Covid-19 et les quarante voleurs

Le contexte mondial de crise sanitaire que nous vivons semble bien être une aubaine pour les groupes cybercriminels et les escrocs à la petite semaine. Même si certains attaquants ont annoncé qu’ils laisseraient en paix les établissements de santé pendant toute la durée de la crise1, leur faire confiance reviendrait à croire les promesses faites en période électorale.

Je vous propose un petit tour du panorama des arnaques et attaques observées, utilisant le thème du Covid-19 pour tenter de soutirer de l’argent ou des données aux victimes potentielles.

1. Le phishing au Webmail

Commençons avec un grand classique, l’arnaque au Webmail. Nous observons depuis près de deux ans maintenant une campagne de phishing qui touche énormément d’établissements de santé français. Si la mode semble être revenue aux messages « standards » ces dernières semaines, le thème du Covid-19 n’a pas échappé aux personnes à l’origine de cette (ou ces) campagne(s).

Ici avec une messagerie piratée appartenant à un établissement de santé :

Ou encore ici, où pour éviter de se faire arrêter par les solutions anti-spam à cause d’un lien malveillant, de se faire retirer son formulaire en ligne trop rapidement ou encore de voir sa page bloquée par les navigateurs Web, les attaquants ont opté pour une page HTML en pièce jointe, représentant une fausse page d’authentification OWA qui n’est autre qu’un formulaire permettant d’exfiltrer les données :

2. L’arnaque au faux support

D’autres campagnes de pourriels utilisent là encore le sujet du Covid-19 pour amener les destinataires à cliquer :

L’utilisateur se voit alors redirigé vers une page de type « faux support Microsoft », avec une bande son qui lui explose les tympans en lui martelant que son poste est infecté et qu’il faut vite appeler le fameux support technique :

Sur le sujet, je vous recommande l’enquête vidéo de Micode en trois épisodes2.

3. La distribution de logiciels malveillants via courriel

Le thème du Covid-19 est employé à de nombreuses reprises pour distribuer sous toutes les formes possibles, des logiciels malveillants. Des courriels accompagnés de pièces jointes de type archives (zip, 7z, rar, gz, tar, arj et même iso) contenant directement un exécutable, des fichiers de type bureautique (doc, docx, xls, xlsx), qui grâce aux macros font office de dropper et permettent le téléchargement de la charge malveillante ou encore des liens inclus dans le corps du message.

L’appât semble tellement bien fonctionner que tout le monde s’y met ! On observe un nombre impressionnant de logiciels malveillants différents distribués via des campagnes de spam reprenant le sujet du Covid-19 :

NanoCore3, un RAT (Remot Acces Tool ou Trojan) utilisé pour le vol d’informations de connexion et l’espionnage, dont la première utilisation connue en 2017 est attribuée au groupe iranien APT334, s’est lui aussi adapté à l’actualité :

Certains ont pris le parti du libre et de la facilité, en utilisant AsyncRat, un RAT prêt à l’emploi disponible sur Github5, dans cet exemple déployé sur un serveur Windows hébergé en France :

Dans la série, Remcos6, un RAT, lui aussi utilisé par le groupe APT334, ou encore Agent Tesla, un RAT et Keylogger qui s’occupe également de récupérer le contenu du presse papier et les informations de connexion Wifi, récemment utilisé pour déployer le rançongiciel Ransom20, comme le détaille Unit 42 (Palo Alto) dans un article du mois d’avril7 :

Également observés, le RAT Koadic8, l’outil d’exfiltration de mots de passe Loki9, les droppers Ostap10 et GuLoader11 ou encore le Keylogger HawEye12. La France n’est d’ailleurs pas épargnée, comme l’indique un article publié par Bitdefender13.

