Les cybercriminels déchaînent des outils malveillants sur des organisations et des utilisateurs peu méfiants dans le monde entier.
Des milliers de sites d’escroquerie et de malwares sur le thème de COVID-19 sont lancés chaque jour.
Alors que les responsables gouvernementaux et les responsables des soins de santé continuent de rappeler au public de continuer à maintenir la distance entre les personnes et à adopter des pratiques d’hygiène personnelle, les équipes informatiques et de cybersécurité doivent travailler plus dur que jamais pour protéger les entreprises contre les nombreuses attaques sur le web.
L’Organisation mondiale de la santé attaquée
L’Organisation mondiale de la santé est sous les feux de la rampe depuis le début de la pandémie du COVID-19 et l’attention soudaine vis-à-vis de cette menace sanitaire en a fait de cette organisation une cible de choix pour les cybercriminels.
Alors que les nations réclament des informations sur le COVID-19 pour protéger leurs citoyens contre la pandémie, l’OMS est attaquée. En conséquence, l’organisation a doublé la taille de son équipe de sécurité interne et travaille actuellement avec cinq sociétés de cybersécurité pour renforcer la protection contre les menaces sur le web.
Selon Reuters, l’OMS a subi une attaque à la mi-mars. En effet, un site de phishing a émulé le serveur de messagerie interne de l’organisation. Les attaquants ont ensuite tenté d’attirer ses employés pour qu’ils se connectent au site et saisissent leurs identifiants.
L’attaque a été lancée par un groupe appelé Darkhotel qui serait basé en Asie du Sud-Est. Le groupe a obtenu son nom, car il a suivi les réservations d’hôtels des cadres et des célébrités de niveau C via des applications web hôtelières compromises lors de leurs voyages à travers le monde.
En plus des attaques contre l’OMS elle-même, les pirates informatiques ciblent également et spécifiquement les hauts fonctionnaires de l’OMS avec des attaques de spear phishing. Le directeur général de l’organisation ainsi que d’autres hauts fonctionnaires ont été visés.
La majorité de ces attaques sont des tentatives de phishing et/ou de spear phishing conçues pour inciter les hauts fonctionnaires de l’OMS à cliquer sur des liens électroniques intégrés à des e-mails. Les pirates informatiques à l’origine de ces attaques prétendent avoir capturé certains mots de passe.
Le FBI émet un avertissement
L’OMS n’est pas la seule organisation attaquée.
La semaine dernière, le FBI a signalé une augmentation des activités de reconnaissance et des intrusions impliquant des institutions qui faisaient des recherches sur le COVID.
Les attaques semblaient être parrainées par des États-nations qui tentent d’obtenir des données de recherche privées et des informations exclusives concernant le virus. Un exemple en est l’attaque contre Genomics, une entreprise de recherche en biotechnologie basée en Californie et fortement impliquée dans les recherches sur le COVID-19.
Les attaquants ont tenté de voler des informations sensibles puis de couvrir leurs traces avec une attaque supplémentaire par ransomware. Si les pirates ont pu pénétrer le réseau, l’équipe de cybersécurité de Genomics a réussi à isoler la source de l’attaque et à la contrecarrer.
Méfiez-vous des offres alimentaires gratuites
Au fur et à mesure que le COVID-19 se répand dans le monde entier, les pirates informatiques ciblent les personnels des soins et de santé ainsi que les fonctionnaires sur tous les continents. Mais le cas qui s’est produit en Antarctique était différent.
Les pirates ont utilisé une campagne de phishing impliquant une redirection ouverte sur le site web HHS.gov dans le but de diriger les utilisateurs vers une page web de phishing.
L’e-mail de phishing offrait des informations sur le COVID-19 et proposait ensuite un lien permettant aux utilisateurs de mieux comprendre les symptômes médicaux.
L’une des tentatives les plus intelligentes des pirates consiste à exploiter la générosité des gens pour offrir et fournir des repas gratuits aux travailleurs dans le domaine de la santé et aux gens qui travaillent en première ligne pour combattre le virus.
Cette attaque a impliqué une campagne de phishing qui a ensuite dirigé les travailleurs dans le domaine des soins et de santé vers un site web déguisé en page pour organiser des livraisons gratuites de repas. Le but de l’attaque était de voler les identifiants de connexion à des comptes de messagerie et elle semblait être mise en œuvre par des attaquants soutenus par un État-Nation.
