COVID-19 : VEILLE CYBERSÉCURITÉ #36 – 20 mai 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité

 

MENACES

Attaque : Des cybercriminels envoient un SMS utilisant un leurre sur le thème de la campagne de vaccination du COVID-19 pour déployer un malware
Procédé : Application malveillante
Cible : Utilisateurs Android indiens
Date de publication : 03/05/2021
Description : Ce malware, nommé « SMS Worm », envoie un SMS incitant les utilisateurs d’Android à cliquer sur un lien afin de télécharger une fausse application de prise de rendez-vous pour se faire vacciner contre le COVID-19. Une fois installé, « SMS Worm » peut collecter les informations sensibles de l’appareil et se propager comme un ver via l’envoi automatique de SMS aux contacts de la victime.
Lien(s) :
https://cybleinc.com/2021/05/03/android-sms-worm-impersonating-covid-19-vaccine-registration-app-spreads-via-text-messages/

 

Attaque : Un prestataire de soins américain visé par une cyberattaque
Procédé : Inconnu à l’heure actuelle
Cible : Scripps Health, États-Unis
Date de publication : 02/05/2021
Description : Cette cyberattaque a paralysé le système informatique et la prise de rendez-vous en ligne de l’institution qui gère 5 hôpitaux et 19 établissements de soins ambulatoires en Californie. L’organisation a publié un communiqué indiquant que les services d’urgences et les soins des patients étaient toujours opérationnels. Toutefois, 4 de ses hôpitaux ont transféré certains de leurs patients en soins intensifs vers d’autres infrastructures de santé.
Lien(s) :
https://www.sandiegouniontribune.com/breaking/story/2021-05-02/scripps-hospitals-it-by-it-security-incident-but-patient-care-go
https://twitter.com/ScrippsHealth/status/

 

Attaque : Le gouvernement ukrainien visé par une campagne de phishing
Procédé : Campagne de spear-phishing
Cible : Service de sécurité du gouvernement ukrainien
Date de publication : 03/05/2021
Description : Les chercheurs de FortiGuard Labs ont mis au jour une campagne de phishing au nom de l’Organisation mondiale de la Santé (OMS) ayant comme thématique un COVID-21 fictif. L’e-mail prétend provenir d’un responsable politique de l’ambassade des États-Unis et est diffusé par les serveurs de Gmail. Les cybercriminels utilisent un chargeur de malware nommé Saint Bot déjà répertorié dans de précédentes campagnes de phishing visant des organisations gouvernementales.
Lien(s)
https://www.fortinet.com/blog/threat-research/spearphishing-attack-uses-covid-21-lure-to-target-ukrainian-government
https://blog.malwarebytes.com/threat-analysis/2021/04/a-deep-dive-into-saint-bot-downloader/

 

Attaque : Des cybercriminels usurpent l’identité du transporteur DHL pour réaliser une campagne de phishing
Procédé : Campagne de phishing
Cible : Grand public
Date de publication : 03/05/2021
Description : Avec la hausse des achats en ligne due à la pandémie, l’usurpation d’identité de transporteurs est de plus en plus employée dans des campagnes de phishing. Dans ce cas-ci, les cybercriminels envoient des avis d’expédition DHL contenant un lien vers un téléchargement de documents Microsoft Word ou Excel malveillants distribuant une nouvelle variante du chargeur de malware Buer nommée RustyBuer.
Lien(s) :
https://www.proofpoint.com/us/blog/threat-insight/new-variant-buer-loader-written-rust https://thehackernews.com/2021/05/a-new-buer-malware-variant-has-been.html

 

