COVID-19 : VEILLE CYBERSÉCURITÉ #23 – 5 novembre 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le ransomware Vaggen

Attaque : L’Université de la Colombie-Britannique au Canada ciblée par un ransomware diffusé via une campagne de phishing exploitant un faux sondage sur le COVID-19
Procédé : Campagne de phishing
Cible : Université de la Colombie-Britannique (UBC)
Date de publication : 28/10/2020
Lien(s) :
https://blog.malwarebytes.com/cybercrime/2020/10/fake-covid-19-survey-hides-ransomware-in-canadian-university-attack/

Description

Comme illustré dans nos bulletins de veille cybersécurité COVID-19 publiés depuis début mars, les groupes d’attaquants exploitent cette pandémie afin de piéger les utilisateurs et installer des malwares sur leurs ordinateurs.

Une des dernières occurrences est l’attaque par ransomware ayant ciblé l’Université de la Colombie-Britannique (UBC) et rapportée par les équipes de MalwareBytes. Cette attaque, mettant en scène un faux questionnaire lié à la pandémie COVID-19, visait à installer sur le poste des victimes un nouveau ransomware ayant, semble-t-il, été codé par les attaquants eux-mêmes.

Mode opératoire

Dans le cas de l’attaque ciblant l’UBC, les attaquants ont envoyé un e-mail invitant les utilisateurs à compléter un questionnaire frauduleux lié à l’épidémie du COVID-19. Cependant, à la différence des campagnes de phishing traditionnelles, le questionnaire n’était pas envoyé en pièce jointe de l’e-mail mais devait être téléchargé par les victimes depuis les plateformes Box.net ou DropBox (probablement dans le but d’éviter les détections antivirus et protection anti-spam). Une fois le document téléchargé et ouvert, la macro contenue dans le document télécharge deux fichiers (Polisen.exe et Killar.exe) depuis un serveur distant. Le programme Killar.exe est exécuté et chiffre ensuite tous les documents présents sur le poste de la victime en ajoutant l’extension « .VAGGEN ». Développé en GO, le ransomware utilise le chiffrement AES-256 (avec une clé de 32 bits) en Galois/Counter Mode (GCM).

Les experts de MalwareBytes, ayant obtenu accès au ransomware via les équipes de cybersécurité de l’UBC ont pu analyser son comportement du ransomware et extraire la clé de chiffrement (codée en dur dans le programme). La clé extraite « du_tar_mitt_hjart_mina_pengarna0 » est une phrase en suédois signifiant « tu prends mon cœur mon argent ».

Les équipes de l’UBC ont affirmé qu’aucun utilisateur n’avait téléchargé le document, ce qui pourrait s’expliquer par la spécificité de son déploiement via des plateforme d’échanges (Box.net et DropBox). Il est également intéressant de noter que le montant de la rançon était relativement bas : 80 USD. En conclusion, l’attaque ne semble pas avoir abouti, puisque, aux dernières nouvelles, le portefeuille Bitcoin associé à cette attaque est vide.

 

Menaces

Attaque : Une publication conjointe du FBI, du CISA et du département de Santé américain (HHS) alerte contre des attaques par ransomware ciblant le secteur de la santé aux États-Unis
Procédé : Campagnes de phishing
Cible : Établissements de santé aux États-Unis
Date de publication : 28/10/2020
Description : Cette alerte met garde contre des campagnes de phishing diffusant les malwares BazarLoader et Trickbot, permettant aux cybercriminels de télécharger les ransomwares Ryuk et Conti sur le réseau des organisations ciblées. Dans les jours suivants cette alerte, le centre médical Wyckoff Heights de Brooklyn et le réseau de santé de l’Université du Vermont ont été victimes de ce type d’attaques. Retrouvez ici notre focus sur le ransomware Ryuk présenté lors d’un bulletin de Veille Cybersécurité précédent.
Lien(s) : https://us-cert.cisa.gov/ncas/alerts/aa20-302a
https://securityaffairs.co/wordpress/110175/cyber-crime/brooklyn-vermont-us-hospitals-ransowmare.html

 

