COVID-19 : VEILLE CYBERSÉCURITÉ #29 – 4 février 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le ransomware Babuk

Attaque : Un ransomware a touché le groupe Serco, une des sociétés chargées de la gestion du système de dépistage et de suivi des cas de COVID-19 au Royaume-Uni
Procédé : Inconnu à l’heure actuelle
Cible : Serco Group
Date de publication : 31/01/2021
Lien(s) :
https://news.sky.com/story/covid-19-nhs-test-and-trace-unaffected-by-cyber-attack-at-serco-firm-says-12204747
https://blog.cyberint.com/babuk-locker
https://www.bleepingcomputer.com/news/security/babuk-locker-is-the-first-new-enterprise-ransomware-of-2021/

Description

Les groupes d’attaquants profitent de la peur générée par l’épidémie pour propager des logiciels malveillants sur les postes de leurs victimes. L’un des derniers cas est l’attaque du ransomware Babuk visant l’entreprise britannique Serco fournissant notamment des services de dépistage du COVID-19. L’attaque a été signalée par Sky News, qui a découvert l’incident après avoir récupéré un échantillon du ransomware téléchargé sur VirusTotal.

Cependant, l’entreprise Serco n’a ni commenté l’impact de l’attaque, ni indiqué si elle avait payé la demande de rançon. La firme a seulement précisé que ses activités liées à la gestion du système britannique de dépistage et de suivi des cas de COVID-19 n’ont pas été affectées. Selon la société de cybersécurité Cyberint, le groupe d’attaquants ne ciblerait pas les hôpitaux, les écoles ou les entreprises dont le chiffre d’affaires annuel est inférieur à 4 millions de dollars.

Mode opératoire

Bien que son code soit jugé comme amateur, le ransomware Babuk utilise un chiffrement robuste pour chiffrer les partages réseau qui empêchent les victimes de récupérer leurs fichiers. Celui-ci repose sur l’algorithme Diffie – Hellman à courbe elliptique correctement utilisé.  

Une fois lancé, le ransomware arrête divers services et processus Windows connus pour garder les fichiers ouverts et empêcher le chiffrement tels que la messagerie, le processus de sauvegarde, les serveurs de base de données et navigateurs web. Lors du chiffrement des fichiers, Babuk utilise une extension codée en dur qu’il ajoute à chaque fichier chiffré. L’extension actuellement utilisée est « .__ NIST_K571__ . ».

Chaque dossier chiffré contient un fichier « How To Restore Your Files.txt ». Ce dernier contient des informations sur le déroulement de l’attaque et un lien vers un site Tor où la victime peut entrer en contact avec les opérateurs du ransomware. La négociation de la rançon se fait via le site Tor et les attaquants demandent à leurs victimes si elles ont souscrit à une cyber-assurance et si elles travaillent avec une société de récupération des données.

Les opérateurs de Babuk demandent également aux victimes de leur transférer le fichier « % AppData% \ ecdh_pub_k.bin », qui contient la clé ECDH publique, leur permettant d’envoyer par la suite un logiciel de déchiffrement avec la clé privée associée à la victime.

Les Indicateurs de compromis (IoCs) du ransomware Babuk sont disponibles à la fin du post du blog de Cyberint.  

 

MENACES

Attaque : Une cyberattaque vise l’hôpital belge CHwapi, une des plateformes logistiques pour les vaccins contre le COVID-19 distribués en Wallonie
Procédé : Inconnu à l’heure actuelle
Cible : Hôpital CHwapi à Tournai, Belgique
Date de publication : 21/01/2021
Description : L’attaque a conduit à la paralysie de certains services de l’hôpital et à l’annulation d’une centaine d’opérations. Le CHwapi a déclaré qu’aucune donnée personnelle des patients n’avait été compromise, que le circuit logistique des vaccins contre le COVID-19 n’avait pas été affecté et qu’aucune rançon n’avait été demandée. Néanmoins, BleepingComputer a été contacté par les responsables présumés de l’attaque qui affirment que 40 serveurs et 100 Tb de données ont été chiffrés à l’aide de Windows BitLocker et qu’une demande de rançon a bien été exigée.
Lien(s) :
https://www.bleepingcomputer.com/news/security/chwapi-hospital-hit-by-windows-bitlocker-encryption-cyberattack/

