COVID-19 : VEILLE CYBERSÉCURITÉ #38 – 17 juin 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité

 

MENACES

Attaque : Un réseau de soins de santé de Floride victime d’un ransomware
Procédé
: Inconnu à l’heure actuelle
Cible :
University of Florida Health (UF health), États-Unis
Date de publication :
03/06/2021
Description :
Les deux hôpitaux, « The Villages Hospital » et « Leesburg Hospital », appartenant au réseau d’UF Health, ont été la cible d’une cyberattaque. Hormis les systèmes d’informations, toutes les activités de santé restent opérationnelles, notamment les services mis en place pour lutter contre le COVID-19.
Lien(s) :
https://www.bleepingcomputer.com/news/security/uf-health-florida-hospitals-back-to-pen-and-paper-after-cyberattack/

 

Attaque : Le ministère de la Santé d’un État australien affecté par la compromission d’un logiciel de transfert de fichiers fourni par Accelion
Procédé : Exploitation d’une vulnérabilité zero-day
Cible : Ministère de la Santé de Nouvelle-Galles du Sud (NSW health), Australie
Date de publication : 04/06/2021
Description : Le NSW Health, chargé de la gestion du COVID-19 de cet État australien, a été victime d’une fuite de données causée par une vulnérabilité dans le logiciel de transfert de fichiers « Accelion ». Les données compromises englobent des informations d’identité et de santé. Toutefois, les dossiers médicaux des hôpitaux publics n’ont pas été affectés. C’est la troisième entité australienne à être impactée par l’exploitation de cette vulnérabilité après l’entité gouvernementale des transports (Transport for NSW) et l’Institut de recherche médical QIMR rapporté dans un précédent bulletin de veille.
Lien(s) :
https://www.zdnet.com/article/nsw-health-confirms-data-breached-due-to-accellion-vulnerability/
https://www.health.nsw.gov.au/news/Pages/20210604_02.aspx

 

Attaque : Des données sensibles appartenant à des prestataires de soins de santé exposées par des cybercriminels
Procédé : Inconnu à l’heure actuelle
Cible : GlobMed Saudi, Arabie Saoudite – OSF HealthCare et Coastal Family Health Center, États-Unis
Date de publication : 11/06/2021
Description : Les cybercriminels ont dévoilé sur un site Web dédié des informations sensibles appartenant à des entités de santé. Parmi les données collectées chez le gestionnaire de prestations de soins de santé GlobMed Saudi, on retrouve des informations relatives au COVID-19 comme le recensement des personnes étant cas contact ou ayant contracté le virus. Le groupe encore peu connu de cybercriminels « Xing Team » serait à l’origine de ces attaques.
Lien(s) :
https://www.databreaches.net/healthcare-entities-in-saudi-arabia-illinois-and-mississippi-fall-prey-to-xing-team/

 

Attaque : Le gouvernement polonais ciblé par des cyberattaques ayant conduit à la divulgation de données sur les restrictions COVID-19 dans le pays
Procédé : Campagne de phishing
Cible : Plusieurs institutions et membres du gouvernement polonais
Date de publication : 15/06/2021
Description : Le responsable de la vaccination du pays, Michal Dworczyk, fait partie des victimes visées par une campagne de phishing visant leur compte de messagerie électronique personnelle. Des documents ont été diffusés récemment sur Telegram, notamment des informations concernant les restrictions liées à la pandémie de COVID-19 dans le pays. Dworczyk a toutefois déclaré qu’aucun de ces documents n’étaient confidentiels et que certains d’entre eux ne seraient pas authentiques.
Lien(s) :
https://www.securityweek.com/poland-target-unprecedented-cyber-attacks-govt
https://www.euractiv.com/section/politics/short_news/more-emails-of-polands-pm-office-head-dworczyk-leaked/

 

FRAUDES

Attaque : Des cybercriminels visent le gouvernement indien dans une campagne de phishing exploitant la vaccination contre le COVID-19
Procédé : Phishing / Smishing
Surface/Application : E-mail / SMS / WhatsApp
Date de publication :
11/06/2021
Description :
Des responsables du gouvernement indien dont certains du ministère de la Défense et des Affaires étrangères sont la cible d’une cyberattaque. Les attaquants envoient des e-mails et SMS frauduleux demandant aux utilisateurs de mettre à jour leur statut vaccinal en cliquant sur un lien. Ce dernier dirige vers une imitation d’un site Web gouvernemental qui invite les utilisateurs à saisir leur adresse e-mail et leur mot de passe officiel.
Lien(s) :
https://securereading.com/malicious-web-link-targets-indian-government-officials
https://www.hindustantimes.com/india-news/phishing-attack-targets-officials-through-rogue-mail-from-government-id-101613605003186.html

 