Attaque : Impliqué dans la recherche sur un vaccin contre le COVID-19, le laboratoire Dr. Reddy’s a été victime d’une cyberattaque
Procédé : Vol de données
Cible : Laboratoire Dr. Reddy’s
Date de publication : 22/10/2020
Description : Chargé de développer le vaccin Sputnik-V contre le COVID-19 pour la Russie, le laboratoire a annoncé avoir été la cible d’une attaque par ransomware. En conséquence, les systèmes d’information affectés ont été isolés et l’activité des sites de production interrompue. Une enquête a également été lancée pour déterminer si des données médicales personnelles ont été compromises. 
Lien(s) :
https://securityaffairs.co/wordpress/109994/hacking/covid-19-vaccine-manufacturer-hacked.html
https://www.livemint.com/companies/news/dr-reddy-s-provides-update-on-cyber-attack-11603873684385.html

 

Attaque : Le CISA publie une alerte sur le groupe de cybercriminels nord-coréens Kimsuky ayant notamment ciblé la recherche sur le COVID-19 pour obtenir des informations confidentielles
Procédé : Social engineering/spear-phishing
Cible : Entités gouvernementales, laboratoires de recherche médicale, journalistes, etc.
Date de publication : 27/10/2020
Description : Supposément lié au gouvernement nord-coréen, Kimsuky mène principalement des activités d’espionnage. Il opère des campagnes de spear-phishing pour gagner l’accès initial au réseau des organisations ciblées et distribue notamment le malware BabyShark, conçu pour exfiltrer les données de l’appareil infecté. Dans le courant de l’année 2020, le groupe s’est également appuyé sur des leurres COVID-19 pour inciter ses victimes à ouvrir des pièces jointes malveillantes.
Lien(s) : https://us-cert.cisa.gov/ncas/alerts/aa20-301a
https://www.cybereason.com/blog/back-to-the-future-inside-the-kimsuky-kgh-spyware-suite

 

Attaque : La firme pharmaceutique japonaise Shionogi & Co., travaillant sur un vaccin contre le COVID-19, a été ciblée par un ransomware
Procédé : Vol de données
Cible : Shionogi & Co.
Date de publication : 22/10/2020
Description : Les cybercriminels ont publié des licences d’importation d’équipements médicaux et des permis de résidence des employés sur des forums du Darkweb et menacent d’en diffuser davantage si la firme japonaise ne paye pas la rançon demandée. Shionogi & Co a néanmoins déclaré qu’aucune information sur les essais cliniques n’a été compromise et que ses activités au Japon n’ont pas été affectées.
Lien(s) :
https://www.japantimes.co.jp/news/2020/10/23/business/corporate-business/japan-shionogi-cyberattack-data-breach/

 

Attaque : Des e-mails frauduleux prétendent fournir les résultats de dépistage au COVID-19 pour diffuser une nouvelle variante du ransomware Hentai OniChan
Procédé : Campagne de phishing
Cible : Grand public
Date de publication : 02/11/2020
Description : Les e-mails imitent des établissements de santé pour inciter leurs cibles à ouvrir une pièce jointe frauduleuse en format PDF ou HTML contenant le prétendu résultat de leur test de dépistage. Une fois ouverte, elle exécute King Engine, une nouvelle variante du ransomware Hentai OniChan, qui exfiltre les données et demande une rançon de plus de 500 000 dollars en Bitcoin.
Lien(s) :
https://cofense.com/coronavirus-test-results-return-data-exfiltrating-ransomware/

 

Fraudes

Attaque : Des cybercriminels exploitent le COVID-19 pour voler de l’argent à des utilisateurs de Zoom
Procédé : Escroquerie
Surface/Application : E-mails
Date de publication : 28/10/2020
Description : Cette campagne de phishing exploite la hausse de l’utilisation des plateformes de visioconférence telles que Zoom depuis le début de la pandémie de COVID-19 pour piéger ses victimes. Les e-mails frauduleux prétendent avoir obtenu l’accès à la caméra et aux données de leurs cibles grâce à une vulnérabilité zero-day de Zoom et en profitent pour leur demander de payer une rançon en Bitcoin sous la menace de divulguer des images compromettantes.
Lien(s) :
https://hotforsecurity.bitdefender.com/blog/covid-19-zoom-and-bedroom-lewdness-make-for-sly-sextortion-tactic-24436.html