 

Attaque : Des cyberattaques ont ciblé des partenaires de recherche de l’Institut Pasteur, impliqué dans le développement d’un vaccin contre le COVID-19
Procédé : Inconnu à l’heure actuelle
Cible : Le Centre national de la recherche scientifique (CNRS), l’Institut national de la santé et de la recherche médicale (Inserm) et plusieurs universités dont Paris-Descartes
Date de publication : 27/01/2021
Description : Rapportée par l’Express, cette campagne d’attaques n’aurait pas conduit à l’exfiltration de données. L’Agence nationale de la sécurité des systèmes d’informations (ANSSI) et la Direction générale de la sécurité intérieure (DGSI) auraient en outre été mobilisées pour mener une enquête approfondie.
Lien(s) :
https://www.usine-digitale.fr/article/des-cyberattaques-ont-cible-l-institut-pasteur-qui-vient-d-abandonner-son-projet-de-vaccin-contre-le-covid-19.N1054079
https://lexpansion.lexpress.fr/actualite-economique/vaccin-contre-le-covid-19-l-institut-pasteur-vise-par-des-cyberattaques_2143208.html

 

Attaque : Le malware Gamarue.I découvert sur des ordinateurs portables distribués à des enfants défavorisés pendant le confinement au Royaume-Uni
Procédé : Inconnu à l’heure actuelle
Cible : Ordinateurs distribués par le Département de l’Éducation britannique (DfE)
Date de publication : 21/01/2021
Description : Selon les sources citées par The Guardian, l’infection aurait eu lieu peu de temps après la sortie d’usine des ordinateurs concernés (Geo Geobooks 1E) et le malware aurait tenté de communiquer avec des serveurs russes lorsqu’il était actif. Gamarue.I est un ver informatique capable de voler des informations, de modifier les paramètres de sécurité des appareils infectés et de se propager au travers de périphériques amovibles.
Lien(s) :
https://www.theguardian.com/education/2021/jan/21/malware-reportedly-found-laptops-children-england

 

FRAUDES

Attaque : Des cybercriminels usurpent l’identité du National Health Service (NHS) britannique pour voler des informations personnelles à leurs victimes
Procédé : Campagnes de phishing
Surface/Application : E-mails
Date de publication : 25/01/2021
Description : Les e-mails frauduleux prétendent que leurs destinataires sont éligibles à une vaccination contre le COVID-19 pour les rediriger vers un site web de phishing. Ce dernier imite la charte graphique du NHS avec précision et invite les victimes à renseigner leurs informations personnelles (nom, numéro de téléphone, coordonnées bancaires, etc.). Une fois les formulaires remplis, la page de phishing redirige le navigateur web vers le site officiel du NHS, ce qui renforce la crédibilité de cette campagne.
Lien(s) :
https://www.bleepingcomputer.com/news/security/beware-of-this-active-uk-nhs-covid-19-vaccination-phishing-attack/
https://www.actionfraud.police.uk/alert/warning-criminals-continue-to-take-advantage-of-coronavirus-vaccine-roll-out-as-phishing-email-reports-soar

 

Attaque : De fausses cartes de vaccination vendues sur eBay et TikTok
Procédé : Escroquerie
Surface/Application : eBay et TikTok
Date de publication : 29/01/2021
Description : Le Better Business Bureau (BBB) conseille aux citoyens britanniques de ne pas partager de photos de leur carte certifiant leur vaccination sur les réseaux sociaux. Ces cartes contiennent en effet des informations personnelles sensibles (date de naissance, nom et prénom, lieu de vaccination) et ont déjà été copiées pour être revendues sur des plateformes telles qu’eBay ou TikTok.
Lien(s) :
https://www.bbb.org/article/news-releases/23675-bbb-tip-dont-share-your-vaccine-card-on-social-media

 

