Covid-19 : face à l’opiniâtreté des cyberdélinquants, la résistance s’organise

L’heure ne semble toujours pas à la trêve pour les cyberdélinquants. Au contraire, tout semble bon pour faire de la crise sanitaire que traverse le monde une opportunité à leur avantage. Mais le monde de la cybersécurité a pris conscience de l’enjeu et semble bien décidé à faire front commun.

C’était il y a une dizaine de jours, avant que le confinement ne soit mis en place en France, alors que se préparait le premier tour des élections municipales. Plusieurs centres de veille et de réponse aux attaques informatique (Cert) lançaient l’alerte : les cybermécréants semblaient résolus à tirer pleinement profit de la crise sanitaire. Ils sont bien à l’œuvre et tout semble bon pour eux, du déni de service au ransomware, en passant par le phishing et les arnaques diverses et variées.

L’Organisation mondiale de la Santé (OMS) a elle-même été visée, par ce qui ressemble à une tentative de cyberespionnage. Mais il faut ajouter à cela des arnaques usurpant l’identité de l’OMS afin de soutirer des fonds, en bitcoins, à deux qui penseraient en fait donner au fonds de solidarité lancé par l’organisation. En fait, le phénomène est loin d’être anecdotique : de nombreuses campagnes malveillantes sont en cours exploitant le thème du Covid-19, notamment pour essayer de soutirer les détails bancaires d’internautes, ou les identifiants de leurs comptes en ligne. Les équipes Talos de Cisco l’évoquaient récemment pour le public américain, mais cela vaut aussi pour les publics francophones et britanniques.

Et c’est sans compter avec les opérations de distribution de ransomwares – y compris contre les établissements de santé. En la matière, pour Vitali Kremez, de SentinelOne, avec le rançongiciel Ryuk, « on ne parle pas d’une victime, mais d’un flot de victimes quotidien ».

This is not a unique instance of TrickBot->Ryuk pursuing a healthcare organization.

In fact, they never stopped targeting healthcare organizations.

It is no longer a "victim" with Ryuk.

It is a "victim stream". Daily.

Please stay vigilant. https://t.co/6y6xBER9dF

— Vitali Kremez (@VK_Intel) March 26, 2020

À cela s’ajoutent les opérations malveillantes visant des outils et services dont la popularité a littéralement explosé depuis le début de la multiplication des mesures de distanciation sociale à travers le monde, dont Zoom. Pour ce dernier, les chercheurs de Check Point relèvent notamment la création de plus de 1 700 nouveaux noms de domaine intégrant une référence à ce service de téléconférence, depuis le début de l’année, dont un quart la semaine dernière.

Mais attention toutefois : beaucoup le soulignent, il n’y a pas là d’augmentation spectaculaire de l’activité malveillante. Comme le relève Kevin Beaumont, c’est surtout que « beaucoup de gros acteurs malicieux se sont tournés vers les leurres autour du coronavirus ».

For reporters on Coronavirus phishing, malware etc - it’s not that there’s suddenly a massive spike in hacking. It’s that many big threat actors have pivoted to Coronavirus lures.

— Kevin Beaumont (@GossiTheDog) March 27, 2020

Dans ce contexte, le monde de la cybersécurité, et en particulier du renseignement sur les menaces s’est mobilisé. Anomali, notamment, propose un flux consolidé d’indicateurs liés à ces opérations, de même que DomainTools. Une liste de ressources librement accessibles a été compilée sur Github.

Mais il y a surtout la Cyber Threat Coalition, lancée tout récemment et qui rassemble aujourd’hui près de 2 400 professionnels du domaine venus du monde entier, y compris des Français. Elle tient à jour une liste d’indicateurs sous forme de liste noire afin d’aider à se protéger des menaces en bloquant l’accès aux domaines, pages Web ou adresses IP correspondantes, ainsi qu’une pulse sur l’OTW d’AlienVault pour les experts du renseignement sur les menaces.

Parmi les volontaires impliqués, on trouve des représentants du FBI, d’Interpol, d’Europol, de nombreux Certs, de Google, Microsoft, et plus encore. Des tiers spécialistes de la protection contre les menaces ont d’ailleurs commencé à mettre à profit ces ressources pour en faire profiter leurs clients et utilisateurs, à l’instar du service NextDNS, ou encore de SignalSpam.