COVID-19 : VEILLE CYBERSÉCURITÉ #18 – 27 août 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur des campagnes de phishing prétendant fournir des informations sur des vaccins contre le COVID-19

Attaque : Des cybercriminels prétendent fournir des informations sur les vaccins contre le COVID-19 pour diffuser des malwares et voler des données personnelles 
Procédé : Phishing
Cible : Grand public
Date de publication : 11/08/2020
Lien(s) :
https://blog.checkpoint.com/2020/08/11/threat-actors-join-in-the-race-towards-a-coronavirus-vaccine/

Description   

Les attaques liées au COVID-19 ont explosé lors du mois de mars, avec un total estimé à plus de 700000 attaques à son pic de croissance en mai. Après une première vague de COVID-19, les recherches d’un potentiel vaccin sont à présent au cœur de l’actualité. Cette situation n’a donc pas échappé aux cybercriminels : en effet, nous observons de plus en plus de campagnes de phishing en lien avec les vaccins contre le COVID-19.

Mode opératoire 

Les cybercriminels profitent donc des avancées du développement d’un vaccin contre le COVID-19 afin de diffuser des campagnes de phishing ou d’envoyer des spams contenant des logiciels malveillants.

Prenons l’exemple de la campagne de phishing rapportée par Checkpoint ayant pour objet « URGENT INFORMATION LETTER: COVID-19 NEW APPROVED VACCINES ». Ces e-mails contiennent un exécutable windows .EXE malveillant du nom de « Download_Covid 19 New approved vaccines.23.07.2020.exe ». Après s’être exécuté sur le système de la victime, il installe un logiciel malveillant voleur de données telles que des mots de passe et des informations bancaires.

Une autre campagne de phishing a elle aussi été découverte par les équipes de Checkpoint. Des e-mails avec l’objet suivant « UK coronavirus vaccine effort is progressing badly appropriate, recruiting consequence and elder adults » contiennent un lien malveillant « surgicaltoll[.]com/vy2g4b[.]html » redirigeant vers le site de phishing « thelifestillgoeson[.]su ». Ce dernier imite une pharmacie canadienne légitime afin d’obtenir des informations personnelles des victimes.

 

Menaces

Attaque : L’Agence du revenu du Canada (ARC) interrompt la distribution d’aide financière liée au COVID-19 suite au vol de données de milliers de comptes utilisateurs
Procédé : Vol de données
Cible : Comptes utilisateurs de l’ARC
Date de publication : 15/08/2020
Description : Suite à deux cyberattaques de credential stuffing affectant les comptes et mots de passe utilisateurs de l’Agence du revenu du Canada, cette dernière a fermé ses services en ligne et interrompu sa distribution d’aide financière liée à la pandémie du COVID-19. Bien que 5500 comptes aient été affectés par des cyberattaques, l’agence a rapidement désactivé l’accès aux comptes pour assurer la sécurité des informations des utilisateurs. Les attaquants ont cependant pu modifier des e-mails associés aux comptes de l’ARC et réclamer frauduleusement ladite aide financière.
Lien(s) :
https://www.cbc.ca/news/politics/canada-revenue-agency-cra-cyberattack-1.5688163

 

Attaque : Des cybercriminels utilisent des leurres COVID-19 pour diffuser le malware Emotet
Procédé : Phishing
Cible : Entités privées aux États-Unis
Date de publication : 14/08/2020
Description :   Un e-mail contenant une pièce jointe malveillante exploitant le thème du COVID-19 est envoyé aux victimes. Cette pièce jointe s’apparentant à un document Word ne peut être ouverte que si les utilisateurs cliquent sur l’onglet « Activer le contenu » afin de pouvoir le visualiser correctement. Une fois activé, le malware est téléchargé et installe par la suite d’autres logiciels malveillants tels que Qbot ou TrickBot afin de voler les données et mots de passe des victimes.
Lien(s) :
https://www.bleepingcomputer.com/news/security/emotet-malware-strikes-us-businesses-with-covid-19-spam/

 