Attaque : Des données de millions de néerlandais contaminés par le COVID-19 ou ayant effectué un test de dépistage mises en vente sur des applications de messagerie instantanée
Procédé : Vol de données
Surface/Application : Telegram, Snapchat et Wickr
Date de publication : 25/01/2021
Description : Les données volées comprennent notamment les adresses, numéros de téléphone et l’équivalent du numéro de sécurité social français. Elles proviennent de deux systèmes informatiques nationaux destinés à conserver les données des personnes ayant effectué un test de dépistage (CoronIT) et des cas avérés de COVID-19 (HPzone Light). La police néerlandaise a arrêté deux employés du centre d’appel du Service médical et sanitaire municipal (GGD) et la fonction d’exportation des données de HPzone Light a été désactivée.  
Lien(s) :
https://securityaffairs.co/wordpress/113846/cyber-crime/covid-19-patient-data-sale.html
https://datanews.levif.be/ict/actualite/des-millions-de-donnees-privees-des-systemes-corona-neerlandais-mis-en-vente-en-ligne/article-news-1384615.html

 

Attaque : Des cybercriminels prétendent que leurs victimes sont éligibles à la vaccination contre le COVID-19 pour voler les informations personnelles de citoyens brésiliens
Procédé : Campagnes de phishing
Surface/Application : E-mails, WhatsApp
Date de publication : 22/01/2021
Description : Un chercheur en sécurité informatique chez Kasperky alerte sur plusieurs campagnes de phishing exploitant les vaccins contre le COVID-19. Dans l’une d’entre elles, des e-mails frauduleux redirigent leurs destinataires vers des sites web malveillants pour voler leurs identifiants de connexion d’entreprise. Une autre usurpe le ministère de la Santé brésilien pour convaincre les victimes d’envoyer leurs identifiants de connexion à WhatsApp afin de cloner leur compte et tenter de soutirer de l’argent à leurs contacts.
Lien(s) :
https://twitter.com/assolini/status/1352708851804594181

 

Attaque : Des cybercriminels usurpent l’identité de la Small Business Administration (SBA) pour voler des données personnelles et bancaires de dirigeants d’entreprises américains
Procédé : Campagne de phishing
Surface/Application : E-mails
Date de publication : 29/01/2021
Description : Les e-mails frauduleux prétendent que leurs destinataires sont éligibles à l’extension du programme d’aide financière mis en place depuis le début de la pandémie de COVID-19 pour les rediriger vers une page web de phishing. Les victimes sont alors invitées à renseigner un formulaire Microsoft Forms à l’aide de leurs informations personnelles et de données relatives à leur entreprise. Une fois en leur possession, les cybercriminels pourraient mener d’autres actions malveillantes.
Lien(s) :
https://abnormalsecurity.com/blog/ppe-extended-coverage-phishing/
https://www.bleepingcomputer.com/news/security/phishing-campaign-lures-us-businesses-with-fake-ppp-loans/

 

RESSOURCES UTILES

Type de ressources : La Cybersecurity and Infrastructure Security Agency (CISA) américaine lance une campagne de sensibilisation sur les ransomwares
Cible : Entités publiques et privées
Date de publication : 21/01/2021
Description : Cette campagne se focalise en priorité sur les organisations impliquées dans la lutte contre le COVID-19 et les établissements scolaires primaires et secondaires. Dans ce cadre, le CISA communiquera davantage sur les réseaux sociaux sur les bonnes pratiques à adopter pour limiter le risque des ransomwares. En complément, une page unique a été créée pour rassembler des ressources utiles telles que des alertes, des guides, des infographies ou encore des modules d’entraînement.
Lien(s) :
https://www.cisa.gov/news/2021/01/21/cisa-launches-campaign-reduce-risk-ransomware
https://www.cisa.gov/ransomware

 

AUTRES ACTUALITÉS

Pays : International
Sujet : Une coalition d’acteurs des secteurs de la santé et de l’informatique lance une initiative destinée à uniformiser les passeports de vaccination digitaux
Date de publication : 14/01/2021
Description : La Vaccination Credentials Initiative (VCI) rassemble des acteurs tels que le Mitre, Microsoft ou encore Oracle et a pour objectif de créer un passeport de vaccination digital interopérable à l’international et accessible aisément pour chaque individu. VCI repose sur l’application CommonPass, qui permet de conserver ses données de vaccination via un QR Code et sur le cadre SMART Health Cards, adhérant aux normes HL7 FHIR (Fast Healthcare Interoperability Resources).
Lien(s) :
https://vaccinationcredential.org/news
https://www.zdnet.fr/actualites/microsoft-oracle-et-salesforce-rejoignent-un-projet-de-vaccination-pour-la-covid-19-39916303.htm

