pinkeyes - stock.adobe.com

Covid-19 : tendance à la tempête sur le terrain des menaces

La Cyber Threat Coalition vient de livrer son premier bulletin hebdomadaire de l’exploitation de la pandémie par les cyberdélinquants. Interpol alerte sur la menace des ransomwares sur le monde hospitalier. Certains experts ne cachent plus leur inquiétude.

La Cyber Threat Coalition, qui rassemble près de 3 000 spécialistes du renseignement sur les menaces du monde entier, va publier chaque semaine un point de situation. Le premier dresse un état des lieux qui incite à la plus grande prudence.

C’est une certitude depuis plusieurs semaines déjà, les cyberdélinquants ne sont pas décidés à accorder au monde la moindre trêve, quitte à risquer d’ajouter la crise cyber à la crise sanitaire. Ils s’attaquent aux outils et services de téléconférence et utilisent le thème du coronavirus covid-19 – notamment au travers des mesures de soutien à l’économie annoncées dans divers pays – pour leurs campagnes de phishing, mais distribuent également de faux clients Zoom qui sont en fait des maliciels.

Et c’est sans compter les arnaques aux produits de protection individuelle, telles que les masques ou les gants chirurgicaux. L’expert français Baptiste Robert s’est d’ailleurs tout récemment penché sur une telle opération et détaille son enquête sur Twitter. Vade Secure s’est essayé à un rapide recensement des grands thèmes : masques et gants, dons en faveur de la recherche, guides de survie, médicaments miracles, etc. Tout paraît bon pour les cyberdélinquants.

« Les cyberattaquants utilisent à peu près tous les stratagèmes et histoires [...] pour tenter de tromper la vigilance des utilisateurs et les inviter à leur servir indirectement une somme d’argent ».
Sébastien GestVade secure

Sébastien Gest, évangéliste chez Vade Secure, résume : « les cyberattaquants utilisent à peu près tous les stratagèmes et histoires plus ou moins crédibles pour tenter de tromper la vigilance des utilisateurs et les inviter à leur servir indirectement une somme d’argent ».

Et il faut compter avec les ransomwares dont les opérateurs ne relâchent pas leurs efforts. Les chercheurs de Fortinet alertent ainsi sur une campagne de hameçonnage ciblé utilisant l’image de l’Organisation mondiale de la santé (OMS) pour propager le rançongiciel LokiBot. Les opérateurs de Ryuk ne sont pas en reste. Vitali Kremez, de SentinelOne, l’assurait la semaine dernière : avec le rançongiciel Ryuk, « on ne parle pas d’une victime, mais d’un flot de victimes quotidien ».

Et cela concerne notamment les établissements de santé. Interpol vient d’ailleurs de prendre la peine d’émettre une alerte aux attaques par ransomware contre ceux-ci. Jürgen Stock, secrétaire général d’Interpol, explique ainsi : « alors que les hôpitaux et les établissements de santé du monde entier travaillent en continu pour préserver la santé des personnes frappées par le coronavirus, ils sont devenus la cible de cyberdélinquants sans pitié qui cherchent le profit au détriment de patients malades ».

La Cyber Threat Coalition rappelle de son côté que plusieurs listes d’indicateurs peuvent être utilisées pour surveiller ces attaques : « en particulier, les acteurs aux commandes de Revil (Sodinokibi) et Ryuk cherchent les services exposés et/ou vulnérables tels que RDP, Citrix, et Pulse Secure VPN ».
Et justement, de nombreux hôpitaux qui ont eu à migrer leurs équipes administratives en télétravail « s’appuient lourdement sur ces outils ». D’où l’importance d’en assurer la sécurité. Et la tâche n’est pas des moindres : selon Vectra, il faut compter sur près de 4 600 services RDP vulnérables à BlueKeep exposés sur des adresses IP françaises.

Les volontaires de la Cyber Threat Coalition maintiennent des listes de domaines, URLs, adresses IP et condensats de maliciels pour aider les entreprises à se protéger des assaillants opportunistes. Il faut là ne compter rien moins que près de 1 200 noms de domaine, plus de 1 800 condensats, et plus de 350 URLs.

Sur LinkedIn, Anthonin Hily, directeur technique cybersécurité monde de Sogeti, l’assure : la menace « change d’orientation ». Selon lui, « pour le moment, il s’agissait de phishing grossier, de mails frauduleux, d’attaques frontales sans réelle dangerosité. […] Mais ce qui remonte des profondeurs n’est pas très beau. Certains grands groupes d’attaquants s’organisent ». Pour eux, « la tentation est visiblement trop forte. Il faut “taper” ». Y compris sur les établissements de santé.

Pour approfondir sur Menaces, Ransomwares, DDoS