Fraudes

Attaque : Le département de la Justice des États-Unis démantèle une campagne de financement de l’État Islamique s’appuyant sur la vente frauduleuse d’équipements médicaux
Procédé : Vente frauduleuse/vol d’argent
Surface/Application : Site web frauduleux : FaceMaskCenter[.]com
Date de publication : 13/08/2020
Description : Le Département de lutte contre la fraude et le service de lutte contre le financement du terrorisme ont conjointement mis au jour un site web frauduleux de vente d’équipements de protection individuelle contre le COVID-19. Ce site, dont le Département annonce que l’administrateur est Murat Cakar, un facilitateur de l’EI, prétendait vendre des masques respiratoires N95 approuvés par la FDA et d’autres équipements de protection pour les hôpitaux. Le site web a été saisi et supprimé ainsi que quatre pages Facebook associées. 
Lien(s) :
https://www.justice.gov/opa/pr/global-disruption-three-terror-finance-cyber-enabled-campaigns

 

Attaque : Le département de la Justice des États-Unis ferme 300 sites frauduleux exploitant le COVID-19
Procédé : Vente frauduleuse
Surface/Application : Sites web frauduleux
Date de publication : 12/08/2020
Description : Cette action coercitive fait suite à une enquête menée par l’U.S. Immigration and Customs Enforcement’s (ICE), l’Homeland Security Investigations (HSI), en coordination avec le ministère vietnamien de la Sécurité publique. Cette enquête a révélé plusieurs campagnes de fraudes électroniques menées par des ressortissants vietnamiens. Plus de 300 sites web frauduleux ont ainsi été créés, prétendant vendre des produits devenus rares pendant la pandémie tels que des désinfectants pour les mains. Des milliers de victimes ont payé sans jamais recevoir leurs biens.
Lien(s) :
https://www.justice.gov/opa/pr/justice-department-acts-shut-down-fraudulent-websites-exploiting-covid-19-pandemic

 

Attaque : Une campagne de phishing utilisant des leurres COVID-19 imite Orange pour voler des informations personnelles et bancaires
Procédé : Phishing
Surface/Application : SMS/Site web frauduleux
Date de publication : 12/08/2020
Description :  Des utilisateurs ont reçu un SMS frauduleux les incitant à se rendre sur leur espace de facturation et rentrer leurs informations personnelles et bancaires pour recevoir un remboursement de 22,90 euros. Les pages du site web ont été reproduites à l’identique avec un « .fr » apportant davantage de crédibilité. Il est à noter que l’identité utilisée pour acheter le nom de domaine est similaire à celle ayant servi à acheter «mafacturesfr.fr », également exploitée dans les campagnes de phishing visant Bouygues Telecom et SFR, ce qui permet de supposer qu’il s’agit des mêmes attaquants.
Lien(s) :
https://cyberguerre.numerama.com/7041-faux-remboursement-orange-ne-vous-faites-pas-pieger-par-ce-phishing-tres-convaincant.html

 

Attaque : Des sites frauduleux ont été créés suite à l’annonce du gouvernement russe quant au lancement de son vaccin contre le COVID-19
Procédé : Phishing
Surface/Application : Sites frauduleux
Date de publication : 23/08/2020
Description : Dans les dix jours qui ont suivi l’enregistrement du vaccin par les autorités russes, 113 noms de domaines en lien avec des sites frauduleux prétendant permettre la précommande de vaccins contre le COVID-19 en mars dernier, sont apparus dans les zones .com et .ru. En juillet-août 2020, ce sont près de 445 domaines qui ont été enregistrés, soit environ neuf par jour.  Ces sites proposaient d’acheter un vaccin et un médicament inexistants contre le coronavirus.
Lien(s) :
https://www.ehackingnews.com/2020/08/russian-media-reported-on-fake-domains.html

 

Attaque : Netsential, une agence de développement web victime d’une divulgation de données de patients atteints du COVID-19
Procédé : Vol de données
Surface/Application : Portail en ligne
Date de publication : 24/08/2020
Description : L’une des agences de développement web sous-traitante du Département de la Sécurité publique (Fusion Center) du Dakota du Sud a été victime d’une fuite de données. Ces données qui concernent principalement des enquêtes clients de Netsential sont recueillies via un portail en ligne sécurisé pour identifier et aider les personnes atteintes du COVID-19. La défaillance du système de sécurité a permis un accès non autorisé sur les statuts des personnes traitées, entraînant une perte de données sensibles.
Lien(s) :
https://www.databreachtoday.com/covid-19-data-compromised-in-blueleaks-incident-a-14879
https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/netsential-notification-letter1.pdf

