COVID-19 : VEILLE CYBERSÉCURITÉ #35 – 29 avril 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité

 

MENACES

Attaque : Une université anglaise visée par une cyberattaque
Procédé
: Inconnu à l’heure actuelle
Cible : L’université de Hertfordshire
Date de publication : 16/04/2021
Description : Une cyberattaque a affecté tous les systèmes informatiques de l’université, dont le cloud, Microsoft Teams et Zoom, rendant inopérant l’enseignement en ligne. L’établissement qui mène également des recherches liées au COVID-19 a déclaré qu’aucune preuve de compromission de données n’est à signaler pour le moment. C’est la troisième structure éducative anglaise ciblée par des cybercriminels depuis mars, après l’attaque contre l’université de Northampton et la Fédération Harris rapportée dans notre précédent bulletin de veille.
Lien(s) :
https://www.ukauthority.com/articles/cyber-attack-hits-university-of-hertfordshire/
https://www.herts.ac.uk/study/service-update
https://www.herts.ac.uk/research/impact-our-research

 

Attaque : Une cyberattaque ciblant la Fondation Hopale cause la fermeture du centre de vaccination de Berck-sur-Mer
Procédé
: Inconnu à l’heure actuelle
Cible :
Fondation Hopale
Date de publication :
15/04/2021
Description :
Des cybercriminels se sont introduits dans le système informatique de l’institution, paralysant les boîtes e-mails et certains serveurs partagés. L’organisation a annoncé que l’activité médicale et hospitalière n’a pas été impactée. Toutefois, le centre de vaccination de Berck, dont la fondation gère la mise en ligne des créneaux de réservation, a été fermé par mesure de précaution. C’est la cinquième structure de santé française victime d’une cyberattaque depuis le mois de février, notamment après celle de l’hôpital de Saint-Gaudens rapportée dans un précédent bulletin de veille.
Lien(s) :

https://www.lavoixdunord.fr/983504/article/2021-04-15/apres-une-cyberattaque-le-centre-de-vaccination-de-berck-ferme-ce-week-end
http://www.fondation-hopale.org/Actualites/La-Fondation-Hopale-victime-d-une-cyberattaque

 

Attaque : De nouveaux éléments découverts dans la campagne de spear-phishing visant des organisations de la chaîne du froid ayant un rôle dans le stockage du vaccin contre le COVID-19
Procédé : Campagne de spear-phishing
Cible : Secteur des transports, des soins de santé et des technologies de l’information
Date de publication : 14/04/2021
Description : Cette campagne de spear-phishing rapportée dans notre précédent bulletin de veille a été mise au jour en décembre 2020 par les chercheurs d’IBM. Ces derniers ont récemment découvert des fichiers supplémentaires liés aux secteurs ciblés par les attaquants qui se sont fait passer pour un dirigeant d’entreprise de Haier Biomedical. Ce nouveau rapport apporte également des précisions sur les techniques de harponnage utilisées contre les employés.
Lien(s) :
https://securityintelligence.com/posts/covid-19-vaccine-global-cold-chain-security/

 

Attaque : Un prestataire de services de santé australien ciblé par une cyberattaque 
Procédé : Ransomware
Cible : UnitingCare de Queensland, Australie
Date de publication : 26/04/2021
Description : Cette cyberattaque a paralysé l’ensemble des systèmes informatiques de quatre hôpitaux, dont l’hôpital St Andrew’s War Memorial menant des recherches sur le COVID-19. Selon UnitingCare, la plupart des activités de soins sont opérationnelles hormis les e-mails internes du personnel et la prise de rendez-vous pour réaliser des opérations.
Lien(s) :
https://www.unitingcareqld.com.au/media
https://standrewshospital.com.au/research-and-education/wesley-medical-research

 

Attaque : Un rapport du National Cyber Security Center (NCSC) alerte sur des cybercriminels usurpant l’identité d’une entreprise de livraison de colis pour distribuer le logiciel malveillant Flubot
Procédé
: Campagne de smishing (SMS phishing)
Cible
 : Grand Public au Royaume-Uni
Date de publication :
26/04/2021
Description :
Profitant de l’explosion des livraisons du fait de la pandémie, les cybercriminels ont envoyé des SMS frauduleux demandant aux utilisateurs d’installer un logiciel pour suivre un colis. Une fois Flubot installé, ce dernier peut voler des informations bancaires et intercepter les mots de passe à usage unique provenant de banques ainsi que les listes des contacts des victimes.  
Lien(s) :
https://www.silicon.co.uk/security/cyberwar/parcel-delivery-scam-uk-394141
https://www.ncsc.gov.uk/report/weekly-threat-report-23rd-april-2021