Attaque : Le service de santé irlandais (HSE) victime d’un ransomware
Procédé
: Campagne de phishing
Cible :
Système de santé irlandais
Date de publication :
17/05/2021
Description :
Cette cyberattaque a paralysé les systèmes informatiques de l’organisation de santé. Hormis le département de radiologie et l’annulation de certains rendez-vous, la plupart des services restent fonctionnels dont les urgences et les centres de vaccinations. Le groupe criminel Conti, responsable de cette attaque, est connu pour cibler le secteur de la santé. Il a déjà fait l’objet d’une alerte du FBI et du CISA rapportée dans un précédent bulletin de veille
Lien(s) :

https://www.bleepingcomputer.com/news/security/irish-healthcare-shuts-down-it-systems-after-conti-ransomware-attack/
https://www.hse.ie/eng/services/news/media/pressrel/hse-cyber-security-incident.html

 

FRAUDES

Attaque : Des cybercriminels usurpent l’identité de l’Organisation mondiale de la Santé (OMS) pour lancer une campagne d’escroquerie
Procédé
: Site Web frauduleux
Surface/Application
 : Internet
Date de publication :
30/04/2021
Description :
Un réseau distribué de 134 sites Web malveillants se faisant passer pour l’OMS lors de la journée mondiale de la santé a été supprimé.  L’escroquerie encourageait les utilisateurs à répondre à une fausse enquête promettant une récompense monétaire pour mener des campagnes de phishing. Pour légitimer leurs actions, les cybercriminels ont publié de faux commentaires d’utilisateur Facebook ayant reçu des cadeaux et ont invité les victimes à partager le lien de l’enquête à leurs contacts.
Lien(s) :
https://www.group-ib.com/media/who-scam-campaign/

 

Attaque : Un site Web français de prise de rendez-vous pour se faire vacciner usurpé par des cybercriminels
Procédé
: Usurpation de nom de domaine
Surface/Application
 : Internet
Date de publication :
11/05/2021
Description :
Le site « Vite ma dose ! » qui aide à trouver des créneaux de vaccination a été usurpé par des personnes mal intentionnées. Ces dernières ont acheté le nom de domaine « vitemadose[point]fr » dans lequel elles véhiculent des messages hostiles à la vaccination. Les auteurs de l’usurpation seraient liés au comité de recherches et d’informations indépendantes sur le génie génétique (Criigen), une organisation spécialisée dans la désinformation vaccinale.
Lien(s) :
https://www.numerama.com/sciences/710556-attention-ce-faux-site-vite-ma-dose-ne-permet-pas-du-tout-de-trouver-un-rendez-vous.html

 

RESSOURCES UTILES

Type de ressources : Le gestionnaire de rendez-vous médicaux Doctolib lance un site Web permettant de suivre l’évolution de la campagne vaccinale et de lutter contre la désinformation
Cible : Grand public
Date de publication :
29/04/2021
Description :
Le site Web, « www.doctolib.fr/defivaccination », donne accès à des statistiques permettant de comprendre la campagne de vaccination contre le COVID-19. Les statistiques proviennent de sources locales, régionales, nationales et mondiales issues de Doctolib, Data.gouv.fr et « Our world in data ». Parmi les informations transmises, on retrouve le nombre et l’âge de personnes vaccinées.
Lien(s) :
https://www.ticsante.com/story.php
https://about.doctolib.fr/vaccination/statistiques.html

 

AUTRES ACTUALITÉS

Pays : États-Unis
Sujet : Le département de justice américain saisit un nom de domaine malveillant affirmant fournir des vaccins COVID-19
Date de publication : 03/05/2021
Description : Le bureau du procureur du district du Maryland a saisi « freevaccinecovax.org » qui prétendait être le site Web d’une société de biotechnologie développant un vaccin contre le COVID-19. Les informations collectées par les cybercriminels servaient à élaborer des fraudes, mettre en place des campagnes de phishing ou déployer des logiciels malveillants.
Lien(s) :
https://www.fda.gov/inspections-compliance-enforcement-and-criminal-investigations/press-releases/maryland-us-attorneys-office-seizes-domain-name-falsely-purporting-provide-covid-19-vaccines
https://www.hackread.com/feds-seize-fraud-covid-19-vaccine-domain/  

 