 

Ressources utiles

Type de ressources : Google lance une carte interactive pour suivre l’évolution de la pandémie de COVID-19 dans le monde
Cible : Journalistes
Date de publication : 10/08/2020
Description : Baptisée « COVID-19 Global Case Mapper », cette carte interactive réalisée en partenariat avec l’Université de Stanford, recense les données de 176 pays en plus des États-Unis, là où elle a vu le jour. Des données plus détaillées sur les pays seront ajoutées au fil du temps au fur et à mesure que la carte sera développée. En effet, contrairement à d’autres cartes recensant des cas de coronavirus, le projet Case Mapper permet également aux journalistes locaux d’intégrer une carte de leur région et/ou de leur ville.
Lien(s) :
https://blog.google/outreach-initiatives/google-news-initiative/new-global-covid-19-map-journalists/

 

Type de ressources : Rapport sur le télétravail et sur l’impact du COVID-19 sur la sécurité des entreprises
Cible : Chefs d’entreprise, RSSI
Date de publication : 20/08/2020
Description : Ce rapport met en avant le manque de cybersécurité en télétravail et expose un point de vue stratégique pour les décideurs et dirigeants d’entreprise à l’aide de sondages. Ce rapport revient également sur les menaces et fraudes les plus utilisées par les pirates informatiques durant la période du COVID-19 et signalées par des entreprises de cybersécurité.
Lien(s): https://resources.malwarebytes.com/files/2020/08/Malwarebytes_EnduringFromHome_Report_FINAL.pdf

 

Autres actualités

Pays : Royaume-Uni
Sujet : La nouvelle application nationale de traçage des contacts entre en phase de tests
Date de publication : 13/08/2020
Description : Le gouvernement britannique a abandonné sa première application basée sur un modèle centralisé au profit de l’API de Google/Apple. Celle-ci comporte une série de fonctionnalités supplémentaires et améliorées. Par exemple, l’application alerte les personnes ayant été en contact avec des porteurs du virus.  Au total, depuis son lancement, près de 78,2% des individus qui ont été testés positifs ont vu leurs données transférées afin qu’elles soient partagées avec autrui.
Lien(s) :
https://www.gov.uk/government/news/test-and-trace-service-reaches-more-than-250-000-people-since-launch

 

Pays : États-Unis
Sujet : Deux sénateurs républicains ont déposé une proposition de loi destinée à protéger les universités travaillant sur un vaccin contre le COVID-19 des cybercriminels
Date de publication : 11/08/2020
Description : Les sénateurs Andy Barr et Frank Lucas ont présenté un projet de loi pour protéger la recherche scientifique et permettre aux universités et aux instituts de recherches d’accéder à des conseils en matière de cybersécurité. Ce projet demande à l’Institut national des normes et de la technologie (NIST) de fournir des orientations et bonnes pratiques spécifiques sur la cybersécurité afin de réduire la menace.
Lien(s) :
https://lucas.house.gov/news/press-releases/barr-and-lucas-introduce-legislation-give-universities-tools-protect-covid-19

 

Pays : International 
Sujet : Le chien robot Spot sera déployé dans les hôpitaux pour relever des données de santé des patients atteints du COVID-19
Date de publication : 20/08/2020
Description : Le MIT et Boston Dynamics ont collaboré dans le lancement d’une version médicalisée du chien robot Spot. Afin de limiter les contacts physiques du personnel soignant avec leurs patients atteints du COVID-19, Spot s’occupera de relever les données de santé. Equipé d’une tablette, Spot permet aux médecins de s’entretenir virtuellement avec leur patient pendant que ce dernier effectue les examens. En avril dernier, Spot avait déjà été testé au sein du Brigham and Women’s Hospital.
Lien(s) :
https://siecledigital.fr/2020/08/20/docteur-spot-le-robot-se-met-au-service-de-la-lutte-contre-le-covid-19/

 

Retrouvez notre précédent bulletin de VEILLE CYBERSÉCURITÉ !