Plus récemment encore, une importante campagne de phishing décelée par les équipes de Microsoft14, présentant un tableur avec des prétendues statistiques sur le nombre de patients américains morts du Covid-19 et incitant à activer les macros du document pour déployer un outil d’administration à distance « légitime » (NetSupport Manager) et avoir main mise sur la machine victime, a été observée :

Dans cet exemple partagé lui aussi par les équipes de Microsoft15 et qui permet le déploiement du cheval de Troie Trickbot16, le prétexte utilisé ici pour inciter à cliquer, est la proposition de dépistage gratuit :

Le thème du Coronavirus a également inspiré les auteurs de certains logiciels malveillants, comme le rançongiciel du même nom17 :

Ou encore le « nuisible » Coviper18 ayant visé plusieurs établissements de santé européens et dont le seul but est d’empêcher les machines victimes de démarrer en modifiant le secteur d’amorce MBR du disque de dur de la machine victime. Les chercheurs d’Avast ont également indiqué qu’un mécanisme de « Kill Switch » permettait de restaurer le MBR original en effectuant la combinaison de touches suivantes :

CTRL+ALT+ESC

Très répandu ces derniers mois également, le cheval de Troie Dridex s’est lui aussi adapté à la crise sanitaire, comme dans cet exemple où il était distribué par le biais de courriels dont le sujet était « RE: Review COVID-10 Policy » :

L’activation des macros permet le téléchargement de la charge utile, un exécutable voulant se faire passer pour un processus légitime :

Le CERT-FR de l’ANSSI a publié un rapport très complet19, ainsi que des indicateurs de compromission20 liés au code malveillant Dridex.

Un récent rapport publié par Malwarebytes21 sur les attaques utilisant le thème du Coronavirus évoque également l’utilisation massive des RAT Ave Maria22, et Netwire RC23 (qui lui aussi est associé au groupe iranien APT334) ainsi que des chevaux de Troie Azorult24 et Danabot25.

Le Coronavirus semble avoir largement inspiré les cybercriminels puisque le baromètre Signal Spam indique que le phishing aurait augmenté de 600 % sur le mois de mars26.

4. Le télétravail et l’insouciance de certains administrateurs

Par insouciance, méconnaissance ou peut-être par amour du risque, Jonathan et Jennifer,   administrateurs non milliardaires de systèmes d’informations de santé français ont joué à Jumanji en ouvrant les portes de leur précieux sur la jungle d’Internet.

Ici avec l’interface Webmin d’un serveur Linux :

Ici avec des serveurs Windows accessible en RDP :

Ou encore ici avec un poste utilisateur accessible lui aussi en RDP depuis une adresse IP publique :

D’après la cellule ACSS, un établissement de santé français semble en avoir fait les frais puisqu’il a été victime du rançongiciel Ncov27, un rançongiciel de la famille Dharma28 dont les attaquants sont connus pour scanner Internet à la recherche de serveurs RDP exposés, avant de réaliser une attaque par force brute pour obtenir un accès, s’immiscer sur la machine et déployer le rançongiciel.

5. D’autres attaques à l’encontre du secteur de la santé en Europe

En Italie, des attaquants se sont attaqués au site Web de l’ordre des Pharmaciens pour pouvoir héberger la charge utile du rançongiciel FuckUnicorn29 dont le code semble être basé sur le rançongiciel libre Hidden-Tear30. J’imagine les RSSI santé italiens face au dilemme : « On bloque l’accès au site ? On ne bloque pas ? »

Le site Web est toujours en maintenance à l’heure où j’écris ces lignes.

En Roumanie, le groupe de cybercriminels PentaGuard Hackers Crew a été arrêté par les forces de l’ordre alors qu’il menaçait de déployer un rançongiciel dans l’ensemble des hôpitaux du pays par le biais d’une campagne de phishing sur le thème du COVID-1931.

D’après la télémétrie de Bitdefender, une explosion des tentatives d’attaques par rançongiciel dans les hôpitaux a été observée entre février et avril 202032.

6. La crise sanitaire : une aubaine pour les arnaqueurs en tout genre

Les e-boutiques de vente de masques et gel hydroalcoolique, plus ou moins légitimes fleurissent, avec souvent des tarifs exorbitants.

Si je n’ai pas de doutes sur le ou les débits que pourraient réaliser les auteurs de certains de ces sites sur les cartes bancaires des acheteurs potentiels, j’en ai déjà un peu plus en ce qui concerne la livraison.

