COVID-19 : VEILLE CYBERSÉCURITÉ #21 – 8 octobre 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le  ransomware Ryuk 

Attaque : Les réseaux informatiques de plusieurs hôpitaux de l’Universal Health Services mis hors service par le ransomware Ryuk
Procédé : Campagne de phishing
Cible : Hôpitaux UHS aux États-Unis, y compris ceux de Californie, de Floride, du Texas, d’Arizona et de Washington DC
Date de publication : 28/09/2020
Lien(s) :
https://www.uhsinc.com/statement-from-universal-health-services/
https://threatpost.com/universal-health-ransomware-hospitals-nationwide/159604/
https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/

 

Description 

L’Universal Health Service (UHS) est un grand groupe hospitalier présent au classement Fortune 500 et comprenant environ 400 établissements de santé aux États-Unis. Un employé de l’une des installations de l’UHS a constaté sur son poste informatique, la présence de certains fichiers chiffrés ayant pour extension .ryk et la phrase « Shadow of the Universe », laissant supposer que le ransomware  Ryuk est derrière cette attaque. Alors que les hôpitaux sont densément occupés par des patients atteints du COVID-19, le personnel soignant s’est vu contraint de ne plus pouvoir utiliser le matériel informatique.

Mode opératoire 

Le ransomware Ryuk est couramment délivré par le biais d’un autre malware. En général, le malware Emotet est délivré par des campagnes de phishing. Il livre par la suite le malware TrickBot, qui collecte des informations et offre la possibilité aux attaquants via un reverse shell, de lancer ensuite le ransomware Ryuk. Il est constitué d’un dropper qui crée un exécutable contenant la véritable charge utile du ransomware.

Ce dropper appelle la fonction IsWow64Process qui détermine si le système est en 32 bits ou en 64 bits afin de délivrer la charge utile correspondante. Deux scripts batch sont ensuite exécutés afin de désactiver un maximum de protections sur le système. Enfin, il agit en chiffrant un ensemble de fichiers non critiques pour le système, c’est-à-dire en évitant certains répertoires système et certaines extensions (.dll et .exe notamment). Le chiffrement se fait en AES 256 bits. Une clé est générée pour chaque fichier. Elle est stockée à la fin du fichier puis chiffrée en RSA 4096 bits avec la clé publique des cybercriminels directement embarquée dans l’exécutable.

Le déchiffrement peut s’effectuer qu’après le paiement de la rançon. Après avoir chiffré le disque dur principal, Ryuk s’attaque à tous les autres disques connectés en appelant la fonction GetLogicalDrives. Il s’attaque également aux appareils accessibles sur le réseau via la fonction GetIpNetTable. Ce ransomware, contrairement à d’autres ransomwares comme WannaCry, est utilisé par les cybercriminels pour cibler des entreprises en particulier.

 

Menaces

Attaque : eResearchTechnology (ERT), une société de logiciels soutenant des essais cliniques contre le COVID-19 visée par un ransomware
Procédé : Vol de données
Cible : Système informatique d’ERT / Données des patients
Date de publication : 03/10/2020
Description : Le système d’information d’ERT a été touché par un ransomware. Les données confidentielles des patients ont été bloquées entrainant ainsi des retards sur les essais cliniques de vaccins contre le COVID-19. La société de Philadelphie a pu mettre son système hors ligne à temps sans préciser l’ampleur des dégâts. L’un des clients d’ERT, IQVIA, une organisation de recherche sous contrat aidant à gérer l’essai du vaccin COVID-19 du groupe pharmaceutique AstraZeneca a également été visée. IQVIA a tout de même pu limiter les pertes en sauvegardant ses données.
Lien(s) :
https://www.nytimes.com/2020/10/03/technology/clinical-trials-ransomware-attack-drugmakers.html

Attaque : Menacé par la divulgation de ses données, l’hôpital universitaire du New Jersey paye une rançon de 670 000 de dollars
Procédé : Ransomware/Fuite de données
Cible : Réseau informatique
Date de publication : 03/10/2020
Description : Afin d’empêcher la publication de 240 Go de données confidentielles, l’hôpital universitaire du New Jersey a payé 61,90 bitcoins de rançon aux cybercriminels. L’hôpital a été touché par le ransomware « SunCrypt » qui s’est infiltré dans son réseau. Ce dernier a volé puis chiffré les données des patients. Après la publication de plus de 48 000 documents de l’hôpital, ce dernier a cédé afin de protéger le reste des données de ses patients.
Lien(s) :
https://www.bleepingcomputer.com/news/security/new-jersey-hospital-paid-ransomware-gang-670k-to-prevent-data-leak/

 

Attaque : L’outil de surveillance du COVID-19 indien expose des millions de données utilisateurs
Procédé : Vol de données
Cible : Utilisateurs de « Surveillance Platform Uttar Pradesh COVID-19 
Date de publication : 23/09/2020
Description : Les chercheurs de VPNnentor ont mis au jour d’importantes vulnérabilités sur cet outil de traçage des patients atteints du COVID-19 exposant les données de 8 millions de citoyens indiens. Ces vulnérabilités majeures ont permis aux chercheurs d’avoir accès à un référentiel Git non sécurisé, au tableau de bord d’administration de la plateforme et à un index séparé des fichiers CSV contenant les rapports quotidiens des patients. Les chercheurs ont affirmé que la plateforme est restée vulnérable d’août à septembre 2020.
Lien(s) :
https://www.vpnmentor.com/blog/report-india-covid-leak/    