Attention aux services de streaming
Ne croyez pas que vous êtes actuellement à l’abri des attaques informatiques simplement parce que vous ne travaillez pas au sein d’une organisation liée à la santé.
Les pirates informatiques ciblent également les services de streaming pour tirer profit de la frénésie des citoyens à s’informer sur l’évolution de la pandémie du COVID-19 alors qu’ils restent enfermés chez eux.
Plus de 700 domaines suspects ont récemment été enregistrés pour se faire passer pour Netflix. Ils ont été principalement utilisés pour des campagnes de phishing, mais sont aussi dans le but de profiter des abonnés de Netflix qui orthographient mal le nom de la société.
Alors que les campagnes de phishing se vantent de proposer des abonnements gratuits, les faux domaines peuvent être utilisés par les pirates pour récolter des données personnelles telles que les noms, les adresses et les informations relatives aux cartes de crédit des abonnés.
La sécurité sur plusieurs fronts
L’augmentation continue des escroqueries sur le thème du coronavirus est le résultat d’une ingénierie sociale. Nous prévoyons que les pirates informatiques continueront à utiliser ces stratégies à mesure que la situation du COVID-19 évolue.
Il est évident que les entreprises, les organisations et les utilisateurs personnels doivent rester plus vigilants que jamais en matière de cyberhygiène.
TitanHQ est une solution efficace, capable d’identifier, de détecter et de bloquer ces menaces. Nous recommandons à tous les utilisateurs de faire protéger leur compte de messagerie électronique par un système de sécurité moderne tel que SpamTitan.
Il comprend des fonctionnalités telles qu’une double protection antivirus, des couches de protection supplémentaires pour Microsoft Office 365, une prévention contre les fuites de données et un sandboxing, c’est-à-dire un environnement qui permet de tester des logiciels ou des sites web en toute sécurité.
La pandémie du COVID-19 (coronavirus) a de nombreuses répercussions partout dans le monde.
Elle a fondamentalement changé la façon dont de nombreuses organisations et entreprises fonctionnent, étant donné qu’un grand nombre d’employés doivent actuellement travailler à distance.
Le thème du COVID-19 est utilisé par les cybercriminels dans le cadre de plusieurs campagnes malveillantes comme le phishing, le spamming, les attaques de malwares et de ransomwares et la création de nom de domaines malveillants.
Dans cet environnement, les solutions de filtrage de la messagerie et du web sont devenues essentielles pour protéger les appareils qui seront désormais utilisés en dehors du périmètre sécurisé de votre réseau d’entreprise.
Menace croissante d’attaques de phishing et de malwares liées au COVID-19
Les professionnels de l’informatique et de la sécurité des entreprises sont confrontés d’innombrables d’attaques de phishing par e-mail sur le thème du coronavirus.
Si à l’origine, il n’y avait que quelques dizaines de sites web de phishing liés au Covid-19, aujourd’hui, on en recense plusieurs dizaines de milliers.
Étant donné que des centaines de milliers de personnes sont contraintes de travailler à domicile ou en dehors de leur bureau en raison de la pandémie, les criminels cherchent à exploiter la situation en adaptant leurs techniques d’escroquerie.
Pour ce faire, ils tentent de tirer profit de l’anxiété accrue du public pendant la crise actuelle.
Protéger les travailleurs à distance contre les attaques de phishing et de malwares pendant le CoviD-19
TitanHQ aide les organisations et les fournisseurs de services gérés (MSP) à protéger leurs clients qui sont passés du travail « au bureau » au travail « à domicile ».
Cette année, nous avons constaté une demande massive pour deux produits en particulier qui peuvent être déployés de manière transparente sur des appareils distants et dans des environnements de travail à domicile.
Le premier est SpamTitan, un système de sécurité de la messagerie électronique basé dans le cloud et qui protège vos employés contre les dernières itérations d’attaques de phishing. Le second étant WebTitan, notre produit de sécurité DNS piloté par l’Intelligence artificielle.
Ensemble, ces deux produits créent une protection multicouche pour tous vos employés et pour les dispositifs qu’ils utilisent.