Tout le monde s’y est mis, même sur le Dark Web des boutiques proposant des masques sont apparues :

Et cerise sur le gâteau, les utilisateurs du Tor Browser peuvent déjà se procurer LE vaccin depuis le mois d’avril :

7. Arnaques aux FOVI ciblant les établissements de santé

Quel meilleur prétexte qu’une promesse de livraison rapide de masques FFP2 pour inciter les établissements de santé à effectuer un virement bancaire d’acompte. Plusieurs arnaques aux FOVI (faux ordres de virements bancaires) ont été observées dans les établissements de santé français. Par téléphone tout d’abord, avec un interlocuteur qui ne manque pas d’aplomb, il y des chances d’en avoir certains. Sinon, le bon vieux courriel reste une valeur sûre :

Qui a dit que le sujet cyber ne serait pas un problème pendant la crise sanitaire ?

https://www.bleepingcomputer.com/news/security/ransomware-gangs-to-stop-attacking-health-orgs-during-pandemic/

2 Épisode 1 : https://youtu.be/gbYdQOde6EU

Épisode 2 : https://youtu.be/0M4k-j-8LXY

Épisode 3 : https://youtu.be/5vCdM4RvoiQ

3 https://malpedia.caad.fkie.fraunhofer.de/details/win.nanocore

4 https://malpedia.caad.fkie.fraunhofer.de/actor/apt33

5 https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/

6 https://malpedia.caad.fkie.fraunhofer.de/details/win.remcos

7 https://unit42.paloaltonetworks.com/covid-19-themed-cyber-attacks-target-government-and-medical-organizations/

8 https://github.com/zerosum0x0/koadic

9 https://malpedia.caad.fkie.fraunhofer.de/details/win.lokipws

10 https://malpedia.caad.fkie.fraunhofer.de/details/js.ostap

11 https://malpedia.caad.fkie.fraunhofer.de/details/win.guloader

12 https://malpedia.caad.fkie.fraunhofer.de/details/win.hawkeye_keylogger

13 https://labs.bitdefender.com/2020/03/5-times-more-coronavirus-themed-malware-reports-during-march/

14 https://www.bleepingcomputer.com/news/security/microsoft-warns-of-massive-phishing-attack-pushing-legit-rat/

https://twitter.com/MsftSecIntel/status/1262504864694726656

15 https://twitter.com/MsftSecIntel/status/1252998515757707266

16 https://malpedia.caad.fkie.fraunhofer.de/details/win.trickbot

17 https://www.dsih.fr/article/3672/le-coronavirus-s-immisce-desormais-dans-les-systemes-d-information.html

18 https://decoded.avast.io/janrubin/coviper-locking-down-computers-during-lockdown/

https://tccontre.blogspot.com/2020/04/covid19-malware-analysis-with-kill-mbr.html

19 https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-005.pdf

20 https://www.cert.ssi.gouv.fr/ioc/CERTFR-2020-IOC-003/

21 https://blog.malwarebytes.com/reports/2020/06/coronavirus-campaigns-lead-to-surge-in-malware-threats-labs-report-finds/

22 https://malpedia.caad.fkie.fraunhofer.de/details/win.ave_maria

23 https://malpedia.caad.fkie.fraunhofer.de/details/win.netwire

24 https://malpedia.caad.fkie.fraunhofer.de/details/win.azorult

25 https://malpedia.caad.fkie.fraunhofer.de/details/win.danabot

26 https://www.signal-spam.fr/barometre-de-la-perception-du-spam-1er-trimestre-2020/

27 https://cyberveille-sante.gouv.fr/cyberveille-sante/1821-france-retour-dexperience-suite-une-attaque-par-rancongiciel-contre-une

28 https://malpedia.caad.fkie.fraunhofer.de/details/win.dharma

29 https://twitter.com/JAMESWT_MHT/status/1264828072001495041

30 https://github.com/goliate/hidden-tear/tree/master/hidden-tear

31 https://www.bleepingcomputer.com/news/security/wannabe-ransomware-operators-arrested-before-hospital-attacks/

32 https://labs.bitdefender.com/2020/05/global-ransomware-and-cyberattacks-on-healthcare-spike-during-pandemic/

Partager ce document sur les réseaux

?>