8 façons dont les cybercriminels ont profité du Covid-19

Si les entreprises prennent de nombreuses mesures pour s'assurer que leurs employés peuvent travailler à distance en toute sécurité, les acteurs de la menace de toutes sortes n’ont pas perdu de temps pour exploiter la crise sanitaire. Les pirates ne sont pas du genre à laisser passer une occasion de se faire de l’argent. Pour profiter de la situation actuelle, les attaquants ont multiplié la diffusion de malwares par courriels, mais aussi via des applications, des sites web et des médias sociaux exploitant le thème du Covid-19. Globalement, les cybercriminels utilisent huit vecteurs de menace et techniques pour attaquer les entreprises.

Le phishing : le vecteur roi

Le courrier électronique représente et représentera toujours le plus grand vecteur de menace pour les individus et les entreprises. Depuis longtemps, les cybercriminels exploitent les événements mondiaux pour mener leurs campagnes de phishing et augmenter leur taux de succès, et le coronavirus ne fait pas exception. Digital Shadows rapporte que, sur le dark web, on trouve beaucoup d’annonces de kits de phishing Covid-19, vendus entre 200 à 700 dollars, qui permettent d’envoyer des courriels avec une cartographie de propagation du virus accompagnés d’une pièce jointe malveillante.

Ces courriels exploitent plusieurs thématiques, aussi bien des rapports d'analystes spécifiques à certains secteurs d'activité que les recommandations officielles du gouvernement en matière de santé, ou encore la vente de masques de protection ou d'autres informations sur les opérations et la logistique. Ils peuvent inclure plusieurs types de charges, des ransomwares et des enregistreurs de frappe - les keyloggers - jusqu’aux chevaux de Troie d'accès à distance et aux voleurs d'informations.

Selon un rapport de VMware Carbon Black, entre février et mars 2020, les attaques de ransomwares ont augmenté de 148 %, en particulier celles ciblant les institutions financières. « Notre équipe de recherche sur les menaces a constaté que de nombreuses campagnes de courriels malveillants exploitaient le thème du Covid-19, et beaucoup d’entre eux utilisaient la peur pour convaincre les victimes potentielles de cliquer », a expliqué Sherrod DeGrippo, directrice senior de la recherche et de la détection des menaces chez Proofpoint. « Les criminels ont envoyé des tas de courriels par vagues allant d'une douzaine à plus de 200 000 à la fois, et le nombre de campagnes augmente. Au début, nous observions une campagne par jour environ dans le monde entier, contre trois ou quatre par jour actuellement ». Selon Mme DeGrippo, environ 70 % des courriels découverts par l'équipe de lutte contre les menaces de Proofpoint contiennent des logiciels malveillants, les autres servant en majorité à voler les identifiants des victimes par le biais de fausses pages d'accueil Gmail ou Office 365.

Proofpoint a déclaré que jamais le volume cumulé de courriels liés à une thématique n’avait rassemblé une telle diversité d'attaques. Dans un rapport intitulé « 100 Jours du Coronavirus », Mimecast révèle qu'en moyenne, à l'échelle mondiale, la diffusion de malwares dans les courriels pendant la pandémie se fait en majorité sous forme de fichiers RAR, et parfois de fichiers ZIP, mais la diffusion de malwares par le biais de macros et de fichiers ISO/image, constatée aussi depuis le début de la crise, est plus minoritaire. En moyenne, pendant cette période, les secteurs de la fabrication et du commerce de détail/de gros ont été les plus ciblés.

L’agence de cybersécurité britannique NCSC (National Cybersecurity Center) et l'Organisation mondiale de la santé (OMS), entre autres, ont alerté publiquement sur les courriels frauduleux censés provenir d'organismes officiels. Divers courriels d'hameçonnage prétendant provenir des Centres pour le contrôle et la prévention des maladies (CDC), principale agence fédérale américaine de santé publique, ont aussi circulé. Selon BAE Systems, le groupe de pirates Transparent Tribe (également connu sous le nom d'APT36) lié à l’Inde, les groupes Sandworm/OlympicDestroyer et Gamaredon liés à la Russie, et les groupes Operation Lagtime et Mustang Panda APTs affiliés à la Chine, font partie des acteurs qui envoient des courriels malveillants sur le thème du Covid-19. Selon les données de Securonix, les courriels de phishing sur les thèmes de la relance économique et de l'aide gouvernementale à l’emploi ont rapidement dépassé d’autres thèmes appâts sur les cures et les vaccinations, également très en vogue dans la première vague d’attaques exploitant le Covid-19.

