6 minutes de lecture 2 avr. 2020
Un homme et une femme devant un mur de serveurs informatiques

COVID-19 : Trois cybermenaces à connaître maintenant

Par

Chandra Majumdar

Leader, Gestion des cybermenaces, EY Canada

Offrir aux clients une protection de prochaine génération pour ce qui compte le plus pour eux.

6 minutes de lecture 2 avr. 2020

Dans le contexte de la pandémie de COVID-19, trois principaux types de cybermenaces peuvent plonger dans l’embarras les organisations ayant baissé la garde. Savoir quels sont les indices à rechercher fait partie de votre première ligne de défense.

Les cybercriminels et les auteurs de cybermenaces commanditées par des États sont toujours prêts à exploiter la peur, la confusion et l’agitation politique engendrées par des événements d’envergure mondiale tels que la pandémie de COVID‑19.

Les entreprises et les particuliers s’efforcent de faire face à l’incertitude, et les mesures de quarantaine compromettent l’efficacité des ressources d’intervention en cas d’incident et de gestion de crise. Depuis février dernier, nous assistons à la prolifération des cyberattaques par hameçonnage articulées autour de stratagèmes axés sur l’exploitation de la pandémie de COVID-19.

Fig 1: Phishing lure example from Proofpoint research report

Pour contrer les cybermenaces, vous devez d’abord savoir les reconnaître, puis planifier les mesures à prendre avant que la situation ne s’emballe. Quelles sont les tactiques, les techniques et les procédures des cybercriminels dont vous devriez vous méfier?

1. La désinformation comme arme de confusion massive

La désinformation consiste précisément à diffuser de l’information fausse ou inexacte dans le but de tromper l’audience visée. La désinformation sur la COVID-19 est diffusée surtout sur les plateformes de médias sociaux, puis amplifiée par des utilisateurs qui la retransmettent à l’aide d’applications pour plateformes de messagerie privées.

De prime abord, on ne dirait pas que la désinformation peut avoir des conséquences concrètes sur la situation financière d’une entreprise ou d’un particulier, mais croyez bien que la désinformation rhétorique peut être très nocive. En plus d’entraîner des pénuries de matériel et des ruptures d’approvisionnement, la peur et la confusion qu’elle suscite peuvent être des facteurs de propagation de la haine. Tandis que les gouvernements s’efforcent de ralentir la propagation des fausses informations, en présentant des exemples de publications frauduleuses dans les médias sociaux, les particuliers et les entreprises peuvent soutenir leurs efforts en y allant de leur contribution.

Comment pouvez-vous contribuer à la réduction du flux de désinformation et participer ainsi aux efforts d’atténuation des risques?

  • Pour contrer l’effet d’entraînement négatif de la désinformation, tenez vous-en aux lignes directrices crédibles émises par des organismes de santé publique officiels tels que l’Agence de la santé publique du Canada, le National Health Service (NHS) du Royaume Uni, les Centers for Disease Control and Prevention (CDC) des États Unis et l’Organisation mondiale de la Santé (OMS).
  • Vérifiez toutes les informations potentiellement douteuses qui circulent dans les médias sociaux, en vous en tenant aux faits.
  • Soyez à l’affût des messages non sollicités qui contiennent des informations alarmistes ou dont les expéditeurs semblent usurper l’identité d’institutions de santé et de sécurité publiques officielles.

 

2. L’ingénierie sociale au service des hameçonneurs

On croit généralement que ce sont des cybercriminels qui, toutes zones géographiques et tous secteurs confondus, cherchent à exploiter l’épidémie de COVID-19 dans le cadre de leurs stratagèmes d’hameçonnage. Il y a toutefois des preuves que des auteurs de cyberattaques commanditées par des États procèdent de la même manière. On s’attend à ce que de telles activités aillent en s’intensifiant à mesure qu’augmentera le nombre de nouveaux cas de COVID-19 et que la pandémie continuera de dominer les manchettes et les échanges dans les médias sociaux.

