COVID-19 : la ruée vers l’or, version 2020, pour les cybercriminels

0

Si l’on m’avait annoncé, en début d’année 2020, que, pour la première fois dans l’histoire de la cybersécurité, tous les secteurs d’activité et tous les équipements sans exception, aux quatre coins du monde, seraient les cibles d’attaques ayant un même fil conducteur, je ne l’aurais pas cru. Si l’on m’avait affirmé que ce fil conducteur consisterait à tirer parti d’une pandémie et que les assaillants auraient même en point de mire des chercheurs du monde médical, engagés en première ligne dans la lutte contre le virus, je n’y aurais pas cru davantage. Nous y voilà pourtant, et la réalité s’apparente bel et bien à une ruée vers l’or pour des cybercriminels visant à tirer avantage de l’épidémie de COVID-19.

Rien que la semaine dernière, le NCSC (National Cyber Security Centre) britannique, le CSE (Communications Security Establishment) canadien et la NSA (National Security Agency) américaine ont émis une alerte conjointe concernant le groupe de hackers Cozy Bear (APT29), qu’ils accusent d’être à la solde du Kremlin et de cibler des laboratoires implantés dans leurs pays respectifs impliqués dans le développement d’un vaccin contre le COVID-19. 

Les chercheurs de l’Unité 42, spécialisée dans la veille des menaces, chez Palo Alto Networks s’intéressent de près à une multitude de cyberattaques, dont le fil conducteur est le COVID­‑19, déclenchées partout dans le monde ces derniers mois. Depuis le début de l’année, nous avons ainsi isolé plus de 40 000 sites web nouvellement enregistrés, utilisant une appellation en rapport avec le coronavirus, que nous cataloguons parmi les sites « à haut risque » en raison des escroqueries et des logiciels malveillants dont sont victimes des utilisateurs peu méfiants. 

Les répercussions mondiales de la pandémie de COVID-19, conjuguées à la méfiance quant à la fiabilité des informations communiquées par les pouvoirs publics et les médias, ont créé un incommensurable chaos qui ne pouvait qu’être profitable aux cybercriminels. Le grand public est constamment en quête de nouvelles sources de ravitaillement et d’informations, et les cybercriminels ont saisi l’occasion d’exploiter ce filon. 

Importance du phénomène

Alors que les gens cherchaient tout à la fois à obtenir des informations à jour sur le COVID-19 et à acheter des biens essentiels en ligne, les pirates ont profité de ces conditions propices en déclenchant des attaques motivées par l’appât du gain

Voici le résultat de nos investigations :

· Des sites escrocs proposant des articles de type masques et gel hydroalcoolique à des tarifs très bas.

· Des livres électroniques fictifs sur le COVID-19, promettant de nouvelles « astuces » sur la manière de rester en bonne santé. En réalité, leur achat n’est suivi d’aucune livraison, les sites en question se contentant de dérober l’argent des clients ainsi que l’ensemble des données à caractère personnel et des informations financières qui y sont transférées. 

· Plusieurs indices laissent supposer que des cybercriminels créent également des sites web à sécurité intégrée (autant dire infaillibles) actuellement inactifs, prêts à prendre la relève dès qu’un autre de leurs sites escrocs est démantelé.

· Les cybercriminels font appel à des prestataires de services cloud (comme Amazon, Google, Microsoft et Alibaba) pour héberger certains de ces sites malveillants ; en effet, lorsque les menaces émanent du cloud, il est parfois plus facile de se soustraire aux techniques de détection en détournant les ressources de prestataires cloud. (Grâce à la rigueur des processus de repérage et de surveillance employés par ces prestataires cloud, et en raison probablement des coûts élevés de leurs prestations, l’hébergement de domaines malveillants dans des clouds publics a été relativement rare jusqu’ici.)

Nous avons également mis au jour – et fait obstacle à – un large éventail de cybermenaces aux quatre coins du monde qui ciblent impudemment des organismes gestionnaires de santé, des administrations et collectivités locales, et de grandes universités aux prises avec la gestion de la suite à donner à la pandémie de COVID-19. Au nombre des pays impactés figurent les États-Unis, le Canada, l’Allemagne, la Turquie, la Corée et le Japon. 

S’il n’est guère étonnant que les cybercriminels profitent de cette pandémie pour leur enrichissement personnel, il est évident que les délinquants qui tirent avantage de la cybercriminalité réussiront leur coup et qu’il faudra composer avec eux pour un bon bout de temps encore.

Nous continuons à surveiller ces menaces et à assurer une protection contre celles-ci mais, au vu de ces changements de comportements, il apparaît évident que les cybercriminels renforcent leurs attaques en y mettant les moyens, c’est-à-dire en y consacrant du temps et des ressources.

Perspectives

Alors que le nombre de cas de COVID-19 continue à progresser dans certains pays, et qu’une deuxième vague de l’épidémie est redoutée, nous retrouvons, dans l’actualité de cette pandémie, le fil conducteur exploité par les assaillants au travers de thématiques diverses. Fin juin, par exemple, nous avons repéré des courriers électroniques malveillants ayant pour objet « Masque/Thermomètre frontal – Fournisseur » ou « Fourniture de masques chirurgicaux, visières de protection et thermomètres-pistolets ». Ces deux thématiques relèvent davantage d’une préparation à un retour à la normale qu’à la poursuite du confinement. Cette tendance devrait se confirmer en fonction de l’actualité et des priorités économiques. 

