COVID-19 : VEILLE CYBERSÉCURITÉ #37 – 03 juin 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité

 

MENACES

Attaque : Un prestataire de santé néo-zélandais ciblé par une cyberattaque
Procédé : Campagne de phishing  
Cible : Conseil de santé du district de Waikato (DHB)
Date de publication : 19/05/2021
Description : La cyberattaque a paralysé les systèmes informatiques, conduisant à l’annulation de nombreuses chirurgies et activités ambulatoires des 6 hôpitaux affiliés au DHB. Dans un communiqué, le conseil de santé a convié uniquement les personnes ayant une urgence à se rendre dans ses centres de soins tout en indiquant que les prises de rendez-vous de tests et de vaccinations au COVID-19 restaient opérationnelles.
Lien(s) :
https://www.waikatodhbnewsroom.co.nz/2021/05/19/waikato-dhb-information-system-update/
https://www.nzherald.co.nz/nz/waikato-dhb-cyber-attack-health-chief-delivers-update-two-weeks-after-hackers-cripple-it-systems/CXIMQLHZGYCQ3KV5K3CNETIBPQ/

 

Attaque : Le département de la santé et des services sociaux d’Alaska ciblé par une cyberattaque
Procédé
: Inconnu à l’heure actuelle
Cible : Site Web du département de la santé et des services sociaux (DHSS)
Date de publication : 18/05/2021
Description : Dans un communiqué, le DHSS a fait part d’une cyberattaque ayant impacté les serveurs, les systèmes informatiques et les bases de données de son site Web « dhss.alaska.gov ». Toutefois, même si le site a été mis hors ligne, le service lié à la prise de rendez-vous pour se faire vacciner contre le COVID-19 est toujours accessible car hébergé sur un autre serveur. Une enquête est en cours afin de déterminer si des informations confidentielles de patients ont été compromises.
Lien(s) :
https://content.govdelivery.com/attachments/AKDHSS/2021/05/18/
https://apnews.com/article/alaska-malware-health-coronavirus-pandemic-technology-632fac31013d719759330539bedefafd

 

Attaque : Alerte du FBI contre le ransomware Conti à l’origine d’attaques ciblant des établissements de soin de santé
Procédé : Campagne de phishing
Cible : Établissements de santé et de premiers secours
Date de publication : 20/05/2021
Description : Le ransomware Conti, qui opère comme un malware-as-a-Service, est responsable de 16 attaques ayant visé des infrastructures de santé et de premiers secours comme les services médicaux d’urgence ou de forces de l’ordre. Le groupe criminel est connu pour cibler le secteur de la santé. Il avait déjà été impliqué dans l’attaque sur le service de santé irlandais, rapportée dans un précédent bulletin de veille.
Lien(s) :
https://www.aha.org/system/files/media/file/2021/05/fbi-tlp-white-report-conti-ransomware-attacks-impact-healthcare-and-first-responder-networks-5-20-21.pdf

 

Attaque : L’agence suédoise de la santé publique ciblée par une cyberattaque
Procédé
: Inconnu à l’heure actuelle
Cible :
Base de données SmiNet
Date de publication :
27/05/2021
Description :
L’agence suédoise a fermé sa base de données donnant des renseignements sur les maladies infectieuses présentes dans le pays après avoir été ciblée par des cybercriminels. Cette base de données, nommée SmiNet, est notamment utilisée pour stocker des rapports et des statistiques sur les infections au COVID-19. Une enquête a été ouverte pour déterminer s’il y a eu une compromission d’informations sensibles.
Lien(s) :
https://www.bleepingcomputer.com/news/security/swedish-health-agency-shuts-down-sminet-after-hacking-attempts/
https://www.folkhalsomyndigheten.se/nyheter-och-press/nyhetsarkiv/2021/maj/folkhalsomyndigheten-anmaler-forsok-till-dataintrang-mot-sminet/

 