 

Fraudes

Attaque : Microsoft supprime 18 applications Azure Active Directory utilisées par le groupe Gadolinium pour mener des campagnes de phishing avec des leurres COVID-19
Procédé : Campagnes de spear-phishing
Surface/Application : Messagerie/Fichiers PowerPoint
Date de publication : 24/09/2020
Description : Après avoir analysé l’évolution des techniques d’attaques du groupe d’APT Gadolinium, parrainé par la Chine, le Microsoft Threat Intelligence Center (MSTIC) a pris des mesures proactives pour empêcher ces cybercriminels d’exploiter leur infrastructure Cloud en fermant 18 applications Azure AD. Ces applications faisaient partie d’un ensemble d’outils de commande et contrôle ainsi que de post-exploitation se basant sur Empire.
Lien(s) :
https://www.microsoft.com/security/blog/2020/09/24/gadolinium-detecting-empires-cloud/

 

Attaque : Des cybercriminels se servent des subventions proposées par Facebook pour escroquer les entreprises touchées par l’épidémie
Procédé : Campagne de phishing
Surface/Application : Messagerie
Date de publication : 28/09/2020
Description : Facebook a annoncé 100 millions de dollars de subventions pour les PME touchées par la pandémie du COVID-19. 30 000 entreprises situées dans les régions où Facebook exerce ses activités sont éligibles. Les cybercriminels ont copié le site web de la chaîne de télévision américaine CNBC et ont diffusé un article proposant l’offre de Facebook. Les victimes ont été invitées à cliquer sur un lien frauduleux puis à renseigner leurs informations de comptes Facebook.
Lien(s) :
https://www.kaspersky.com/blog/facebook-grants/37181/ https://www.facebook.com/business/small-business/grants

 

Attaque : Une entreprise britannique sanctionnée pour avoir envoyé des SMS faisant la promotion de gels hydroalcooliques non efficaces contre le COVID-19
Procédé : Escroquerie/Vol de données
Surface/Application : SMS
Date de publication : 24/09/2020
Description : Le bureau du commissaire à l’information (ICO) du Royaume-Uni a infligé une amende de 60 000 livres sterling à la société Digital Growth Experts Limited (DGEL) pour avoir envoyé des SMS importuns sans autorisations des victimes. Ces SMS envoyés via une plateforme de messagerie SMS en masse, Voodoo SMS, faisaient la promotion de produits désinfectants pour les mains alors qu’il apparait de surcroît que ces derniers n’étaient pas efficaces contre le COVID-19.
Lien(s) :
https://ico.org.uk/action-weve-taken/enforcement/digital-growth-experts-limited-mpn/
https://www.zdnet.com/article/ico-fines-profiteering-uk-firm-for-touting-coronavirus-products-over-spam-texts/

 

Ressources utiles

Type de ressources : Guide de l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) américaine sur le télétravail
Cible : Dirigeants et télétravailleurs
Date de publication : 02/10/2020
Description : Alors que le télétravail se répand, le CISA fournit des recommandations pour aider les entreprises à assurer et renforcer leur cybersécurité. Ce guide est un recueil de recommandations, de conseils rapides et présente des liens vers des ressources plus approfondies pour les employés. Il met en exergue l’écosystème de la sécurité du télétravail selon trois points de vue : le dirigeant, le professionnel de la sécurité et l’employé.
Lien(s) :
https://www.cisa.gov/sites/default/files/publications/20-02019b%20-%20Telework_Essentials-08272020-508v2.pdf

 

Autres actualités

Pays : États-Unis
Sujet : Walmart distribue par drones des kits de tests pour dépister le COVID-19
Date de publication : 05/10/2020
Description : Le distributeur américain a annoncé le lancement d’essais de livraison de kits d’auto-collecte COVID-19 en partenariat avec Quest Diagnostics et DroneUp. Ces kits seront déposés gratuitement dans les jardins des clients et une fois le test effectué, ces derniers pourront renvoyer leurs échantillons via une étiquette prépayée, incluse dans le kit. Cette expérience concerne les clients situés à 1,6 km du centre de distribution et dans les alentours de Las Vegas.  
Lien(s) :
https://siecledigital.fr/2020/10/05/walmart-utilise-des-drones-pour-livrer-des-kits-de-depistage-au-covid-19/

 

Pays : États-Unis
Sujet : Google Maps va cartographier la pandémie du COVID-19
Date de publication : 24/09/2020
Description : Google Maps va intégrer sous peu une surcouche capable de cartographier la progression de la pandémie. Un onglet « COVID » sera disponible sur l’application (iOS et Android) et permettra de voir le nombre moyen de cas positifs dans chaque région et sur une durée de sept jours. En fonction du taux de cas, un code couleur sera mis en place allant de vert, orange à rouge. Les données utilisées proviendront du tableau de bord COVID-19 de Johns Hopkins, du New York Times et de Wikipedia.
Lien(s) :
https://www.presse-citron.net/google-maps-devrait-cartographier-la-pandemie-de-covid-19-dici-la-fin-de-la-semaine/

 
Retrouvez notre précédent bulletin de VEILLE CYBERSÉCURITÉ !