 

Pays : International
Sujet : Les infrastructures du cheval de Troie Emotet saisies lors d’une opération internationale coordonnée par Europol
Date de publication : 27/01/2021
Description : Les forces de police allemandes et néerlandaises ont remplacé plusieurs serveurs de commande et de contrôle (C2) d’Emotet par leurs propres serveurs afin d’intercepter les communications remontant des appareils infectés. Ce faisant, les autorités ont pu paralyser le fonctionnement du malware et peuvent désormais obtenir des informations supplémentaires sur ses opérations. En complément, une mise à jour piégée d’Emotet a été déployée afin qu’il se désinstalle automatiquement. Le déclenchement de cette « autodestruction » est prévu pour le 25 avril 2021. Retrouvez notre Focus sur Emotet présenté dans un précédent bulletin de veille.
Lien(s) :
https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action
https://www.justice.gov/opa/pr/emotet-botnet-disrupted-international-cyber-operation
https://cyberguerre.numerama.com/9952-les-policiers-ont-programme-lautodestruction-du-malware-emotet.html

 

Pays : International
Sujet : Une coalition internationale démantèle plusieurs ressources du ransomware Netwalker et arrête un de ses opérateurs présumés
Date de publication : 27/01/2021
Description : Une intervention coordonnée par le bureau fédéral d’investigation (FBI) a permis la saisie du site Internet de Netwalker utilisé pour publier les données volées aux victimes. En complément, un opérateur présumé du ransomware a été arrêté et près de 500 000 dollars en cryptomonnaies, correspondants à des rançons versées, ont également été saisis le 10 janvier. Enfin, la police bulgare a démantelé une ressource du darkweb utilisée pour communiquer avec les victimes. Retrouvez notre Focus sur Netwalker présenté dans un précédent bulletin de veille.
Lien(s) :
https://www.justice.gov/usao-mdfl/pr/department-justice-launches-global-action-against-netwalker-ransomware
https://threatpost.com/netwalker-ransomware-suspect-charged/163405/

 

Pays : France
Sujet : La CNIL rend un second bilan de ses contrôles des fichiers SI-DEP et Contact Covid et de l’application de traçage des contacts TousAntiCovid
Date de publication : 21/01/2021
Description : La Commission estime que les traitements de données mis en place pendant la pandémie de COVID-19 sont pour l’essentiel, respectueux des données personnelles. Elle a néanmoins mis en demeure une Agence régionale de santé (ARS) sur la base de manquements concernant la sécurité et la durée de conservation des données recueillies dans le fichier Contact Covid permettant de suivre les personnes infectées et les cas contacts. Dans le même temps, la CNIL a également publié un point d’étape faisant état de ses activités depuis le début de la pandémie.
Lien(s) :
https://www.cnil.fr/fr/la-cnil-publie-son-deuxieme-avis-adresse-au-parlement-sur-les-conditions-de-mise-en-oeuvre-de-si-dep
https://www.cnil.fr/fr/point-detape-sur-les-activites-de-la-cnil-dans-le-contexte-du-covid-19

 

Pays : France
Sujet : Entrée en vigueur d’un décret créant la notion de personne « co-exposée »
Date de publication : 22/01/2021
Description : Cette nouvelle notion désigne les personnes présentes à un évènement où les mesures barrières n’ont pas pu être respectées et où un cas avéré de COVID-19 a été identifié. Les informations concernant ces individus seront désormais intégrées au fichier Contact Covid afin de les suivre et les alerter si nécessaire. En complément, le décret étend également les définitions d’événements et de lieux à risque, ce qui élargit considérablement les données collectées dans le système d’information, comme le souligne la CNIL dans sa délibération.
Lien(s) :
https://www.ticsante.com/story/5521/covid-19-un-decret-cree-la-notion-de-personne-co-exposee.html
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043023857