FRAUDES

Attaque : Des cybercriminels usurpent l’identité de plateformes de livraison de repas pour voler des informations bancaires
Procédé
: Campagne de smishing
Surface/Application
 : SMS
Date de publication :
18/05/2021
Description :
Avec la hausse des livraisons de repas à domicile due à la pandémie de COVID-19, les attaques visant les utilisateurs de ce type de plateforme se multiplient. Des chercheurs de l’entreprise Tessian ont mis au jour des campagnes de smishing usurpant les fournisseurs de kits de repas comme HelloFresh ou Gousto. Les cybercriminels envoient des SMS frauduleux demandant aux utilisateurs de cliquer sur un lien qui les redirige vers un site les incitant à entrer leurs données personnelles. 
Lien(s) :
https://threatpost.com/scammers-meal-kit-services-customer-data/166282/

 

Attaque : Des cybercriminels exploitent le retour des employés dans les locaux de leur entreprise pour mener des cyberattaques
Procédé
: Campagne de spear-phishing
Surface/Application
 : E-mail
Date de publication :
27/05/2021
Description :
Les cybercriminels se font passer pour le responsable de la sécurité des systèmes d’informations (RSSI) afin d’envoyer aux employés des e-mails sur les nouvelles procédures à mettre en place dans un contexte post-pandémique. L’e-mail frauduleux contient un lien redirigeant vers une page avec deux documents. Afin d’ouvrir ces documents, l’employé doit fournir des informations de connexion qui seront ensuite collectées par les attaquants.
Lien(s) :
https://cofense.com/blog/phishing-credentials-covid/
https://threatpost.com/hackers-exploit-covid-office/166550/

 

Attaque : Des cybercriminels usurpent l’identité de l’entreprise de distribution Walmart afin de voler des informations personnelles
Procédé
: Campagne de phishing
Surface/Application
 : E-mail
Date de publication :
29/05/2021
Description :
Profitant de l’explosion des livraisons et commandes en ligne due à la pandémie du COVID-19, des cybercriminels envoient des e-mails frauduleux indiquant que leur colis Walmart n’a pu être livré à cause d’une adresse e-mail incorrecte. L’utilisateur est par la suite incité à mettre à jour son adresse e-mail qui sera collectée par les attaquants. Les informations recueillies serviront à créer de nouvelles fraudes ou effectuer des campagnes de spear-phishing.
Lien(s) :
https://www.bleepingcomputer.com/news/security/beware-walmart-phishing-attack-says-your-package-was-not-delivered/

 

Attaque : L’application de messagerie Telegram utilisée pour vendre des cartes frauduleuses de vaccination contre le COVID-19
Procédé
: Escroquerie
Surface/Application
 : Telegram
Date de publication :
12/05/2021
Description :
Avec l’apparition des campagnes de vaccination et des nouvelles mesures pour lutter contre la pandémie, des cybercriminels utilisent Telegram pour vendre des fausses cartes de vaccination. Les fraudeurs joignent à leur offre des articles de désinformation présentant les méfaits des vaccins contre le COVID-19. L’objectif est d’utiliser la peur générée par les effets secondaires des vaccins afin de démontrer l’intérêt de leur offre et d’inciter à l’achat.
Lien(s) :
https://threatpost.com/telegram-forged-covid-19-vaccine-cards/166093/

 

Attaque :  Des cybercriminels ciblent une organisation américaine délivrant des allocations chômage pour réaliser une fraude
Procédé
: Inconnu à l’heure actuelle
Surface/Application
 : Site Web
Date de publication :
26/05/2021
Description 
: Des chercheurs de la société de cybersécurité Agari ont mis au jour une conversation de cybercriminels nigérians discutant de la façon de commettre une usurpation d’identité au chômage via le site Web de la Commission de la main d’œuvre du Texas (TWC). L’organisation criminelle, connue sous le nom de Scaterred Canary, tente ainsi de récupérer frauduleusement les indemnités offertes en cas de perte d’emploi due au COVID-19.
Lien(s)
 :
https://www.cybersecurity-insiders.com/texas-unemployment-website-hit-by-identity-fraud-cyber-attacks/