Solution de sécurité des e-mails SpamTitan
SpamTitan fournit une protection avancée de la messagerie électronique grâce à une puissante mise à jour en temps réel et grâce à l’intelligence artificielle.
En effet, les attaques de phishing liées au COVID-19 sont les versions les plus sophistiquées des e-mails phishing que l’industrie n’ait jamais vues.
Sur ce point, SpamTitan offre une excellente protection, en bloquant les menaces entrantes et en sécurisant les données sortantes. Il bloque les spams, les e-mails de phishing, les liens infectés par des malwares et d’autres menaces lancées via la messagerie électronique.
Sécurité DNS de WebTitan
Le nombre de nouveaux malwares et de sites de phishing augmente quotidiennement, en particulier ceux qui se réfèrent au COVID-19.
Ces sites porteurs de malwares sont des sites de destination pour les escroqueries ciblées de phishing par e-mail. À noter que ces nouveaux domaines sont activement ajoutés à WebTitan au fur et à mesure qu’ils sont identifiés.
Notre système a été conçu dans un souci d’évolutivité et la détection en temps réel des menaces. Utilisant l’Intelligence artificielle, il peut bloquer les nouvelles menaces malveillantes dès qu’elles font surface. De plus, le fait que toute notre technologie est entièrement basée dans le cloud facilite le déploiement de notre solution à distance.
Les infections par le COVID-19 étant en augmentation et ne montrant aucun signe de ralentissement, nous pouvons nous attendre à ce que ces campagnes de phishing liées au COVID-19 se poursuivent. Les organisations devraient sensibiliser leurs employés sur ces nouvelles campagnes et veiller à mettre en œuvre des solutions techniques appropriées pour bloquer les attaques sur le web et via la messagerie électronique.
Sur ce dernier point, TitanHQ peut aider votre entreprise. Nous fournissons des solutions de sécurité avancées pour la messagerie électronique et le web afin de bloquer ces nouvelles campagnes.
Si vous n’avez pas encore mis en place un filtre web ou une solution de protection de la messagerie électronique pour protéger vos comptes Office 365, c’est le bon moment pour commencer. Nous nous engageons à proposer des solutions sûres et sécurisées à nos clients, à nos partenaires et aux utilisateurs finaux.
Grâce à l’insertion d’un code client simple sur vos appareils d’entreprise, vos employés pourront interagir avec un DNS désigné, quel que soit l’emplacement de l’appareil.
Sécurité à plusieurs niveaux — protéger les travailleurs à distance et leurs données
Une protection multicouche est recommandée pour protéger votre entreprise sur tous les fronts, notamment en empêchant les utilisateurs d’accéder à des domaines malveillants susceptibles de diffuser des malwares.
La sécurité multicouche permet d’empêcher l’apparition d’une vulnérabilité dans votre système défense informatique. Sa conception ressemble à celle d’un oignon où chaque couche se combine avec une autre pour former une sphère de sécurité complète et pleinement fonctionnelle.
En protégeant votre réseau interne et vos données avec des solutions multicouches comme SpamTitan et WebTitan, les attaquants auront beaucoup de difficultés à trouver une brèche pour mener une attaque.
Bien que les solutions multicouches de TitanHQ travaillent indépendamment, ils peuvent aussi collaborer pour protéger votre réseau et tous les dispositifs de l’entreprise. De plus, elles sont constamment mises à jour pour garantir une protection continue contre les vecteurs d’attaque existants et nouveaux.
N’hésitez pas à nous contacter pour savoir comment nous pouvons soutenir au mieux vos efforts pendant cette période difficile.
La pandémie du coronavirus a obligé de nombreux travailleurs à faire du télétravail et le nombre de personnes travaillant à domicile a grimpé en flèche au cours des deux derniers mois.
Pendant cette période difficile, le personnel de la sécurité informatique doit prendre des mesures supplémentaires pour protéger les employés distants des menaces de cybersécurité qui ne cessent de se multiplier.
5 mesures à prendre pour protéger les employés en télétravail contre les menaces de cybersécurité
L’augmentation du nombre d’employés travaillant désormais à domicile rend ces derniers plus vulnérables aux cyberattaques. Les entreprises doivent donc mettre en œuvre de nouvelles mesures pour les protéger.