Pays : États-Unis
Sujet : Le non-suivi du protocole de sécurité d’un fournisseur du département de Santé pennsylvanien (PDH) entraîne la compromission d’informations liées au COVID-19
Date de publication : 29/04/2021
Description : Des employés d’Insight Global, en charge de collecter les informations personnelles des personnes ayant été en contact avec le COVID-19, ont créé des copies des données recueillies sur des serveurs non sécurisés. Cette action a exposé les noms, les numéros de téléphone, les adresses e-mails et les résultats des tests au COVID-19 de 72 000 Pennsylvaniens. Une enquête a été ouverte par le PDH et le fournisseur afin de déterminer l’ampleur de l’incident.
Lien(s) :
https://www.wpxi.com/news/investigates/whistleblower-led-target-11-unsecured-contact-tracing-data-state/TCSWQQ5YPRDVDBSTE5IMVYSCH4/
https://insightglobal.com/notice-of-data-event 

 

Pays : États-Unis
Sujet : Un employé du ministère de la Santé du Wyoming (WDH) expose des milliers de données de santé liées au COVID-19
Date de publication : 27/04/2021
Description : Dans un communiqué, le WDH déclare qu’un employé a accidentellement téléchargé vers des lieux de stockage en ligne privés et publics de serveurs GitHub.com les informations de santé de 160 000 patients. Parmi les informations exposées, on retrouve le nom du patient, l’adresse, la date de naissance et les résultats de test COVID-19.
Lien(s) :
https://health.wyo.gov/exposure-of-laboratory-test-result-data-described/

 

Pays : États-Unis
Sujet : Un incident informatique entraîne une fuite de données du centre pour l’enfance et la famille St. John’s Well
Date de publication : 06/05/2021
Description : Le centre, chargé de l’administration de vaccins et de tests COVID-19 sur plusieurs sites à Los Angeles, a subi un incident de sécurité qui a causé la fuite de données médicales de 29 000 patients. Parmi ces informations, on retrouve les noms et numéros d’identification de sécurité sociale, les informations sur les traitements médicaux ainsi que les diagnostics des patients.
Lien(s) :
https://www.wellchild.org/Website-Statement.St.Johns.pdf
https://www.beckershospitalreview.com/cybersecurity/la-clinic-that-hosts-covid-19-vaccine-test-sites-hit-by-data-breach-affecting-29-000.html

 

Pays : Royaume-Uni
Sujet :
Une erreur de programmation sur le site Web du service national de santé britannique (NHS) permet d’accéder aux données médicales de patient
Date de publication :
06/05/2021
Description :
Le site Web du NHS permet aux utilisateurs de prendre des rendez-vous pour se faire vacciner au COVID-19. Toutefois, en raison des réponses automatiques proposées par la plateforme lors de la saisie d’informations personnelles basiques (nom, prénom, date de naissance et code postal), une personne malintentionnée peut connaître le statut vaccinal d’un individu.
Lien(s) :

https://www.theguardian.com/world/2021/may/06/nhs-covid-jab-booking-site-leaks-peoples-vaccine-status

 

Pays : Inconnu
Sujet : Un étudiant d’un institut européen impliqué dans des recherches liées au COVID-19 télécharge accidentellement un logiciel contenant le ransomware Ryuk
Date de publication : 06/05/2021
Description : L’étudiant cherchant une version gratuite d’un logiciel a décidé de télécharger une version « crackée ». Cette version contenait le ransomware Ryuk qui a récolté les informations d’identification de l’étudiant à l’institut. Une fois l’infiltration dans le système d’information effectuée, le logiciel malveillant a paralysé le système informatique de l’organisation. La non-mise à jour des sauvegardes a entraîné la perte d’une semaine de recherche ainsi que la fuite de données liées au COVID-19.
Lien(s) :
https://news.sophos.com/en-us/2021/05/06/mtr-in-real-time-pirates-pave-way-for-ryuk-ransomware/
https://www.zdnet.com/article/ryuk-ransomware-finds-foothold-in-bio-research-institute-through-a-student-who-wouldnt-pay-for-software/