DIGITAL SOLUTIONS

La météo de la cybersécurité

2ème trimestre 2021

August 23, 2021

Chiffres

 

General Pictos - Météo de la cybersécurité

Les chiffres des incidents recensés par le CSIRT POST CyberForce indiquent une baisse du nombre d’incidents au fil des mois. Cette baisse est due à la diminution du nombre de campagne de phishing au cours de la période. Malgré cette baisse, les campagnes de phishing représentent toujours une majorité d’incidents à près de 50% du nombre d’incidents recensés par le CSIRT de POST.

Phishing Pictos - Météo de la cybersécurité

Nous constations une diminution significative du nombre de campagnes de phishing de type bulk, c’est-à-dire sans cible particulière. Toutefois, ceci est compensé par des campagnes ciblant mieux les victimes (Spearphishing).

Voici une liste parmi les identités usurpées et la cible des attaquants :

  • Identité usurpée Cible
  • POST Identifiants Webmail (pt.lu), MyPOST (données personelles)
  • Microsoft Identifiants Microsoft Cloud
  • LUXTRUST, DHL Identifiants de carte bancaire et numéros de token.

De plus, nous constations l’utilisation croissante de nouvelles techniques permettant d’augmenter la durée de vie de leurs campagnes et rendant les possibilités de remédiation plus complexes. Ainsi, les cybercriminels n’hésitent plus à utiliser des techniques d’évasion pour du phishing.
Par exemple, en limitant l’exposition du contenu malveillant aux visiteurs d’une zone géographique basée sur l’adresse IP ou spécifique à un contexte combinant adresse IP, horodatage et identifiants auto-générés par le navigateur des victimes.

C’est ainsi que lors d’un signalement d’une URL au CSIRT POST CyberForce, un blocage par adresse IP se traduit par l’affichage de publicité sans rapport avec l’attaque, d’une page blanche ou d’une page “404 not found”.

Les cybercriminels dissimulent leurs activités pour éviter d’être détecté par les défenseurs et leurs outils de renseignement.

  1. Google LLC (=)
  2. CloudFlare Inc. (+1)
  3. Bitly Inc (+4)
  4. DigitalOcean LLC (+1)
  5. Online SAS (-1)
  6. Microsoft Corporation (+3)
  7. A100 ROW GmbH (-3)
  8. Namecheap Inc. (New)
  9. Weebly Inc. (New)
  10. OVH SAS (-2)

Voici quelques exemples de capture d’écran de phishing pour vous permettre de les reconnaitre. Nous mettons à votre disposition ces écrans à chaque incident. Suivez-nous sur notre compte Twitter : https://twitter.com/CsirtPost

 

Vishing / Call SPAM Pictos - Météo de la cybersécurité

Au cours de la période, des milliers d’appels à caractère frauduleux ont été reçus au Luxembourg provenant de groupes usurpant l’identité de Microsoft. Il s’agit de Vishing (Voice Phishing) observé au cours de la période et qui constitue un nombre important d’incidents au cours de la période.

Ces appels dont les numéros avaient l’apparence de provenir de pays divers (Espagne, Royaume-Uni, etc…) furent en réalité usurpés et les interlocuteurs dont la provenance est confirmée, sont originaires d’Inde. Les appels, selon le schéma classique, se basent sur un préfixe pour appeler les extensions aléatoirement jusqu’à tomber sur un numéro libre.

Dans le cas où une victime tombait sur l’appel, les usurpateurs invitaient la victime à faire une procédure pour tomber sur le gestionnaire d’évènements de Windows (Event Viewer), jusqu’à tomber sur les erreurs du système d’exploitation en s’assurant que la victime ne connaissait pas la signification de ces évènements. Au cours du processus et des différentes étapes, les interlocuteurs changent.

En faisant croire à la victime que leur système Windows est infecté de contenu malicieux sur base des observations du gestionnaire d’évènements, les usurpateurs persuadent la victime de faire installer deux logiciels, présentés comme des solutions de sécurité, pour permettre de se débarrasser du problème :

  • Le premier UltraViewer est un logiciel permettant aux usurpateurs de contrôler à distance l’ordinateur de la victime.
  • Le deuxième logiciel de prise de contrôle à distance où l’attaquant demande d’installer par la victime est TeamViewer.

Enfin, une fois que les deux logiciels sont installés, la troisième et dernière étape consistait à que la victime se connecte à sa banque pour effectuer un virement de 10€. Ceci afin de faire croire à la victime qu’il s’agit de frais d’activation de la solution de sécurité. En réalité, il s’agit de pouvoir subtiliser les identifiants de compte bancaire afin de pouvoir à leur tour faire en parallèle une nouvelle transaction.

