COVID-19 : VEILLE CYBERSÉCURITÉ #39 – 1 juillet 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité

 

Focus sur le malware ReverseRAT

Attaque : Des cybercriminels exploitent la vaccination contre le COVID-19 en Inde pour diffuser le nouveau malware ReverseRAT
Procédé
: Campagne de spear-phishing
Cible :
Entités gouvernementales et entreprises du secteur de l’Énergie en Inde
Date de publication :
22/06/2021
Lien(s) :
https://thehackernews.com/2021/06/pakistan-linked-hackers-targeted-indian.html
https://blog.lumen.com/suspected-pakistani-actor-compromises-indian-power-company-with-new-reverserat/

Description

Le laboratoire de la compagnie Lumen a détecté un nouveau malware, baptisé ReverseRAT. Il est distribué dans le cadre d’attaques ciblant des acteurs très précis du gouvernement indien ou du personnel rattaché à des entreprises du secteur de l’Énergie.

Bien que le moyen de transmission initial ne soit pas identifié, il est probable que le malware ReverseRAT se propage par e-mails ou par SMS. Dans cette campagne, les e-mails frauduleux exploitent des leurres liés à l’actualité indienne, en prétendant notamment fournir un manuel utilisateur pour réserver un rendez-vous de vaccination contre le COVID-19 sur le portail gouvernemental CoWIN.

Le mode opératoire des attaquants ressemble beaucoup à une autre campagne « Operation Sidecopy », active depuis 2019 et ciblant l’armée Indienne. Cette campagne est menée par des acteurs aguerris et qui cherchent avant tout la discrétion, modifiant régulièrement leur malware pour tromper les antivirus.

Mode opératoire

La compromission s’effectue en trois parties. La victime télécharge une archive ZIP contenant deux documents : un fichier PDF sain et un fichier raccourci (.lnk). Ce dernier télécharge une application HTML (fichier .HTA).

Cette application télécharge à son tour le projet Github « CactusTorch », un programme permettant d’injecter le code d’un autre programme dans un processus. Le programme injecté est nommé « preBotHta.pdb » et c’est lui qui à son tour télécharge ReverseRAT.

ReverseRAT a pour but de glaner toute information intéressante de son hôte, avant de transmettre les informations chiffrées à son serveur de contrôle. Il utilise pour ce faire les fonctionnalités du Windows Management Instrumentation (WMI). Il a également la possibilité de télécharger des fichiers, démarrer des processus, prendre un screenshot, etc.

Afin de s’assurer une porte de secours, un autre malware de prise de contrôle à distance open source « AllaKore » est téléchargé en utilisant également un fichier .HTA.

Les Indicateurs de Compromissions (IOCs) sont listés dans l’article de Lumen cité ci-dessus.

 

MENACES

Attaque : Des cybercriminels exploitent le COVID-19 pour diffuser le cheval de Troie d’accès à distance (RAT) Agent Tesla
Procédé
: Campagne de phishing
Cible :
Entreprises diverses
Date de publication :
15/06/2021
Description :
Une campagne de phishing visant les machines Windows est utilisée pour propager le RAT Agent Tesla. Les attaquants prétextent un problème technique dans la prise de rendez-vous pour se faire vacciner contre le COVID-19 afin d’inciter les victimes à ouvrir une pièce jointe malveillante. Une fois téléchargé, le malware se propage et l’Agent Tesla enregistre les frappes du clavier tout en récupérant les mots de passe stockés dans le navigateur. Retrouvez notre focus sur l’Agent Tesla présenté dans un précédent bulletin de veille.
Lien(s) :
https://hotforsecurity.bitdefender.com/blog/threat-actors-spread-agent-tesla-disguised-as-covid-19-vaccination-registration-25998.html

 

Attaque : Une entreprise de diagnostic médical brésilienne ciblée par une cyberattaque 
Procédé : Inconnu à l’heure actuelle
Cible : Grupo Fleury, Brésil
Date de publication : 23/06/2021
Description : La société de diagnostic médical Grupo Fleury a subi une attaque par ransomware ayant paralysé ses systèmes informatiques. La perturbation a rendu inopérante la planification des tests de laboratoires, notamment ceux liés au dépistage du COVID-19. Même si l’entreprise ne s’est pas exprimée sur le sujet, il semblerait que le ransomware REvil soit à l’origine de l’attaque. Ce dernier est connu pour viser le secteur de la santé et est responsable de nombreuses attaques au Brésil comme celle qui a touché le producteur de viande JBS Friboi.
Lien(s) :
https://www.bleepingcomputer.com/news/security/healthcare-giant-grupo-fleury-hit-by-revil-ransomware-attack/

 

Attaque : Un centre de soin américain visé par une cyberattaque
Procédé : Inconnu à l’heure actuelle
Cible : Centre médical Stillwater, Oklahoma
Date de publication : 16/06/2021
Description : Le centre de soins de santé en charge de nombreux hôpitaux et cliniques impliqués dans la gestion du COVID-19 a été victime d’un ransomware. Bien que l’attaque ait paralysé les systèmes informatiques et annulé certains rendez-vous, le fournisseur de santé a indiqué que les soins des patients continuaient d’être assurés.
Lien(s) :
https://www.scmagazine.com/home/health-care/health-care-ransomware-attacks-oklahoma-health-system-driven-to-ehr-downtime/
https://www.stillwater-medical.org/node/790

 

