour faire de l’administration de serveur à distance. Le ransomware s’en sert pour se connecter aux autres machines du parc informatique et chiffrer davantage de machines.

Quant à Teamviewer et AnyDesk, ces programmes sont normalement utilisés pour de la télémaintenance. Dans le cas de Netwalker, cela permet à un attaquant distant de faire des actions manuelles sur les systèmes.

Lorsque qu’une machine est infectée, une note apparaît à l’écran avec un portail web sur un nœud Tor appartenant aux développeurs de malware. Sur ce portail, il est possible de suivre la procédure de paiement et télécharger le programme permettant de déchiffrer l’ensemble des fichiers.

 

Menaces

Attaque : Un producteur américain de respirateurs utilisés pour traiter le COVID-19 visé par le ransomware DoppelPaymer
Procédé : Ransomware
Cible : Boyce Technologies
Date de publication : 07/08/2020
Description : Les cybercriminels ont publié des échantillons de données commerciales volées à la firme américaine sur leur blog et menacent d’en diffuser davantage si la rançon demandée ne leur est pas versée. Boyce Technologies n’a fait aucune déclaration concernant l’attaque et son impact sur ses activités. Les opérateurs de DoppelPaymer avaient déjà ciblé des établissements médicaux, à l’image de la firme pharmaceutique Amphastar Pharmaceuticals Inc en juillet 2020.  
Lien(s) :
https://cointelegraph.com/news/ransomware-threatens-production-of-300-ventilators-per-day
https://cybleinc.com/2020/07/23/a-recognized-american-specialty-pharmaceutical-company-got-allegedly-struck-by-dopplepaymer/

 

Fraudes

Attaque : Les services secrets russes (GRU) accusés de mener une campagne de désinformation sur la pandémie de COVID-19
Procédé : Désinformation
Surface/Application : Sites Internet et réseaux sociaux
Date de publication : 28/07/2020
Description : Des documents déclassifiés du renseignement américain affirment que le GRU mènerait une campagne de désinformation en langue anglaise sur la crise sanitaire. La Russie s’appuierait sur plusieurs sites Internet tels que OneWorld.Press, lié aux services secrets russes ou InfoRos, le centre d’information du gouvernement russe. Cette campagne de désinformation s’appuie notamment sur des théories du complot prétendant par exemple que le virus aurait été créé par les États-Unis. 
Lien(s) :
https://www.nytimes.com/2020/07/28/us/politics/russia-disinformation-coronavirus.html

 

Attaque : Des campagnes de phishing exploitant le COVID-19 imitent Bouygues Telecom et SFR pour voler les identifiants des comptes clients et les données personnelles des victimes
Procédé : Phishing
Surface/Application : SMS
Date de publication : 10/08/2020
Description : Dans ces deux campagnes, les cybercriminels prétendent offrir un remboursement aux clients SFR et Bouygues en raison de la pandémie de COVID-19 pour les rediriger vers un site web frauduleux destiné à voler leurs données personnelles et identifiants de connexion. Une fois ces données acquises, elles peuvent être revendues ou exploitées afin de mettre en place de nouvelles de campagnes de phishing ciblées ou usurper l’identité des victimes.
Lien(s) : 
https://cyberguerre.numerama.com/6944-bouygues-vous-propose-un-remboursement-face-a-la-pandemie-ne-donnez-pas-vos-identifiants.html
https://cyberguerre.numerama.com/6825-sfr-vous-propose-par-sms-un-remboursement-a-cause-de-problemes-reseaux-attention-cest-un-phishing.html

 

Attaque : Une nouvelle campagne de phishing imite la Small Business Administration (SBA) des États-Unis pour voler des données personnelles et bancaires 
Procédé : Phishing
Surface/Application : E-mails
Date de publication : 10/08/2020
Description : Les e-mails frauduleux prétendent que leurs destinataires sont éligibles à une aide financière de la SBA dans le cadre de la pandémie afin de les rediriger vers un site web destiné à voler leurs identifiants de connexion. Une variante de cette campagne demande aux victimes de remplir une imitation d’un formulaire officiel joint à l’e-mail à l’aide de leurs données personnelles et bancaires.
Lien(s) :
https://blog.malwarebytes.com/scams/2020/08/sba-phishing-scams-from-malware-to-advanced-social-engineering/

 

Ressources utiles

Type de ressources : Le département du Trésor des États-Unis publie un guide destiné à aider les institutions financières à prévenir la cybercriminalité exploitant le COVID-19
Cible : Institutions financières
Date de publication : 30/07/2020
Description : Ce guide présente les types de fraudes informatiques observées depuis le début de la pandémie : usurpation d’identité, phishing, ransomware, Business E-mail Compromise (BEC), etc. Il fournit également des indicateurs permettant de les identifier et de les prévenir ainsi que des informations concernant les modalités de signalement de ces activités suspectes auprès des autorités compétentes.
Lien(s) :
https://www.fincen.gov/resources/advisories/fincen-advisory-fin-2020-a005