Nous observons ainsi que les usurpateurs ne manquent pas d’abuser de la crédulité des victimes pour pouvoir leur subtiliser en réalité leurs identifiants bancaires. Il est aussi important qu’une entreprise puisse se prémunir de ces risques par une campagne de sensibilisation importante pour ne pas se faire piéger ainsi qu’un ajustement des droits d’installation des logiciels pour éviter l’installation de n’importe quel logiciel par un utilisateur d’une entreprise.

Ransomware et leaks Pictos - Météo de la cybersécurité

Du côté du ransomware, nous avons constaté durant la période une activité importante de groupes telle que le groupe Conti. Conti est spécialisé dans la divulgation de données d’entreprises ayant fuité si leurs instructions ne sont pas satisfaites.

Ces groupes recherchent constamment des vulnérabilités exposées et exploitables pour perpétrer du ransomware.
Les activités de ces groupes nous rappellent à quel point il est important de corriger les failles de ses équipements les plus exposés dès la disponibilité de ces correctifs.

Malicious Code Pictos - Météo de la cybersécurité

Nous avons observé quelques logiciels malveillants au cours de la période, tels que la propagation d’Agent Tesla.
Agent Tesla est un programme permettant de subtiliser des informations tel un keylogger. En effet, il est capable d’extraire des identifiants à partir de différents navigateurs, e-mails et clients FTP. De plus, Il procède à la récupération des données issues des clés de registre, du presse-papiers, capture l’écran et la vidéo, etc…

DDoS Pictos - Météo de la cybersécurité

Au cours de la période, nous avons observé quelques attaques DDoS avec un pic volumétrique à 7,8 Gbps sur notre réseau. Les techniques utilisées au cours de la période furent :

  • NTP Amplification avec 2 attaques identifiées.
  • Requêtes ICMP inhabituelles.

Le nombre d’attaques DDoS de grande ampleur reste relativement maitrisé grâce aux solutions anti-ddos fournies par POST Telecom.

Vulnerabilités Pictos - Météo de la cybersécurité

Le trimestre a été marqué par la publication d’une vulnérabilité zero-day sur les applications Pulse Secure VPN. Cette vulnérabilité a été impliquée dans plusieurs incidents de sécurité compromettant des applications Pulse Secure VPN avec comme vecteur d’entrée dans le système, la vulnérabilité référencée (CVE-2021-22893) comme nous l’indique Fireeye dans son blog:

https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html

Cette vulnérabilité activement exploitée par les attaquants est entrée dans le classement des vulnérabilités les plus exploitées publiée par le FBI en 2021 en plus des vulnérabilités Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065):

https://us-cert.cisa.gov/ncas/alerts/aa21-209a

Le CSIRT POST CyberForce a recensé plusieurs expositions d’applications Pulse Secure VPN de clients vulnérables et recommande fortement d’appliquer, si ce n’est pas déjà fait, les patches proposés par Pulse Secure VPN.

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

Intrusions Pictos - Météo de la cybersécurité

Nous avons recensé au cours de la période des intrusions consécutives à des campagnes de phishing réussies et relatives des attaques par dictionnaire pour obtenir un accès initial.

Lorsqu’une une victime fournit ses identifiants relatifs à une campagne de phishing pour une cible déterminée, un attaquant va s’en saisir pour s’introduire dans l’application ou le système souhaité pour perpétrer d’autres actions en vue d’un nouvel objectif.

Les objectifs recensés au cours de la période, consécutive à une intrusion réussie sont la fraude ou l’exfiltration de données.

Dans le cadre des attaques de phishing, le CSIRT POST CyberForce recommande d’être particulièrement vigilant en ne se laissant pas duper par ces attaques en vérifiant la correspondance entre l’URL et l’identité, le format et le texte de l’email ou du SMS affiché.

Dans le cadre des attaques par dictionnaires, l’origine des intrusions a pour origine la réutilisation de mêmes identifiants pour l’accès à différentes applications. En cas de fuite de données (leaks) d’une des applications ou l’identifiant a été entré, et si cet identifiant tombe entre les mains des acteurs malveillants, ce dernier peut être réutilisé pour accéder à d’autres applications ou systèmes, en particulier, si la victime utilise des identifiants similaires sur les applications ou systèmes cible d’acteurs malveillants.
Voilà pourquoi, il est important d’utiliser autant que possible des mots de passe uniques par application ou système.

Vous avez subi une intrusion ? Un incident de sécurité ou une cyberattaque ? Ou vous souhaitez comprendre les circonstances ayant conduit à votre incident, n’hésitez pas à prendre contact avec nos services CSIRT POST CyberForce. Nos experts vous accompagnent et fournissent l’assistance dont vous avez besoin sur votre incident de sécurité.

Watch video

In the same category