Par ailleurs, nous nous attendons également à ce que les États-Unis soient davantage pris pour cible par les pirates en comparaison de pays où le COVID-19 ne rythme plus le quotidien de la population (comme en Nouvelle-Zélande).

De même, nous prévoyons un pic de cybercriminalité concomitant avec l’entrée en récession des différents pays. Alors que les chiffres du chômage explosent aux quatre coins du monde, certains se tourneront inévitablement vers la cybercriminalité, comme c’est généralement le cas lors d’un marasme économique.

Enfin, étant donné qu’une proportion plus importante d’actifs exerce à présent ses activités en télétravail, il faut s’attendre à une recrudescence d’attaques ciblant les routeurs domestiques et autres appareils connectés (via l’Internet des objets) dans l’optique de compromettre les réseaux domestiques.

Ces équipements sont déjà fréquemment ciblés, d’autant que 98 % de l’ensemble du trafic transitant par l’Internet des objets n’est pas crypté, exposant les données personnelles et confidentielles sur le réseau et donnant ainsi aux pirates la possibilité d’épier le trafic réseau non crypté et de collecter les informations en question. Même si les preuves nous faut aujourd’hui défaut pour corroborer ce scénario, il est très probable que les pirates se focaliseront ensuite sur les routeurs domestiques autrement que pour simplement miner de la cryptomonnaie ou lancer des attaques DDoS, comme ils l’ont fait dans le passé. Alors que davantage de salariés travaillent depuis leur domicile sans plus être protégés par un outil de sécurité d’entreprise ou par un pare-feu, ces assaillants risquent de se mettre à dérober des données d’entreprise sensibles auxquelles ils n’auraient pu accéder aussi aisément auparavant. Aux particuliers de veiller à ce que leur routeur physique n’utilise pas le mot de passe défini par défaut pour celui-ci (bien souvent « Admin »). Il leur appartient également de le mettre à jour en installant la toute dernière version du firmware. Trop souvent, les utilisateurs se contentent de créer un mot de passe pour leur réseau sans fil uniquement, sans se rendre compte que cet équipement physique nécessite également un mot de passe distinct. 

Voici quelques conseils et recommandations aux particuliers et aux entreprises pour préserver de bonnes conditions de sécurité durant cette période :

Particuliers : 

· Méfiez-vous des sites web proposant des offres trop belles pour être vraies sur des produits essentiels dans la lutte contre le COVID-19, comme des masques ou du gel hydroalcoolique.

· Considérez comme suspects tous les courriers électroniques et les sites web prétendant donner des informations sur le COVID-19.

· Afin d’être certain de ne pas être victime d’une tentative de phishing, vérifiez systématiquement les trois critères incontournables, représentés en Figure 1 ci-après : l’exactitude du nom de domaine, la présence du cadenas et la validité du détenteur du certificat.

· Si vous pensez que les informations figurant sur votre carte bancaire ont pu être dérobées suite à un achat récent effectué sur Internet, contactez votre banque sans attendre pour faire opposition ou changer votre carte. 

· Songez à limiter votre découvert autorisé afin d’empêcher l’ouverture de nouveaux comptes utilisant vos informations personnelles.

· Assurez-vous que votre routeur domestique dispose d’un mot de passe physique en plus du mot de passe Wi-Fi que vous avez défini. Si vous ignorez comment procéder, consultez le site du fabricant de l’équipement où vous trouverez des instructions détaillées. 

Instructions pour Linksys.

Instructions pour Netgear.

Instructions pour ASUS.

Instructions pour D-Link.

Entreprises : 

· Effectuez un diagnostic des pratiques optimales afin de localiser les modifications à apporter à votre configuration pour renforcer la sécurité.

· Recourez au filtrage d’URL PAN-DB pour bloquer les « domaines nouvellement enregistrés », c’est-à-dire ceux qui l’ont été ces 32 derniers jours.

· Si vous ne parvenez pas à bloquer l’accès à cette catégorie, nous vous recommandons d’appliquer le cryptage SSL à ces URL afin de gagner en visibilité et d’empêcher les utilisateurs de télécharger des types de fichiers à risques (PowerShells et exécutables, par exemple).

· Vous pouvez également appliquer des règles nettement plus strictes en matière de prévention des menaces et intensifier la journalisation en marge de l’accès aux domaines nouvellement enregistrés. Nous recommandons également la protection de la couche DNS, puisqu’il s’avère que plus de 80 % des malwares recourent au DNS pour infecter les serveurs de commande et de contrôle (C2).

· Pour atténuer ces risques, les sites marchands peuvent appliquer des correctifs à la totalité de leurs systèmes, composants et modules externes web afin d’éviter toute compromission. 

· Effectuez régulièrement des contrôles d’intégrité sur les contenus web en mode hors ligne pour déterminer si vos pages ont été modifiées et si du code JavaScript malveillant a été inséré par des pirates.

· Assurez-vous d’utiliser des mots de passe forts avec votre système de gestion de contenu (CMS) afin de le rendre moins vulnérable aux attaques par force brute.

Share.

About Author

Responsable de l´Unité 42 chez Palo Alto Networks

Leave A Reply