Les malwares : applications et ransomwares

Même si Apple a limité la soumission d’applications liées au Covid-19 dans son App Store, et même si Google a retiré certaines applications relatives à la pandémie de son Play store, les applications malveillantes représentent toujours une menace pour les utilisateurs. Par exemple, DomainTools a découvert qu’une application Android censée fournir des informations de suivi, des statistiques et des cartes thermiques sur le Covid-19 proposée par un site n’était autre qu’un ransomware connu aujourd'hui sous le nom de COVIDLock. L’application réclame une rançon de 100 dollars en bitcoin payable sous 48 heures. A défaut, celle-ci menace d’effacer les contacts, photos et vidéos, et toute la mémoire du mobile infecté. Un token de déverrouillage aurait été découvert.

Toujours selon DomainTools, les domaines associés à COVIDLock étaient utilisés auparavant pour distribuer des logiciels malveillants à caractère pornographique. « L’historique de cette campagne, qui semble désormais inactive, laisse penser que, pour celui qui exploite le malware, le thème du Covid-19 n’est qu’une autre façon de soutirer de l’argent », a déclaré dans un article de blog Tarik Saleh, ingénieur en sécurité et chercheur en malware chez DomainTools. Proofpoint a également découvert une campagne demandant aux utilisateurs de donner de leur puissance de calcul à SETI@Home, pour soi-disant accélérer la recherche sur le Covid-19. En fait, cette puissance de calcul est utilisée pour distribuer des malwares voleurs d'informations via BitBucket.

Les domaines malveillants : une profusion constatée

Si des sites web ont été créés rapidement pour diffuser de vraies informations sur la pandémie, beaucoup parmi eux sont également des pièges pour des victimes peu méfiantes. Recorded Future rapporte que, ces dernières semaines, des centaines de domaines liés au Covid-19 ont été enregistrés chaque jour. D’après Checkpoint, les domaines liés au Covid-19 ont 50 % plus de chances d'être malveillants que les autres domaines enregistrés au cours de la même période. D'autres études réalisées par les chercheurs de Unit 42 de Palo Alto ont révélé que sur les 1,2 million de domaines enregistrés entre mars et avril 2020 et contenant des mots-clés liés à la pandémie, au moins 86 600 domaines étaient considérés comme risqués ou malveillants.

Le NCSC a signalé que de faux sites se faisaient passer pour des sites des Centres pour le contrôle et la prévention des maladies (CDC) américains et créaient des noms de domaine similaires à l'adresse web du CDC pour demander « des mots de passe et des dons en bitcoins pour financer un faux vaccin ». Reason Security et Malwarebytes ont tous deux signalé un site qui utilisait une carte thermique de suivi du Covid-19 pour diffuser des logiciels malveillants. Le site est chargé d'un malware AZORult qui vole les identifiants, les numéros de cartes de paiement, les cookies et autres données sensibles des navigateurs et les exfiltre vers un serveur de commande et de contrôle. Le malware recherche également les porte-monnaie de cryptomonnaies, il peut prendre des captures d'écran non autorisées et recueillir des informations sur les machines infectées.

Les télétravailleurs : une cible de choix

La crise sanitaire a obligé un grand nombre d'employés, et parfois même des entreprises entières, à travailler à distance, augmentant les risques sur les terminaux et les personnes qui les utilisent. Les appareils utilisés pour le travail à distance pourraient s’avérer plus vulnérables si les employés ne mettent pas régulièrement à jour leurs systèmes. Le travail à domicile pendant de longues périodes peut également encourager les utilisateurs à télécharger des applications fantômes sur les appareils ou à ne pas respecter aussi strictement les politiques que s’ils étaient dans leur environnement professionnel. Certes, du fait de la limitation des déplacements professionnels, les employés sont moins exposés à des risques de sécurité hors de leurs frontières, notamment, s'ils restent effectivement confinés, ils ont moins l’occasion de se connecter à des réseaux WiFi non sécurisés ou de perdre leurs appareils. Mais ceux qui iront dans un café pour travailler - et certains le feront probablement quand ce sera possible - pourraient néanmoins être victimes de vol, perdre leur ordinateur, ou subir des attaques de type « Man-in-the-middle ».

L'International Association of Information Technology Asset Managers recommande aux entreprises de signer et de suivre tous les assets IT emportés à la maison par leurs salariés, d’établir des politiques et de proférer des conseils sur la manière d'utiliser ces appareils à la maison (notamment, s’ils ont l’habitude de partager leur ordinateur avec leur famille), de rappeller aux utilisateurs les politiques relatives à la connexion à un WiFi public et de s’assurer qu’ils continuent à mettre à jour leurs logiciels si nécessaire.

Fournisseurs et tiers : gare à l’effet rebond

Il est probable que chaque partenaire, client et fournisseur de services de votre écosystème soit confronté aux mêmes problèmes que votre entreprise. Assurez la liaison avec les parties critiques de votre écosystème tiers pour vous vérifier qu'ils prennent des mesures pour sécuriser leurs employés travaillant à distance.

