Pas de trêve pandémique pour les cyberdélinquants

« Comment tirons-nous avantage du corona virus ? » La question a été découverte en titre d’une conversation sur le forum Torum par les équipes de Digital Shadows. Mais cela semble bien n’être qu’une toute petite goutte d’eau.
Plusieurs centres de veille et de réponse aux attaques informatiques (Cert) ont lancé l’alerte en fin de semaine dernière, jusqu’à proposer gratuitement en accès libre des rapports qui sont généralement réservés aux clients de services de renseignement sur les menaces. Il en va ainsi de ceux de Digital.Security, de XMCO, d’Orange, ou encore de Sekoia. Ce dernier s’avère tout particulièrement éclairant.

Sa lecture fait ressortir une exploitation de la crise sanitaire tant par les cyberdélinquants que par des attaquants soutenus par des États-nations. Dans le premier camp, on retrouve le cheval de Troie Trickbot dont les opérateurs utilisent désormais des éléments de texte relatifs au coronavirus Covid-19 pour essayer de passer au travers des contrôles de sécurité. Mais Emotet, NanoCore et Azorult apparaissent également distribués dans le cadre de campagne utilisant le thème de la pandémie en cours. Ce qui vaut également pour le maliciel Lokibot. Sans compter le cheval de Troie Cerberus, pour Android, caché dans de fausses applications sur le thème du coronavirus.

Et c’est sans compter avec toutes les tentatives d’arnaques variées. Le nombre de noms de domaine liés à la pandémie et enregistrés récemment suit une évolution impressionnante. De quoi monter rapidement de fausses boutiques en ligne et piéger les internautes les plus inquiets, notamment. SentinelOne relève également la commercialisation de kits de hameçonnage et de maliciels spécifiquement adaptés à l’exploitation du thème du virus Covid-19.

Les acteurs avancés, les fameuses APT, ces groupes considérés comme soutenus par des états, ne dérogent pas à ce qui semble désormais la règle. Le groupe APT-36, soupçonné d’être lié au Pakistan, utilise le thème du coronavirus pour distribuer le cheval de Troie Crimson. Le groupe Hades, soupçonné d’être lié à APT28 (Fancy Bear) joue la même carte. Et cela vaut aussi pour des assaillants nord-coréens, chinois ou encore iraniens, selon la note de synthèse de Sekoia.

En fait, pour Sherrod DeGrippo de Proofpoint, qui répondait aux questions de notre confrère Alex Scroxton, chez ComputerWeelky (groupe TechTarget), c’est bien simple, aucun autre thème que le Covid-19 n’a été exploité par autant de menaces : « depuis plus de cinq semaines, notre équipe de recherche sur les menaces observe de nombreuses campagnes d’e-mailing malicieux autour du Covid-19, dont beaucoup utilisent la peur pour convaincre de potentielles victimes de cliquer ».

Et dans tout cela, les organismes de santé ne sont pas à l’abri. Certes, les opérateurs de DoppelPaymer et de Maze ont, la semaine dernière, assuré ne pas vouloir s’attaquer à ce secteur aujourd’hui en première. Mais pas question de prendre leurs déclarations pour argent comptant. Pour Under the Breach, « n’importe qui les prenant au sérieux est un idiot ». Et il n’a pas fallu attendre longtemps pour que l’histoire lui donne raison : les opérateurs de Maze ont attaqué avec succès Hammersmith Medicines Research (HMR) ; ils ont également publié les données personnelles de plusieurs anciens patients après que HMR a refusé de céder au chantage. Et l’entreprise a été en charge de tests pour le développement du vaccin contre Ebola, ou encore de traitements contre la maladie d’Alzheimer.

En France, la cellule dédiée à la cybersécurité de l’Agence numérique en santé (ANS, ex-Asip santé), l’ACSS, a récemment alerté sur de « faux e-mails des autorités de santé, de fausses notes internes en entreprise ou encore de fausses alertes de retard de livraison ». Le hameçonnage n’est manifestement pas la seule menace qui mérite d’être prise en compte : un déni de service distribué (DDoS) a visé l’AP-HP durant le week-end.

L’an dernier, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) est intervenue sur 18 incidents de ransomware ayant affecté le secteur de la santé. Mais tout au plus un tiers d’entre eux ont fait l’objet d’une communication publique.