Cybermafieux, états… qui cherche à profiter de la pandémie ?

Comment les cybertruands cherchent-ils à tirer profit de la crise sanitaire mondiale actuelle ? De nombreuses manières différentes, comme a pu le souligner la Cyber Threat Coalition à plusieurs reprises au cours des dernières semaines. Il y a bien sûr les arnaques aux masques, gants et autres équipements de protection personnelle. Mais il y a aussi, et sans surprise, les campagnes de hameçonnage et de diffusion de maliciels. Dans ces dernières, quels logiciels malveillants sont les plus représentés ?

Pour Microsoft, fort de la télémétrie de son service Office 365 ATP, c’est Trickbot. En fin de semaine dernière, l’éditeur indiquait ainsi avoir observé « plusieurs centaines de pièces jointes uniques », des documents bardés de macros utilisant le thème du Covid-19, et promettant notamment des offres de test de dépistage gratuit.

Based on Office 365 ATP data, Trickbot is the most prolific malware operation using COVID-19 themed lures. This week’s campaign uses several hundreds of unique macro-laced document attachments in emails that pose as message from a non-profit offering free COVID-19 test. pic.twitter.com/V2JcZg2kjt

— Microsoft Security Intelligence (@MsftSecIntel) April 17, 2020

De son côté, Google indique avoir bloqué, durant la semaine dernière, 18 millions de messages de diffusion de maliciels et de phishing utilisant le thème de la pandémie… chaque jour. Et de préciser que « Gmail bloque quotidiennement plus de 100 millions de messages de hameçonnage ». Et c’est sans compter avec « plus de 240 millions de pourriels liés au Covid chaque jour ».

La rédaction s’est penchée de son côté sur les échantillons collectés par Abuse.ch et son tout nouveau service MalwareBazaar. Un peu plus de 600 maliciels exploitant le thème du Covid-19 y ont été collectés entre la mi-mars et la mi-avril. Parmi ceux-ci, c’est AgentTesla qui s’inscrit en tête, suivi notamment de GuLoader. L’expert Corsin Camichel confirme cette prévalence.

Comme l’expliquait la semaine dernière Malwarebytes, AgentTesla est un maliciel spécialisé dans le vol de données, à partir de navigateurs, de clients FTP, d’outil de gestion de téléchargements. Il est également capable de voler les identifiants de réseaux WiFi. La division 42 de Palo Alto Networks s’est également récemment penchée sur une campagne de diffusion d’AgentTesla utilisant le thème du Covid-19. Toutes ces observations s’avèrent cohérentes avec celles déjà documentées par Proofpoint courant mars.

Mais elles n’ont rien d’une bonne nouvelle. Trickbot est ainsi connu pour ouvrir la voie au ransomware Ryuk. AgentTesla permet quant à lui aux cyberdélinquants de préparer le terrain en collectant des données pouvant être utilisées par d’autres, pour des attaques plus en profondeur.

Et les groupes misant sur l’exploitation de la pandémie ne manquent pas. Selon Anomali, il faut compter aussi bien sur des truands que sur des spécialistes de l’extorsion ou même des états. Dans une note d’information, l’éditeur mentionne ainsi notamment TA505, aux manettes du ransomware Clop, mais aussi le groupe APT36, soupçonné d’être au service du Pakistan. Et lui aussi converti au business du rançongiciel.

L’inquiétude est particulièrement grande pour le secteur de la santé. La bonne nouvelle, apprend-on dans une note d’information du Sénat, est que « depuis l’automne dernier » – et l’on imagine, depuis l’attaque sur le CHU de Rouen – « l’Anssi a développé une procédure d’intervention d’urgence auprès des quinze principaux CHU pour renforcer leur niveau de protection tout en recherchant un effet de levier de ces établissements chefs de file sur les quelque 3 000 établissements du secteur de la santé ».

Malheureusement, l’agence ne serait plus « en mesure de poursuivre cette action actuellement, car les DSI des hôpitaux sont totalement mobilisés pour assurer le fonctionnement des installations nécessaires à la lutte contre le Covid-19 ».