La prolifération des nouvelles inscriptions de noms de domaine en lien avec la COVID-19 est directement proportionnelle à la propagation de la maladie, à mesure que les auteurs de cybermenaces se dotent d’infrastructures sur lesquelles reposent leurs campagnes malveillantes. Le nombre de références à la COVID-19 a augmenté considérablement au cours des trois derniers mois, et les stratagèmes d’hameçonnage ciblant un pays donné se servent du nom d’organisations très connues qui inspirent confiance afin de piéger un bassin de victimes potentielles.

Comment pouvez-vous déjouer les tentatives d’escroquerie par hameçonnage et contribuer à les enrayer?

En tant que particuliers :

  • Méfiez-vous de tout courriel ou autre type de communication censé émaner de l’Agence de la santé publique du Canada, du NHS du Royaume-Uni, des CDC des États-Unis ou de l’OMS, et ce, même si l’adresse de provenance semble légitime.
  • Méfiez-vous des énoncés alarmistes qui vous invitent à cliquer sur des pièces jointes ou des liens censés donner accès à de l’information additionnelle.
  • Abstenez-vous de cliquer sur des liens intégrés à des courriels. Tapez plutôt dans la barre d’adresse de votre navigateur l’adresse URL principale du site dont il s’agit ou lancez une recherche dans votre moteur de recherche préféré en utilisant la marque ou le nom de l’organisation en question.
  • Désactivez les macros Microsoft Office de tous les utilisateurs qui n’en ont pas absolument besoin.

 

En tant que membres de l’équipe de sécurité informatique d’une organisation :

  • Assurez-vous que les antivirus et les autres logiciels de sécurité installés sur tous vos systèmes sont à jour.
  • Soyez à l’affût d’indices qui pourraient révéler la présence d’IOC dans votre environnement informatique.
  • Configurez les pare-feux, les systèmes de détection et de prévention des intrusions, les passerelles Web, les routeurs et les autres types de terminaux de votre organisation de façon à bloquer tous les indicateurs de compromission (IOC) d’adresses URL et IP.
  • Assurez-vous que ses applications et systèmes d’exploitation sont tenus à jour et que les plus récentes versions de dispositifs de sécurité disponibles y sont installées.
  • Veillez à ce que votre organisation intensifie ses activités de sensibilisation et de formation relatives à l’augmentation des risques dans les environnements informatiques.

 

3. Accès à des offres axées sur la vente de marchandises frauduleuses

Les offres de solutions d’hameçonnage ont grandement la cote sur les forums fréquentés par les cybercriminels. En février dernier, des analystes de Digital Shadows ont détecté une menace sur un forum bien connu appelé Cross Site Scripting (XSS), qui s’adresse aux cybercriminels de langue russe, auprès desquels il fait la promotion d’une nouvelle méthode de transmission de logiciels malveillants. Cette méthode repose sur l’utilisation de pièces jointes de courriels censées contenir une carte qui présente la répartition des victimes de la COVID-19 et qui a prétendument été constituée à partir de données en temps réel émanant de l’OMS. Il s’agit en fait d’une imitation de la carte légitime qui a été produite par le Johns Hopkins Center for Systems Science and Engineering et qui a déjà été publiée dans diverses plateformes de médias sociaux. En quoi consiste l’offre en question? Une version personnalisée de cette méthode se vend 200 $, tandis que sa version complète assortie d’un « certificat Java Codesign » coûte 700 $.

Fig 2: COVID-19 phishing scam offering on the Russian language XSS forum

Fig 3: A legitimate coronavirus infection map

Nous avons aussi observé l’instrumentalisation de la pandémie de COVID-19 par le gouvernement de l’Iran, dont le but est de propager un logiciel espion dans des dispositifs mobiles. Le ministère de la Santé de l’Iran a envoyé aux victimes ciblées un message les invitant à télécharger une application de surveillance d’éventuels symptômes de la COVID-19. En réalité, cette application (ac19.apk) s’est avérée être un logiciel espion capable de mobiliser les services de localisation permettant de surveiller l’activité physique des victimes de façon à suivre en tout temps leurs allées et venues.