 

FRAUDES

Attaque : Webroot constate une augmentation de nouveaux domaines malveillants liés aux COVID-19
Procédé
: Usurpation de noms de domaine
Surface/Application
 : Internet
Date de publication :
12/04/2021
Description :
Au cours du premier trimestre 2021, la société de renseignement sur les menaces, Webroot, a constaté une augmentation des domaines malveillants utilisant le mot « voyage » ou « passeport ». Les cybercriminels cherchent à tirer profit du déploiement des campagnes vaccinales et de la mise en place progressive des passeports vaccinaux pour attirer de nouvelles victimes et mener des campagnes de phishing.
Lien(s) :
https://www.infosecurity-magazine.com/news/cyber-criminals-travel-covid-launch/

 

RESSOURCES UTILES

Type de ressources : Europol présente un rapport d’évaluation de la menace et de la cybercriminalité
Cible : Praticiens, décideurs et grand public
Date de publication :
12/04/2021
Description :
Ce rapport évalue les évolutions de la menace cyber et du crime organisé. Il identifie également les principaux groupes d’attaquants impliqués dans des actions criminelles au sein de l’Union européenne. Le COVID-19 y est présenté comme un accélérateur de la menace ayant un impact majeur sur la cybercriminalité car la pandémie a poussé les cybercriminels à modifier leur mode opératoire et à tirer profit de la pénurie de certains biens vitaux.
Lien(s) :
https://www.europol.europa.eu/activities-services/main-reports/european-union-serious-and-organised-crime-threat-assessment

 

Type de ressources : Le CERT Santé propose un plan d’action préventif pour réduire le risque d’une compromission massive en cas d’attaques par ransomware
Cible : Grand public et structure de santé
Date de publication :
22/04/2021
Description :
Le CERT Santé a constaté que de nombreuses structures de santé ne sont pas suffisamment préparées pour contrer ce type d’attaque. Avec ce plan, le centre d’alerte cherche à renforcer la sécurité de points stratégiques du système d’information (SI) notamment le système de sauvegarde et de gestion des environnements, l’administration des systèmes, l’accès à distance par VPN ainsi que le proxy. L’objectif étant de limiter l’impact d’une attaque et de ralentir la progression de l’attaquant sur le SI.
Lien(s) :
https://www.cyberveille-sante.gouv.fr/sites/default/files/documents/actualites-secteur-sante/CERTSant%C3%A9_Alerte_PlanAction_Ran%C3%A7ongiciel.pdf

 

AUTRES ACTUALITÉS

Pays : France
Sujet : Mise en place de l’outil TousAntiCovid-Carnet certifiant la réalisation d’un test et la vaccination au COVID-19
Date de publication : 19/04/2021
Description : Le ministère des Solidarités et de la Santé a déployé une nouvelle fonctionnalité « carnet » intégrée à l’application TousAntiCovid permettant de stocker numériquement les résultats de tests et les certificats de vaccination. Le gouvernement répond à la proposition de la Commission européenne qui est de sécuriser les déplacements entre les pays de l’Union européenne. Avant son déploiement complet, la CNIL a rappelé que ce dispositif devait garantir la protection des données personnelles et de la vie privée des personnes.
Lien(s) :
https://www.economie.gouv.fr/tousanticovid-carnet-pour-securiser-deplacements-union-europeenne
https://www.cnil.fr/fr/la-cnil-precise-les-garanties-que-doit-respecter-la-fonctionnalite-tousanticovid-carnet

 

Pays : France
Sujet : Des acteurs publics et privés collaborent à travers un marathon en ligne (Hackaton) pour contribuer à l’endiguement de la pandémie
Date de publication : 27/04/2021
Description : Initié par des acteurs gouvernementaux, dont la Direction Interministérielle de la Transformation Publique, le « Hackaton » a fait émerger 15 projets, dont l’outil de programmation PyCoa et les applications ZeroHour et MyLongCovid. Le premier propose de mettre en open source les données scientifiques du COVID-19. Le second propose une file d’attente virtuelle pour limiter le nombre de personnes dans les lieux publics et le dernier cherche à assurer l’auto-suivi des patients atteints de « COVID long ».
Lien(s) :
https://hackathon-covid.fr/