COVID-19 : VEILLE CYBERSÉCURITÉ #40 – 16 juillet 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité

 

MENACES

Attaque : Des cybercriminels exploitent le COVID-19 pour diffuser une variante du malware-as-a-service (MaaS) Buer
Procédé : Campagne de phishing
Cible : Grand public 
Date de publication : 01/07/2021
Description : Les chercheurs du centre de défense contre le phishing (PDC) de Cofense ont mis au jour une campagne délivrant le MaaS Buer. Les cybercriminels prétendent fournir un document sur les effets secondaires du vaccin afin de pousser les utilisateurs à télécharger une pièce jointe contenant le malware à l’aide d’un mot de passe. Une fois Buer installé, ce dernier peut propager d’autres logiciels malveillants comme des ransomwares.
Lien(s) :
https://cofense.com/blog/covid-19-variant-malware/

 

Attaque : Une cyberattaque sur le site Web proposant des rendez-vous pour se faire vacciner contre le COVID-19 perturbe la campagne vaccinale géorgienne
Procédé : Inconnu à l’heure actuelle
Cible : Site Web « booking.moh.gov.ge »
Date de publication : 03/07/2021
Description : Le 2 juillet 2021, la Géorgie a reçu un million de doses des vaccins chinois Sinopharm et Sinovac. Afin de se faire vacciner, il était demandé aux géorgiens de s’inscrire sur la page d’enregistrement en ligne du ministère de la santé, « booking.moh.gov.ge ». Cependant, le site Web a été victime d’une cyberattaque qui a entraîné la fermeture de la plateforme et retardé la campagne de vaccination.
Lien(s) :
https://agenda.ge/en/news/2021/1832

 

Attaque : Un centre médical universitaire américain victime du ransomware REvil
Procédé : Inconnu à l’heure actuelle
Cible : Centre médical universitaire du sud du Nevada
Date de publication : 29/06/2021
Description : Le centre médical, qui fournit des services de soins aux patients de quatre états américains, a été la cible d’une cyberattaque. Le groupe de criminel REvil a ajouté le centre médical à sa liste de victimes sur leur site diffusant les fuites de données. Même si les sites Web de l’organisation criminelle ne sont plus accessibles actuellement, aucune information relative au COVID-19 n’avait été exposée. L’organisme de santé a communiqué sur cet incident, indiquant que les services de soins étaient toujours opérationnels et qu’aucune preuve de compromission des systèmes cliniques n’avait été trouvée.
Lien(s) :
https://www.databreaches.net/university-medical-center-of-southern-nevada-allegedly-attacked-by-revil-threat-actors/

 

FRAUDES

Attaque : L’application de messagerie Telegram utilisée pour vendre des vaccins et des certificats COVID numériques européens frauduleux
Procédé : Escroquerie
Surface/Application : Telegram
Date de publication : 05/07/2021
Description : La police italienne a fermé 10 chaînes du service de messagerie chiffrée Telegram qui liaient des comptes anonymes à des places de marchés du darkWeb. Les comptes servaient à contacter et payer les vendeurs proposant des certificats européens ainsi que des vaccins contrefaits. Le certificat délivré contenait de fausses données d’identification, un QR code ainsi que le numéro d’une première et d’une seconde dose de vaccin.
Lien(s) :
https://www.reuters.com/article/uk-health-coronavirus-italy-pass-idUKKCN2E90DH

 

RESSOURCES UTILES

Type de ressources : La plateforme CovidTracker ajoute EuroVaccination, un outil de suivi de la campagne vaccinale en Europe
Cible : Grand public
Date de publication : 01/07/2021
Description : La nouvelle plateforme, EuroVaccination, rend compte de l’évolution de la campagne de vaccination dans les différents pays européens. Les données provenant de « Our World In Data », indiquent le nombre, la progression ainsi que le pourcentage de premières doses injectées. Le site Web établit aussi un classement en fonction du taux de vaccination de la population par pays.
Lien(s) :
https://eurovaccination.fr/

 

AUTRES ACTUALITÉS

Pays : Espagne
Sujet : Une erreur de programmation dans le site Web du ministère de la santé espagnol entraîne une fuite de données
Date de publication : 07/07/2021
Description : Une faille de sécurité sur la plateforme permettant d’obtenir le passe sanitaire à Madrid a exposé les données de milliers d’utilisateurs. À l’aide d’un proxy et d’un identifiant aléatoire, il était possible d’avoir accès au vaccin utilisé, au nom, au numéro de téléphone et de sécurité sociale ainsi qu’à l’adresse du patient. Toutefois, des sources du ministère de la santé espagnol ont indiqué qu’aucune information de la base de données n’avait été compromise.
Lien(s) :
https://www.telemadrid.es/programas/telenoticias-2/brecha-seguridad-datos-privados-madrid-0-2357164308–20210707083051.html