Les fournisseurs de soins de santé continuent d’être ciblés par des cybercriminels qui utilisent des e-mails de phishing sur le thème de COVID-19, et les campagnes ne montrent aucun signe de relâchement.
Le volume impressionnant des attaques de phishing a incité le Federal Bureau of Investigation (FBI) américain à lancer un nouvel avertissement aux fournisseurs de soins de santé, les invitant à prendre des mesures pour protéger leurs réseaux et pour bloquer les attaques.
Les premières grandes attaques de phishing sur le thème de COVID-19 visant les fournisseurs de soins de santé ont commencé à être détectées vers le 18 mars 2020. Les attaques ont pris de l’ampleur au cours des semaines suivantes et les leurres se sont diversifiés.
Des campagnes ont été menées contre les employés travaillant à domicile pour fournir des services de télésanté à leurs patients depuis leur domicile. On a également constaté une augmentation des escroqueries à des compromissions d’e-mails d’affaires (BEC).
Pour ce type d’arnaque, les pirates se font passer pour des fournisseurs de soins de santé et demandent des paiements anticipés en raison des difficultés qu’ils rencontrent à cause du COVID-19.
Les attaques de phishing sont menées pour obtenir des identifiants de connexion et pour diffuser des malwares, qui sont tous deux utilisés pour prendre pied dans les réseaux de santé afin de permettre l’exploitation de systèmes de suivi, la persistance et l’exfiltration de données sensibles.
Les malwares distribués dans le cadre de ces campagnes sont très variés et comprennent des voleurs d’informations tels que Lokibot et des chevaux de Troie comme Trickbot.
Microsoft a récemment indiqué que Trickbot est impliqué dans la majorité des e-mails de phishing liés à COVID-19 qui visent les utilisateurs d’Office 365, avec une campagne impliquant des centaines de documents macros différents et uniques la semaine dernière. En plus d’être un malware à part entière, Trickbot peut également télécharger d’autres charges utiles malveillantes, notamment le ransomware RYUK.
Une grande variété de malwares est diffusée par une gamme variée de pièces jointes à des e-mails et de scripts malveillants.
Les documents Microsoft Word contenant des macros malveillantes sont couramment utilisés, de même que les fichiers compressés avec le logiciel de compression 7-zip, les fichiers exécutables Microsoft et les scripts JavaScript et Visual Basic. Quant aux e-mails, ils sont envoyés à partir d’une combinaison d’adresses IP nationales et internationales.
Bien que le nombre d’e-mails de phishing sur le thème COVID-19 ait augmenté, le volume des messages malveillants de phishing en général n’a pas augmenté de manière significative. En réalité, plutôt que d’augmenter le nombre d’attaques, les pirates changent de tactique et utilisent désormais des leurres liés au COVID-19, car ils sont plus susceptibles d’être ouverts.
Souvent, les e-mails sont également envoyés par une personne connue et digne de confiance, ce qui augmente la probabilité que la pièce qui y est jointe soit ouverte. Les campagnes peuvent également être très convaincantes, car les leurres et les demandes sont plausibles et la majorité des messages sont bien écrits.
Par conséquent, de nombreuses organisations comme le Centre pour le contrôle et la prévention des maladies (CDC), le département de la Santé et des Services sociaux des États-Unis (HHS) et l’Organisation mondiale de la santé (OMS) ont été attaquées.
Le conseil du FBI est de suivre les meilleures pratiques en matière de cybersécurité, à savoir de ne jamais ouvrir les pièces jointes d’un e-mail non sollicité, quel que soit son expéditeur présumé. En outre, il est important de veiller à ce que les logiciels soient tenus à jour et que les correctifs soient appliqués rapidement.
Par ailleurs, il est recommandé de désactiver le téléchargement automatique des pièces jointes. Selon encore le FBI, il faut filtrer certains types de pièces jointes à l’aide d’un logiciel de sécurité des e-mails, ce qui est facile à faire avec SpamTitan.
Le FBI souligne l’importance de ne pas ouvrir les pièces jointes, même si le logiciel antivirus indique que le fichier est propre. Comme le montre la campagne Trickbot, de nouvelles variantes de documents et de scripts malveillants sont créées à une vitesse incroyable, et les méthodes de détection basées sur les signatures ne peuvent pas suivre les nouvelles menaces.
C’est un autre domaine dans lequel SpamTitan peut apporter son aide. En plus d’utiliser deux antivirus pour identifier plus rapidement les variantes de malwares connus, SpamTitan inclut l’option de sandboxing qui permet d’identifier et de bloquer les menaces de malwares du type « zero day » et dont les signatures n’ont pas encore été ajoutées à des listes noires.
Il est aussi important de donner une formation à vos employés du secteur de la santé pour leur enseigner les meilleures pratiques en matière de cybersécurité et pour les aider à identifier les e-mails de phishing.
Enfin, vous devriez vous assurer que vos contrôles techniques sont capables de bloquer les menaces sur le web et celles lancées via les e-mails. Pour plus d’informations sur la protection de vos employés contre ces menaces, appelez l’équipe de TitanHQ dès aujourd’hui.