Attaque : Une campagne de phishing visant un prestataire de soin américain cause une fuite de données  
Procédé
: Campagne de phishing
Surface/Application
 : E-mail
Date de publication :
11/06/2021
Description :
Le 28 mai 2021, les centres de soins du Five Rivers Health Centers, chargés d’administrer des vaccins contre le COVID-19, ont été la cible d’une campagne de phishing. Après enquête, il a été découvert que les informations sensibles de 155 748 patients ont été exposées. Parmi les données divulguées, on retrouve le nom, le diagnostic médical ainsi que les résultats de tests du patient.
Lien(s) :
https://www.databreaches.net/oh-five-rivers-health-centers-notified-155748-patients-after-phishing-incident/

 

Attaque : Un cybercriminel vend des millions de données relatives à la vaccination contre le COVID-19 en Italie sur le deepWeb
Procédé : Inconnu à l’heure actuelle
Surface/Application : DeepWeb
Date de publication : 12/06/2021
Description : Après avoir exploité plusieurs vulnérabilités, un cybercriminel a été capable d’extraire des données liées à la vaccination contre le COVID-19 de 7,4 millions d’italiens. Ces informations comprenant des adresses e-mails, des mots de passe hachés, des noms, des adresses et des numéros de téléphones ont ensuite été vendues sur un forum du deepWeb.
Lien(s) :
https://twitter.com/darktracer_int/status/1403644215028895745

 

RESSOURCES UTILES

Type de ressources : La CNIL rend son avis sur le passe sanitaire mis en place dans le cadre de la lutte contre le COVID-19
Cible : Grand public
Date de publication :
07/06/2021
Description :
La CNIL a émis certaines réserves sur les conditions de mise en œuvre d’un passe sanitaire pour l’accès aux lieux accueillant plus de 1000 personnes. La Commission demande au gouvernement de préciser la liste des lieux nécessitant un passe sanitaire, de transmettre une analyse d’impact relative à la protection des données ainsi que d’utiliser une architecture davantage décentralisée pour stocker les données recueillies.
Lien(s) :
https://www.cnil.fr/fr/covid-19-la-cnil-rend-son-avis-sur-les-conditions-de-mise-en-oeuvre-du-passe-sanitaire

 

AUTRES ACTUALITÉS

Pays : International
Sujet : Démantèlement de pharmacies en ligne vendant des médicaments et produits médicaux illicites 
Date de publication : 08/06/2021
Description : INTERPOL a lancé une vaste opération, nommée Pangea XIV, qui a fermé et supprimé 113 020 liens Web, y compris des sites Web et des marchés en ligne. L’opération a également permis de saisir environ 9 millions de dispositifs médicaux et de produits pharmaceutiques illicites, dont des kits de test COVID-19 falsifiés et non autorisés. Ces derniers représentent plus de la moitié de tous les dispositifs médicaux saisis.
Lien(s) :
https://www.interpol.int/fr/Actualites-et-evenements/Actualites/2021/Thousands-of-fake-online-pharmacies-shut-down-in-INTERPOL-operation
https://www.bleepingcomputer.com/news/security/interpol-shuts-down-thousands-of-fake-online-pharmacies/

 

Pays : Union Européenne (EU)
Sujet : Lancement d’une plateforme technique vérifiant les certificats COVID-19 numériques à l’échelle européenne
Date de publication : 01/06/2021
Description : La plateforme nommée « service passerelle » et le certificat COVID numérique ont pour objectif d‘organiser les déplacements inter-UE dans le contexte de la crise sanitaire actuelle. Le certificat constitue la preuve que son titulaire a été vacciné contre le COVID-19, qu’il a reçu un résultat négatif à un test de dépistage ou qu’il s’est rétabli à la suite d’une infection. Quant à la plateforme, elle permet la vérification des dispositifs de sécurité contenus dans les QR codes de tous les certificats.
Lien(s) :
https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_2721

 

Pays : France
Sujet : L’ANSSI renforce le niveau de sécurité d’une centaine d’établissements de santé
Date de publication : 10/06/2021
Description : Le directeur général de l’ANSSI, Guillaume Poupard, a annoncé qu’environ 135 établissements de santé, dont une centaine d’hôpitaux, seront désignés comme Opérateurs de Services Essentiels (OSE) à partir de septembre 2021. Cette désignation, introduite par la directive européenne NIS (Network and Information Security), implique l’application de normes de sécurité informatique plus strictes que l’ANSSI sera chargée de contrôler.  
Lien(s) :
https://www.franceinter.fr/economie/lutte-contre-les-cyberattaques-l-anssi-eleve-le-niveau-de-securite-de-140-hopitaux
https://www.franceinter.fr/emissions/l-invite-de-6h20/l-invite-de-6h20-10-juin-2021