 

Type de ressources : La Rand Corporation publie une étude évaluant la confidentialité des données traitées par les applications de traçage numérique
Cible : Institutions américaines
Date de publication : 30/07/2020
Description : Cette étude présente une évaluation des impacts des applications de traçage numérique sur la protection des données personnelles et de la vie privée. Pour ce faire, un système d’évaluation a été élaboré afin de comparer 40 applications de traçage numérique de vingt pays différents et leur attribuer un score selon de nombreux critères (transparence, anonymat, durée de conservation des données, etc.).
Lien(s) : https://www.rand.org/pubs/research_reports/RRA365-1.html

 

Type de ressources : Interpol a publié un rapport concernant l’impact du COVID-19 sur la cybercriminalité
Cible : Entités publiques et privées/Grand public
Date de publication : 04/08/2020
Description : Basé sur les données des pays membres d’Interpol et de ses partenaires privés, ce rapport présente les principaux types de menaces exploitant le COVID-19 (phishing, désinformation, ransomware, DDoS, etc.) et analyse leur évolution entre janvier et mai 2020 en fonction des zones géographiques. En outre, Interpol prévient que la cybercriminalité liée au COVID-19 risque de s’intensifier en raison des impacts économiques de la pandémie et de la commercialisation potentielle d’un vaccin. 
Lien(s) :
https://www.interpol.int/en/News-and-Events/News/2020/INTERPOL-report-shows-alarming-rate-of-cyberattacks-during-COVID-19

 

Type de ressources : Douze tableaux de bord pour suivre l’évolution de la pandémie de COVID-19
Cible : Grand public
Date de publication : 07/08/2020
Description : Prenant la forme de graphiques ou de cartes interactives, ces tableaux de bord utilisent divers outils pour visualiser l’évolution de la pandémie à travers le monde. On y trouve par exemple les mappemondes interactives de l’Université John Hopkins et de l’Organisation mondiale de la Santé (OMS), qui renseignent sur l’évolution du nombre de cas de COVID-19 selon les pays. 
Lien(s) :
https://www.informatiquenews.fr/les-meilleurs-sites-pour-surveiller-levolution-de-la-pandemie-et-les-technologies-quils-utilisent-68216

 

Type de ressources : WhatsApp introduit une fonctionnalité de fact-checking pour lutter contre la désinformation liée au COVID-19 
Cible : Grand public
Date de publication : 03/08/2020
Description : Cette nouvelle fonctionnalité se concrétise par une icône en forme de loupe sur laquelle les utilisateurs peuvent cliquer pour obtenir plus d’informations sur les messages qui leur sont transférés. Elle vise à lutter contre la désinformation liée au COVID-19 propagée par des articles de presse ou par des messages transférés de nombreuses fois. Cette fonctionnalité n’est pour l’instant disponible que dans sept pays (États-Unis, Brésil, Espagne, Irlande, Italie, Mexique, Royaume-Uni).
Lien(s) : https://blog.whatsapp.com/search-the-web

 

Autres actualités

Pays : Union européenne
Sujet : La Commission européenne choisit SAP et Deutsche Telekom pour créer une plateforme rendant les applications de traçage numérique européennes interopérables
Date de publication : 31/07/2020
Description : Cette plateforme a pour objectif de permettre l’échange transfrontalier des notifications d’exposition au COVID-19. Les applications de traçage numérique françaises et hongroises risquent néanmoins d’être incompatibles avec cette future passerelle car les données des utilisateurs sont stockées sur des serveurs centralisés, à la différence des applications reposant sur l’API de Google et Apple adopté par une majorité de pays européens.
Lien(s) :
https://www.reuters.com/article/us-health-coronavirus-europe-tech/sap-deutsche-telekom-to-build-corona-app-gateway-for-european-commission-idUSKCN24W277

 

Pays : Afrique du Sud
Sujet : Lancement d’un chatbot par SMS et sur WhatsApp destiné à renforcer le traçage des contacts des cas avérés de COVID-19
Date de publication : 17/07/2020
Description : COVIDConnect vise à informer les citoyens sur l’évolution de la pandémie, à leur fournir les résultats de leurs tests mais également à les alerter s’ils sont rentrés en contact avec un cas avéré de COVID-19. Un utilisateur testé positif devra identifier ses contacts via cette plateforme afin qu’ils reçoivent une alerte. L’Afrique du Sud n’ayant pas développé d’application de traçage numérique, cette nouvelle solution digitale vient renforcer un système de traçage manuel des contacts. 
Lien(s) :
https://sacoronavirus.co.za/2020/07/17/health-department-launches-covid-service-portal/

 

Retrouvez notre précédent bulletin de VEILLE CYBERSÉCURITÉ !