 

Attaque : Des cybercriminels ont pris le contrôle du site web du président américain Donald J. Trump pour demander des dons en cryptomonnaie.
Procédé : Désinformation/escroquerie
Surface/Application : Donaldjtrump.com
Date de publication : 28/10/2020
Description : Durant trente minutes, les cybercriminels ont pu afficher une note suggérant que le gouvernement américain était impliqué dans la création du COVID-19 et appelant à faire des dons en Monero pour soutenir leur cause. Le site web a pu être rétabli rapidement et l’équipe de campagne du président américain a précisé qu’il ne comprenait aucune donnée sensible qui aurait pu être volée.
Lien(s) :
https://arstechnica.com/tech-policy/2020/10/trumps-website-defaced-with-claim-that-trump-admin-created-coronavirus/

 

Ressources utiles

Type de ressources : CovidTracker, un outil développé par un data scientist français pour suivre l’évolution de la pandémie de COVID-19 en France et dans le monde
Cible : Grand public
Date de publication : MAJ quotidienne
Description : Disponible depuis le printemps, cette plateforme croise les données de l’OMS, de l’INSEE et de Santé Publique France au travers de différents tableaux de bord permettant de suivre l’évolution du virus au niveau international, national, régional ou départemental. Ces derniers renseignent notamment sur le nombre de décès, de cas positifs, de personnes hospitalisées et en réanimation.
Lien(s) : https://covidtracker.fr/

 

Autres actualités

Pays : International
Sujet : Le groupe de cybercriminels Maze aurait mis fin à ses opérations
Date de publication : 29/10/2020
Description : Le groupe opérant le ransomware Maze aurait en effet commencé à supprimer les données volées figurant sur leur site internet. Néanmoins, BleepingComputer avance que plusieurs de ses membres auraient basculé vers une nouvelle opération de ransomware intitulée Egregor depuis le mois de septembre 2020. Actifs depuis mai 2019, le groupe opérant le ransomware Maze a notamment ciblé des établissements de santé depuis le début de la pandémie de COVID-19.
Lien(s) :
https://www.bleepingcomputer.com/news/security/maze-ransomware-is-shutting-down-its-cybercrime-operation/

 

Pays : Union Européenne
Sujet : Lancement de la plateforme d’interopérabilité entre les applications européennes de traçage de contacts
Date de publication : 19/10/2020
Description : Cette plateforme permet aux applications de traçage de contacts des pays européens de fonctionner hors de leurs frontières et d’interagir entre elles. Les applications allemande, irlandaise, italienne, danoise, lettone et espagnole ont été les premières à être liées par ce service. Les applications de 14 pays autres pays de l’UE devraient être intégrées dans le courant du mois de novembre. En effet, les applications ne reposant pas sur un modèle de stockage des données décentralisé ne pourront pas bénéficier de cette plateforme, à l’instar de TousAntiCovid en France.
Lien(s) : https://ec.europa.eu/commission/presscorner/detail/en/ip_20_1904
https://www.brusselstimes.com/news/eu-affairs/136566/european-countries-contact-tracing-apps-commission-interoperability-gateway/

 

Pays : Royaume-Uni
Sujet : L’application de traçage de contacts britannique n’a pas alerté tous les cas contacts au COVID-19 à cause d’une erreur de programmation
Date de publication : 02/11/2020
Description : À cause de cette erreur présente depuis septembre 2020, l’application n’a pas pu alerter tous les cas contacts au COVID-19 car les alertes n’étaient envoyées qu’à ceux ayant été en contact avec un cas avéré pendant une durée cinq fois supérieure à ce qui était initialement prévu. En conséquence, plusieurs milliers de personnes n’ont pas reçu la consigne de s’isoler. L’erreur a depuis été corrigée.
Lien(s) :
https://www.theguardian.com/world/2020/nov/02/fault-in-nhs-covid-app-meant-thousands-at-risk-did-not-quarantine