Nous avons déjà vu de nombreuses campagnes ciblant les employés distants dans le but de voler leurs identifiants d’accès à distance et d’infecter leurs appareils avec des malwares.
En effet, des vulnérabilités peuvent facilement apparaître lorsqu’un grand nombre d’employés travaillent à domicile. Les cybercriminels peuvent facilement les exploiter pour accéder à leurs appareils, à leurs ressources basées dans le cloud et au réseau informatique de leur entreprise.
Aujourd’hui, nous présentons cinq mesures importantes à prendre pour protéger les employés distants des menaces de cybersécurité pendant la pandémie du coronavirus.
Utiliser un VPN professionnel
Il est important que les travailleurs à distance ne puissent pas accéder aux ressources de travail qu’en utilisant un VPN. Cependant, le simple fait d’utiliser un VPN ne permet pas de protéger efficacement les travailleurs distants.
Les VPN grand public sont très différents des VPN professionnels. Ainsi, ils ne doivent pas être utilisés. Pourtant, même si vous utilisez des VPN de niveau entreprise, sachez qu’ils ne sont pas nécessairement sécurisés. En effet, ils peuvent présenter des vulnérabilités pouvant être peuvent facilement exploitées par les cybercriminels.
Le Centre national de cybersécurité du Royaume-Uni (NCSC) a averti que des groupes APT soutenus par un État Nation ont mené des attaques en exploitant les vulnérabilités non corrigées des solutions VPN des réseaux Pulse Secure, Fortinet et Palo Alto.
Ces vulnérabilités ont été identifiées entre avril 2019 et juillet 2019, mais de nombreuses entreprises n’ont pas appliqué les correctifs. Certes, il est peut être difficile d’appliquer des correctifs, car les VPN sont souvent utilisés 24 heures sur 24 et 7 jours sur 7.
Pourtant, il est essentiel que les correctifs soient appliqués rapidement. Les pirates informatiques ciblent continuellement les VPN et le nombre d’attaques continuera probablement à se multiplier avec l’augmentation du nombre d’employés travaillant à domicile.
Veiller à ce que tous les dispositifs soient mis à jour et corrigés
Avant qu’un employé ne soit autorisé à travailler à distance, les équipes de sécurité informatique doivent s’assurer que ses ordinateurs portables sont entièrement à jour et qu’ils fonctionnent avec les dernières versions des systèmes d’exploitation et des logiciels.
Comme la pandémie du coronavirus devrait encore durer plusieurs mois, des politiques et des procédures doivent donc être élaborés pour garantir que les dispositifs des utilisateurs sont tenus à jour.
Vous devez également veiller à ce que les solutions de protection des terminaux, les logiciels antivirus et les paramètres de mise à jour de Windows soient configurés pour se mettre à jour automatiquement.
Renforcer la sécurité du courrier électronique
La majorité des cyberattaques commencent par un e-mail de phishing. Il est donc essentiel de disposer d’une solution de sécurité avancée pour le courrier électronique.
Les entreprises ne devraient pas se fier à la protection fournie par Microsoft pour Office 365 pour bloquer les attaques de phishing et de malwares.
Une solution de sécurité du courrier électronique tierce devrait venir s’ajouter aux protections fournies par Microsoft pour Office 365. En effet, les défenses multicouches sont essentielles pour protéger les employés distants contre les menaces de cybersécurité.
SpamTitan fournit une protection renforcée contre le phishing, le spear phishing, les malwares et les ransomwares pour les comptes Office 365. Cette solution complète la protection fournie par Microsoft. De plus, comme SpamTitan est basé dans le cloud, il peut être facilement appliqué et utilisé pour protéger tous les comptes de messagerie, quelle que soit la plate-forme que vous utilisez.
Protection contre les attaques sur le web
Le courrier électronique est le moyen le plus probable pour les cybercriminels de mener des cyberattaques sur des travailleurs distants. Néanmoins, d’autres mesures doivent être mises en œuvre pour bloquer les attaques lancées via le web, telles que les téléchargements de malwares par drive-by.
Selon CheckPoint, plus de 16 000 domaines sur le thème COVID-19 et coronavirus ont été enregistrés depuis janvier et ce nombre augmente à une vitesse incroyable. Ces domaines ont 50 % de chances de plus d’être malveillants que les autres domaines enregistrés au cours de la même période.