Attaque : Un hôpital canadien victime d’une attaque par ransomware
Procédé
: Inconnu à l’heure actuelle
Cible :
Hôpital Humber River, Toronto
Date de publication :
15/06/2021
Description :
L’établissement hospitalier chargé de dispenser des soins de santé pour lutter contre le COVID-19 a été la cible d’une cyberattaque. Bien que l’hôpital ait apporté une réponse rapide pour limiter l’impact du ransomware, le système informatique a été paralysé et les ambulances réorientées vers d’autres infrastructures de santé. 
Lien(s) :
https://www.hrh.ca/2021/06/15/code-grey/
https://www.databreaches.net/ca-humber-river-hospital-hit-by-ransomware-variant-prompt-response-prevented-encryption-and-exfiltration/

 

Attaque : Des cybercriminels ciblent un hôpital portugais
Procédé : Inconnu à l’heure actuelle
Cible : Hôpital do Divino Espirito Santo, Ponta Delgada
Date de publication : 28/06/2021
Description : L’hôpital do Divino Espirito Santo a été victime d’un malware paralysant son système informatique. L’incident a entraîné des retards dans l’envoi aux patients de leur test négatif au COVID-19. L’infrastructure de santé a publié un communiqué sur l’attaque, toutefois, aucune information sur une potentielle fuite de données n’a été indiquée.
Lien(s) :
https://www.databreaches.net/portugal-cyberattack-on-hospital-do-divino-espirito-santo-impacting-notification-of-covid-19-test-results/

 

FRAUDES

Attaque : Un fournisseur de solutions informatiques impliqué dans la gestion de la crise sanitaire en Suède confronté à une fuite de données
Procédé
: Inconnu à l’heure actuelle
Surface/Application
 : Base de données
Date de publication :
23/06/2021
Description :
L’entreprise Infosolution, chargée du stockage de la base de données contenant les résultats des tests au COVID-19 de 15 régions suédoises, a subi une attaque. L’intrusion, réalisée par un acteur externe, a permis de rendre accessible le nom, le numéro de sécurité sociale et l’adresse des patients s’étant fait tester.
Lien(s) :
https://cybernews.com/news/swedish-covid-19-lab-with-millions-of-test-results-breached/

 

Attaque : Des cybercriminels arrêtés après avoir fraudé les allocations chômage françaises
Procédé
: Inconnu à l’heure actuelle 
Surface/Application
 : Site Web 
Date de publication :
23/06/2021
Description :
La gendarmerie nationale française et la police israélienne ont arrêté 8 personnes qui auraient obtenu 12 millions d’euros en fraudant les aides financières délivrées en cas de perte d’emploi durant la pandémie. Les autorités françaises ont réussi à récupérer 6.2 millions d’euros sur les comptes bancaires détenus par ce groupe criminel. 
Lien(s) :
https://www.europol.europa.eu/newsroom/news/six-arrested-for-siphoning-%E2%82%AC12-million-in-fraudulent-covid-19-unemployment-payments-france

 

AUTRES ACTUALITÉS

Pays : France
Sujet : Erreur de programmation dans l’application TousAntiCovid
Date de publication : 26/06/2021
Description : Le passe sanitaire français, stocké sous forme de QR code dans l’application TousAntiCovid, est délivré en cas de vaccination, de test négatif ou de test positif au COVID-19 de moins de 6 mois. Toutefois, le QR code n’est en place que depuis le 20 avril, empêchant les utilisateurs qui ont contracté le virus avant cette date de se procurer le passe. Cette situation intervient au même moment où le « certificat Covid numérique UE » qui permet de voyager en Europe a été mis en place et est délivré en France uniquement si l’utilisateur détient le passe sanitaire.
Lien(s) :
https://www.ouest-france.fr/sante/virus/coronavirus/covid-19-2-millions-de-francais-prives-de-leur-pass-sanitaire-a-cause-d-une-faille-b6be560a-d693-11eb-b1dc-a73451ceafbf
https://www.service-public.fr/particuliers/actualites/A15003

 

Pays : États-Unis
Sujet : Une mauvaise configuration dans le cloud d’un fournisseur expose de nombreuses données de santé
Date de publication : 17/06/2021
Description : Des chercheurs de WebsitePlanet ont découvert une importante base de données non protégée par un mot de passe appartenant à la chaîne américaine de pharmacie CVS Health. La faille, due à une erreur humaine dans la configuration de la plateforme de stockage d’un fournisseur de la société pharmaceutique, a exposé plus d’un milliard de données. Parmi les informations divulguées, on retrouve l’adresse e-mail ainsi que les médicaments et les vaccins contre le COVID-19 achetés par les clients.
Lien(s) :
https://www.websiteplanet.com/blog/cvs-health-leak-report/
https://threatpost.com/cvs-health-records-billion-customers-exposed/167011/

 

Pays : Pays-Bas
Sujet : Bug informatique dans l’application délivrant des certificats de vaccination contre le COVID-19
Date de publication : 28/06/2021
Description : L’application gouvernementale CoronaCheck, certifiant de la vaccination contre le COVID-19, a délivré à tort des QR codes permettant à des milliers d’utilisateurs de bénéficier des avantages promus par cette certification (évènements en intérieur et lieux de fêtes) sans être vaccinés. L’application avait déjà fait l’objet de critiques la semaine précédente du fait de l’absence de génération du certificat pour les personnes s’étant faites vacciner.
Lien(s) :
https://nltimes.nl/2021/06/28/govt-app-wrongly-gave-covid-vaccination-certificates-thousands
https://nltimes.nl/2021/06/25/coronacheck-app-yet-giving-vaccination-certificates-many