Visioconférence : Zoom sur la sellette

Les changements de méthodes de travail offrent clairement des opportunités d’attaques aux cybercriminels. L'augmentation massive des outils de travail à distance et de collaboration signifie que leur sécurité est désormais au centre des préoccupations. La très forte popularité de Zoom a poussé l'entreprise à stopper le développement de fonctionnalités pour ses produits et à se concentrer sur les problèmes de sécurité. Selon Vice, les attaquants s’intéressent beaucoup aux exploits « zero day » ciblant Zoom et d'autres applications de collaboration.

Il semble que l’entreprise de sécurité Cyble a pu acheter plus de 500 000 comptes Zoom sur le dark web pour moins d'un centime chacun et, parfois même, gratuitement. Cela représente un risque certains pour les attaques par bourrage d’identifiants, sans compter les possibles irruptions d’attaquants dans les réunions. Une politique de contrôle des accès insuffisante peut en effet déboucher sur ce phénomène dit de « zoombombing », mais aussi sur la fuite d'informations sensibles. Dans un article, le Financial Times évoque le cas de réductions de salaire au quotidien britannique The Independent après une intrusion malveillante dans une réunion.

Le travail à domicile expose aussi à d’autres menaces. Selon (ICS)2, 23 % des entreprises notent une augmentation des incidents de cybersécurité depuis le passage au travail à distance. Certaines d'entre elles évoquent même un doublement du nombre d'incidents. Outre le risque accru de voir des appareils personnels anciens et peu sûrs accéder à leur réseau, des colocataires, des conjoints ou des enfants pourraient utiliser les appareils de l'entreprise ou voir ou entendre des informations sensibles, surtout si le travailleur distant ne peut pas s’isoler. Absolute Software rapporte que, outre le fait que les appareils sont très en retard sur l’application des correctifs, la quantité de données sensibles présentes sur les terminaux d'entreprise a augmenté de 46 % par rapport aux niveaux moyens avant la crise de Covid-19.

Les organismes de santé : haro sur la première ligne

Malgré les promesses des groupes de pirates, les institutions de santé sont de plus en plus attaquées. Dans la première phase de la pandémie, le site web de la santé publique de l'Illinois a été victime d’un ransomware, et le Département de la Santé et des Services sociaux des États-Unis (HHS) a subi une tentative d'attaque par déni de service. Dans les semaines qui ont suivi, plusieurs institutions de santé et plusieurs instituts de recherche travaillant sur le développement de vaccins ont été frappés par des criminels cherchant à gagner de l'argent ou par des acteurs parrainés par un État cherchant un avantage à plus long terme.

Les criminels opportunistes ou ceux qui souhaitent perturber les opérations sont plus susceptibles de cibler le secteur. Un avis publié par le National Cybersecurity Center (NCSC) britannique et la Cybersecurity and Infrastructure Security Agency (CISA) américaine explique comment les groupes APT ciblent les organismes de santé, les entreprises pharmaceutiques, les universités, les instituts de recherche médicale et les autorités locales pour collecter des quantités massives d’informations personnelles, de la propriété intellectuelle et des renseignements qui correspondent aux priorités nationales.

Les organismes de santé, quels que soient leur type et leur taille, subissent une pression plus importante que d'habitude. Ce stress pourrait entamer la vigilance du personnel et certains pourraient cliquer plus facilement sur des liens malveillants. Les RSSI du secteur de la santé ou leurs fournisseurs doivent rappeler à leur personnel d'être vigilants sur les liens et les documents suspects, et de s'assurer que leurs opérations sont résilientes aux attaques DDoS. De même, plus une région est touchée par la crise, plus elle est susceptible d'être ciblée par les acteurs de la menace. Les recherches de Bitdefender suggèrent que les cybercriminels ont suivi la propagation de l'infection, se concentrant d'abord sur l'Europe pendant une grande partie du mois de mars, avant de se tourner vers les États-Unis en avril à mesure que le nombre de nouveaux cas augmentait.

Reprise : une focalisation sur les aides à prévoir

Mimecast prédit qu'en raison de l'annulation d'un certain nombre d'événements, comme les Jeux olympiques de 2020, il est très probable que les futures cyber-campagnes se concentreront sur les différentes aides économiques pour diffuser de nouveaux contenus malveillants. De même, après la fin du confinement, et même si le danger immédiat est écarté, il est fort probable que les futures cyber-campagnes profitent de la mauvaise situation économique et exploitent le thème des aides financières. Les cyberattaquants devraient lancer d'autres campagnes ayant pour thèmes le sauvetage financier, les aides gouvernementales à l'industrie ou même des attaques plus personnelles axées sur les licenciements ou les réductions de salaires dans l’entreprise.