Le moyen le plus simple de se protéger contre les attaques sur le web est d’utiliser une solution de filtrage du web basée dans le cloud. WebTitan Cloud offre une protection contre les attaques basées sur le web en bloquant l’accès aux domaines et sites web malveillants qui présentent un risque plus élevé d’héberger des malwares.
Fournir une formation supplémentaire aux employés distants
Les recherches menées par PurpleSec indiquent que 98 % de toutes les cyberattaques impliquent une ingénierie sociale. Quant aux recherches menées par Cofense, elles révèlent que plus de 90 % des cyberattaques commencent par un courriel de phishing.
Il est donc important de former les employés afin de les aider à identifier les attaques d’ingénierie sociale et de phishing.
Une formation de sensibilisation à la sécurité devrait être dispensée régulièrement aux employés et il est également utile de mener des exercices. Par ailleurs, la mise en œuvre d’une simulation de phishing est nécessaire pour identifier les employés qui ont besoin d’une formation complémentaire.
Enfin, vous devez renforcer les bonnes pratiques générales en matière de cybersécurité informatique auprès des travailleurs à distance afin de les empêcher d’adopter des comportements à risque.
Contactez TitanHQ dès aujourd’hui pour obtenir de plus amples informations sur la protection de vos employés à distance.
Une énorme campagne de distribution du cheval de Troie Dofoil a été découverte par Microsoft. Cette campagne a permis aux pirates d’infecter près d’un demi-million de PC en moins de 12 heures.
Le cheval de Troie Dofoil est également appelé Smoke Loader, lequel est utilisé pour propager une variété d’autres virus depuis de nombreuses années.
Il s’agit d’une petite application qui, une fois téléchargée sur un PC, peut télécharger d’autres formes de malwares. Le cheval de Troie Dofoil a été utilisé dans de nombreuses campagnes depuis au moins 2011 pour télécharger des malwares, la dernière campagne ayant servi à installer un malware d’extraction de cryptomonnaies.
Le cheval de Troie a été signalé pour la première fois le 6 mars dernier, lorsque Windows Defender a découvert près de 80 000 cas d’infection sur des PC. Ce nombre a augmenté rapidement pour atteindre plus de 400 000 dans les 12 heures suivantes.
Plusieurs souches du cheval de Troie Dofoil étaient utilisées dans le cadre de la campagne qui se concentrait principalement sur d’autres dispositifs situés en Russie, en Ukraine et en Turquie.
Le malware a été déployé pour extraire des pièces en électroneum sur les appareils infectés, bien qu’il puisse extraire d’autres types de cryptomonnaies.
La détection de ce type de malware peut être délicate, car il utilise un processus lui permettant de créer une nouvelle instance d’un processus Windows authentique à des fins malveillantes.
Pour notre cas, il a été masqué sous la forme d’un fichier binaire Windows pour éviter la détection (wuauclt.exe). Explorer.exe a été utilisé pour établir une copie du malware dans le dossier Roaming AppData qui a alors été rebaptisé ditereah.exe.
Le registre de Windows était également modifié pour assurer la persistance de l’infection, en changeant une entrée existante pour la pointer vers la copie du malware. Par la suite, le malware a communiqué avec son serveur C2 et téléchargé des variantes supplémentaires de malwares sur l’appareil infecté.
Microsoft a été en mesure de repérer les infections.
Pourtant, ce qu’on ignore pour l’instant, c’est comment le malware a été téléchargé sur un très grand nombre d’appareils en une très courte période. Bien que le malware ait pu être diffusé via des spams, un autre moyen de distribution est suspecté.
Microsoft a noté que dans de nombreux cas, il aurait été partagé à l’aide de fichiers torrents qui sont utilisés dans le partage de fichiers P2P, souvent pour obtenir des films, de la musique et des logiciels piratés.
Microsoft n’a fait connaître que le nombre d’infections qu’elle a détectées à l’aide de Windows Defender. Et comme la marque n’a pas de visibilité sur les appareils sur lesquels son logiciel antimalware n’est pas installé, le nombre total d’infections risque donc d’être beaucoup plus élevé. Les quelques 400 000 infections ne sont probablement qu’un début.
Microsoft note que ses tentatives pour perturber le fonctionnement du malware ont fait plus qu’empêcher les appareils d’exploiter les cryptomonnaies.