 

RESSOURCES UTILES

Type de ressources : Le gouvernement français lance un carnet de rappel numérique afin de signaler tout potentiel cas contact
Cible : Grand public
Date de publication :
25/05/2021
Description :
Les personnes souhaitant se rendre dans des lieux à haut risque (restaurants, bars) devront scanner un QR-Code via l’application TousAntiCovid. Les informations collectées seront chiffrées et correspondront au lieu, à la taille et au type d’établissement fréquenté. Par la suite, si un individu se révèle cas contact, alors tous les individus ayant côtoyé le lieu recevront une notification avec un code couleur en fonction du risque d’exposition ainsi que des consignes à suivre.
Lien(s) :
https://www.lemondeinformatique.fr/actualites/lire-tousanticovid-la-fonction-signal-lancee-pour-acceder-a-certains-lieux-83034.html

 

Type de ressources : Facebook développe de nouvelles mesures pour lutter contre la désinformation notamment liée au COVID-19
Cible : Grand Public
Date de publication :
26/05/2021
Description :
Le géant du Web lance de nouvelles fonctionnalités afin d’augmenter la connaissance de l’utilisateur sur les publications consultées et de diminuer la diffusion des articles de désinformation partagés par des individus malintentionnés. Ces mesures passent par la mise en place d’un système de vérification des informations qui va évaluer le contenu publié puis notifier et réduire l’exposition de l’article si celui-ci est jugé comme transmettant de la désinformation.
Lien(s) :
https://about.fb.com/news/2021/05/taking-action-against-people-who-repeatedly-share-misinformation/

 

Type de ressources : L’assurance maladie Ameli lance un site pour visualiser la couverture vaccinale en France
Cible : Grand public
Date de publication :
28/05/2021
Description :
Afin d’informer la population sur le déploiement de la vaccination contre le COVID-19 en France, Ameli a créé « datavaccin-covid.ameli.fr ». Exploitant les bases de données de l’assurance maladie et de l’Institut national de la statistique et des études économiques (Insee), le site Web propose une cartographie des populations vaccinées par département. Les résultats peuvent être affinés avec différents filtres comme l’âge ou le type de vaccin administré.
Lien(s) :
https://www.ameli.fr/assure/actualites/covid-19-lancement-de-data-vaccin-covid-un-site-pour-visualiser-la-couverture-vaccinale-en-france
https://datavaccin-covid.ameli.fr/pages/home/

 

Type de ressources : Le consortium « Alliance digitale contre le COVID-19 », lance une plateforme permettant d’évaluer et prendre en charge la santé mentale des patients
Cible : Grand public
Date de publication : 27/05/2021
Description :
La plateforme, nommée « CoronaPsy.fr » et référencée sur le site du ministère des solidarités et de la santé, offre l’opportunité à tous ceux souhaitant connaître leur état clinique de tester leur santé mentale impactée par la pandémie. Le dispositif, gratuit et anonyme, apporte une aide vers une prise en charge adaptée à la situation du patient tout en informant des offres proposées par le gouvernement et les assureurs de santé. 
Lien(s) :
https://www.ticsante.com/story/5702/l-alliance-digitale-contre-le-covid-19-deploie-sa-plateforme-coronapsyfr.html
https://maladiecoronavirus.fr/

 