Des groupes à l’origine de cyberattaques persistantes ont également fait leur entrée en scène, à l’instar du groupe Winnti (alias APT41), qui, selon les chercheurs en sécurité Internet, entretient des liens avec la Chine. Par exemple, ce groupe a ciblé le Kirghizistan en utilisant des portes dérobées grâce auxquelles il a pu accéder à des documents sur la COVID-19 à partir du nom de domaine ru[.]mst[.]dns-cloud[.]net et d’un fichier RTF malveillant connu sous le nom de ru[.]mst[.]dns-cloud[.]net. Il s’agit du déclencheur du modus operandi habituel de Winnti, à savoir des cyberattaques axées sur le vol du code source de logiciels ou la compromission de serveurs de jeux en production destinés au secteur du jeu vidéo.

La forme et l’envergure de telles cyberattaques sont diverses. Certaines cyberattaques visent un large bassin de victimes, tandis que d’autres sont très ciblées. Elles émanent aussi bien d’auteurs de cybermenaces bien connus (tels que les groupes TA505 et TA542, qui sont à l’origine de la propagation respectivement des programmes malveillants Emotet et Ostap) que de sources inconnues. Tout cela rend bien compte des risques accrus auxquels les entreprises et les particuliers doivent faire face, dans un contexte où une multitude de pays et d’organisations mettent en œuvre le télétravail.

Comment pouvez-vous vous prémunir contre de telles tentatives d’escroquerie?

  • Familiarisez-vous avec le grand éventail de renseignements de sources ouvertes (en anglais) que nous avons recueillis au cours des deux derniers mois.
  • Tenez-vous bien informés, grâce à nos observations régulièrement mises à jour.
  • Signalez les tentatives d’escroquerie ayant visé votre organisation, de sorte que d’autres organisations puissent en tirer des leçons.

 

Comment faut-il intervenir désormais?

Les auteurs de divers rapports d’analyse de l’évolution des tendances en 2019 considèrent que l’hameçonnage est la technique de cyberattaque la plus répandue. Il n’est donc pas étonnant que l’on observe une intensification des campagnes d’hameçonnage ciblant des particuliers au moyen de stratagèmes s’articulant autour de la pandémie de COVID-19 et que des auteurs de cybermenaces tentent de tromper leurs victimes en leur présentant des contenus malveillants qui exploitent cette pandémie.

Dans le contexte exceptionnel qui est maintenant le nôtre, c’est en vous efforçant d’obtenir un portrait global de la situation que vous contribuerez au renforcement des défenses de votre entreprise. Pensez aux composantes organisationnelles susceptibles de présenter des risques. Veillez dès maintenant à mieux les protéger. Et demandez-vous s’il est suffisamment question de cette problématique au sein de votre organisation. Si ce n’est pas le cas, le moment est venu de commencer à y remédier.

Articles de référence :

Les cyberattaques réalisées sous le couvert du coronavirus cherchent à exploiter les préoccupations à l’égard des expéditions effectuées à l’échelle mondiale

Dans leurs nouvelles campagnes d’hameçonnage, les auteurs de cybermenaces exploitent les préoccupations mondiales à l’égard du coronavirus

https://securityaffairs.co/wordpress/99977/apt/apt27-abusing-covid-19.html

https://www.virusbulletin.com/blog/2020/03/vb2019-paper-attribution-object-using-rtf-object-dimensions-track-apt-phishing-weaponizers/

Résumé

Tandis que les cybercriminels et les auteurs de cybermenaces commanditées par des États cherchent à exploiter la pandémie de COVID-19, les organisations qui savent contre quelles cybermenaces elles doivent se prémunir peuvent dès maintenant faciliter le renforcement de leurs défenses.

À propos de cet article

Par

Chandra Majumdar

Leader, Gestion des cybermenaces, EY Canada

Offrir aux clients une protection de prochaine génération pour ce qui compte le plus pour eux.