Elles devraient aussi empêcher les pirates d’installer un nombre illimité de charges utiles malveillantes supplémentaires par le biais du cheval de Troie Dofoil, y compris les variantes de malwares et de ransomwares les plus dangereuses.
Microsoft vient d’annoncer avoir pris le contrôle de l’infrastructure américaine du réseau de botnets Necurs.
La marque a également pris des mesures pour empêcher les développeurs des botnets d’enregistrer de nouveaux domaines et de reconstruire l’infrastructure.
L’ampleur du réseau de Necurs
Le botnet Necurs est apparu pour la première fois en 2012.
Il est devenu l’un des plus grands réseaux de distribution de spams et de malwares. Le botnet a infecté 9 millions d’appareils par des malwares, ce qui a permis au groupe de cybercriminels à l’origine du réseau de prendre le contrôle de chaque appareil.
Le botnet Necurs est utilisé pour commettre un large éventail de cyberattaque menées par ses développeurs et par d’autres groupes cybercriminels qui louent des parties du botnet en tant que service.
Le réseau de botnets a été utilisé pour la distribution de malwares et de ransomwares et pour le cryptomining. Il a également servi pour des attaques contre des ordinateurs dans le but de voler des informations d’identification et des données confidentielles.
Par ailleurs, le réseau de botnets Necurs dispose d’un module permettant de lancer une attaque par déni de service distribué (DDoS) massive, bien que cette fonction n’ait pas encore été utilisée.
La principale utilisation du botnet est le spamming. Il a été utilisé pour envoyer de grandes quantités de spams, y compris des e-mails proposant de faux produits pharmaceutiques et des escroqueries et extorsion via des sites de rencontres.
Pour donner un exemple de l’ampleur de la campagne de spamming lancée via le réseau de botnets Necurs, sachez que sur une période d’observation de 58 jours, Microsoft a découvert qu’un seul ordinateur infecté par le malware avait envoyé 3,8 millions de spams à 40,6 millions de comptes de messagerie (cela ne représente qu’un seul appareil infecté sur 9 millions).
En 2017, le botnet était également utilisé pour diffuser des ransomwares dénommés Dridex et Locky à raison de 5 millions d’e-mails par heure. Entre 2016 et 2019, le botnet était encore responsable de 90 % des attaques de malwares par e-mail.
Le démantèlement de l’infrastructure de Necurs
Microsoft a suivi les activités criminelles des pirates derrière le réseau de botnets Necurs pendant 8 ans.
On pense que le gang est Evil Corp, un groupe cybercriminels russe qui était derrière la campagne de lancement du cheval de Troie bancaire Dridex. Evil Corp a été désigné comme le groupe cybercriminel le plus dangereux au monde.
Le démantèlement du botnet Necurs a nécessité un effort coordonné de la part de Microsoft et de ses partenaires dans 35 pays. Le 5 mars 2020, Microsoft a obtenu une ordonnance de la Cour du District Est de New-York, lui ordonnant de saisir les domaines américains utilisés par les opérateurs du botnet Necurs.
La simple saisie des domaines ne serait pas suffisante pour faire tomber le botnet, car ses serveurs de commande et de contrôle pourraient être rapidement reconstruits. Les domaines utilisés par les acteurs de la menace sont souvent supprimés, mais de nouveaux domaines sont constamment enregistrés des semaines ou des mois à l’avance.
Pour démanteler l’infrastructure du réseau de botnets Necurs, l’équipe de Microsoft s’est efforcée de déchiffrer l’algorithme utilisé par les cybercriminels pour générer de nouveaux domaines.
D’abord, la marque a analysé l’algorithme puis calculé plus de 6 millions de domaines qui étaient susceptibles d’être utilisés par les pirates au cours de 25 mois. Une fois que les domaines ont été détectés, des mesures ont été prises pour les empêcher d’être enregistrés et de faire de nouveau partie de l’infrastructure de Necurs.
Près de 9 millions d’appareils dans le monde sont toujours infectés par le botnet Necurs. Microsoft et ses partenaires ont identifié les appareils infectés et travaillent actuellement avec les fournisseurs d’accès internet et les équipes du CERT dans le monde entier pour supprimer les malwares dans ces appareils.