AUTRES ACTUALITÉS

Pays : France
Sujet : Une campagne de désinformation fait appel à des influenceurs pour dénigrer un vaccin contre le COVID-19
Date de publication : 25/05/2021
Description : Des youtubeurs français ont été contactés par une agence de communication nommée Fazze afin de discréditer en échange d’une somme d’argent, le vaccin BioNTech-Pfizer. Le ministre de la Santé français a réagi en condamnant ce type d’opération tout en indiquant les avancements de la campagne de vaccination.
Lien(s) :
https://www.presse-citron.net/vaccins-une-campagne-de-desinformation-a-fait-appel-a-des-youtubeurs-francais/
https://www.bfmtv.com/sante/c-est-minable-olivier-veran-reagit-a-la-campagne-de-denigrement-du-vaccin-pfizer_VN-202105250162.html

 

Pays : États-Unis
Sujet : Le département de justice américain (DOJ) lance une Task-Force pour lutter contre la fraude au COVID-19.
Date de publication : 17/05/2021
Description : Les cybercriminels ont profité des avantages fédéraux américains spécialement mis en place pour limiter l’impact économique de la pandémie afin de développer des fraudes. Pour lutter contre ces attaques, le DOJ crée une Task-Force associant une douzaine d’agences fédérales telles que le ministère du travail et le département de la sécurité intérieure. L’objectif est de détecter les fraudes, de dissuader les cybercriminels et de récupérer les fonds acquis frauduleusement.
Lien(s) :
https://thecrimereport.org/2021/05/18/covid-19-fraud-task-force-targets-63b-in-stolen-federal-funds/
https://www.justice.gov/opa/pr/attorney-general-announces-task-force-combat-covid-19-fraud

 

Pays :  États-Unis
Sujet : Une organisation à but non lucratif du secteur de la santé signale une fuite de données de milliers de patients
Date de publication : 25/05/2021
Description : Dans un communiqué, le Rehaboth Mckinley Christian Health Care Service (RMCHCS) a fait part d’une violation de données sur son site Web impactant 200 000 patients et employés. Le fournisseur de soins de santé distribue des vaccins contre le COVID-19 en Arizona et au Nouveau Mexique. Parmi les informations exposées, on retrouve l’identité, le numéro de dossier médical, le traitement et le diagnostic des patients. 
Lien(s) :
https://portswigger.net/daily-swig/us-healthcare-non-profit-reports-data-breach-impacting-200-000-patients-employees
https://response.idx.us/rmchcs/

 

Pays : Canada
Sujet :
Une faille de sécurité d’un site Web expose les données personnelles des patients ayant pris rendez-vous pour se faire vacciner contre le COVID-19
Date de publication :
22/05/2021
Description :
Un membre de la communauté Hackfest a découvert une vulnérabilité sur le site Web Clic Santé. Ce dernier est utilisé par les québécois pour prendre rendez-vous afin de se faire vacciner contre le COVID-19. La faille, qui serait due à une erreur humaine, n’expose pas le nom de la personne ayant pris rendez-vous. Toutefois, le numéro d’assurance maladie qui renseigne sur la date de naissance, le genre et certaines lettres du nom et prénom du patient a été compromis. 
Lien(s) :
https://ici.radio-canada.ca/nouvelle/1795328/faille-informatique-clic-sante-ministere-sante-vaccination

 

Pays : Inde
Sujet : Une faille de sécurité du site Web en charge de la surveillance et du suivi de la santé publique de la métropole de Bangalore expose des données relatives au COVID-19
Date de publication : 27/05/2021
Description : Une coalition d’organisations indiennes, nommée Free Software Movement of India, a mis au jour une fuite de données due à une faille d’un logiciel utilisé par le Site Web du Bruhat Bengaluru Mahanagara Palike. Les informations exposées sont accessibles à l’aide d’un simple numéro de téléphone et comprennent, entre autres, le nom, le résultat du test contre le COVID-19 ainsi que le nom de l’hôpital du patient, s’il a été hospitalisé.
Lien(s) :
https://www.news18.com/news/india/health-data-breach-bengaluru-civic-body-exposes-covid-19-patients-info-blocks-website-after-alert-3781106.html
https://twitter.com/fsmi_in/status/1397420181584891906/photo/1