La météo de la cybersécurité – 3ème trimestre 2020

10 novembre 2020

Le nombre d’incidents de sécurité a connu une légère baisse au cours du 3ème trimestre.

Bien que le déconfinement se soit opéré au cours du trimestre au Luxembourg et dans le reste de l’Europe, le nombre d’incidents reste relativement élevé par rapport aux mois de janvier et février de la même année.

Phishing 

Les campagnes de phishing sont toujours la première cause d’incidents malgré une légère baisse au cours du trimestre.

La récupération de comptes utilisant des codes OTPs pour du paiement ou de comptes de connexion à des espaces personnels (Webmail, compte client, etc…) restent la première motivation dans la réalisation de phishing.

Parmi les nouvelles techniques, l’utilisation de formulaires publics ainsi que l’utilisation de blogs comme supports de phishing ont été constatés.

De plus, en utilisant systématiquement la redirection d’un lien original, les cybers attaquants peuvent faire une rotation rapide entre plusieurs sites pour éviter de bloquer la première URL rendant ainsi une ancienne campagne toujours active.

D’autres techniques consistent à effectuer un filtrage basé sur l’adresse IP . Ce qui permet au contenu de phishing de n’apparaitre que dans le pays cible et non en dehors. Cette technique a pour effet de rendre la demande de suppression du contenu de phishing difficilement justifiable auprès de l’hébergeur.

Des techniques connues demeurent telles que l’utilisation des diffuseurs de contenus, ajoutant une étape supplémentaire aux équipes de réponse à incident pour déterminer la source de l’hébergeur.

Nous avons relevé le top 10 des hébergeurs (ou diffuseurs de contenus) utilisés par les cybers attaquants pour perpétrer des campagnes de phishing :

  • Google LLC
  • Unified Layer
  • CloudFlare Inc.
  • Amazon Technologies Inc.
  • WebsiteWelcome.com / Hostgator
  • DigitalOcean LLC
  • InMotion Hosting Inc.
  • OVH SAS
  • Bitly Inc
  • SingleHop LLC

Enfin, nous avons constaté l’utilisation de kits de phishing utilisant des logos issus de site web sources nous rappelant la nécessité de protéger les contenus dans les sites web originaux.

La multiplication du nombre de campagnes permet d’identifier plus précisément les schémas et techniques utilisés pour améliorer les moyens de remédiation et prendre encore plus de mesures de prévention. Face aux vagues ayant eu lieu pendant le COVID-19, le CSIRT POST CyberForce a pu ajouter à son arsenal anti-phishing, l’automatisation des mesures de réponses pour réagir encore plus rapidement et plus efficacement.

Sabotage 

Un cas de sabotage a été recensé, particulièrement impactant pour une organisation du pays. Ces incidents rappellent la réalité de la menace intérieure pour les organisations, menace qui doit être considérée au même titre que la menace extérieure. Pour répondre à ce type d’incident, il faut disposer de backups fiables et non connectés, s’assurer de l’intégrité des données mais surtout disposer des capacités de réponse suffisantes par l’intermédiaire de ses propres ressources ou en faisant appel à des professionnels d’ordre public et/ou privé.

DoS /DDoS 

De nouvelles techniques ont été remarquées dont une particulièrement tenace en raison de son caractère intermittent. Cette technique consistait à lancer des attaques DDoS par intermittence d’intensité obligeant à activer des lignes de défense supplémentaires pour en venir à bout.
Nous avons relevé également l’utilisation d’objets compromis pour perpétrer ces attaques.
Les victimes de ce type d’incidents ne disposaient pas de défense adéquate.

Fort heureusement, des moyens existent pour parer à ces incidents et à ces nouvelles techniques. Nous recommandons aux organisations ciblées de se doter de ces moyens pour s’en prémunir.

Intrusions 

En matière d’intrusion, une compromission d’application a été relevée au cours du trimestre nous informant sur les techniques utilisées et les buts recherchés. Dans le cas présent, il s’agit d’intrusions par attaque via dictionnaire en ayant recours à un “robogiciel” ou “bot”.

Selon nos observations, ces compromissions visent à exploiter des serveurs pour perpétrer de nouvelles attaques ou en vue d’installer des logiciels de minage de cryptomonnaie malveillants (cryptomining). Ce qui revient à utiliser des infrastructures à des fins pécuniaires à l’insu de ses propriétaires.

Un SOC permet de se prémunir de ce type d’attaques en détectant les intrusions à travers la surveillance permanente du système d’informations et des alertes.

Mascarade – Usurpation de marques 

L’usurpation de marques a connu plusieurs vagues au cours des mois de juillet et septembre. L’objectif est de diffuser de faux contenus publicitaires sur les réseaux sociaux à des fins de phishing. Aucune nouvelle technique n’a été détectée, le procédé reste semblable à ce qui a déjà été constaté par le CSIRT POST CyberForce. La demande de suppression auprès des réseaux sociaux et les mesures de “Threat Hunting” restent des défenses efficaces contre ce type de menace.

Vulnérabilités 

Parmi les vulnérabilités les plus notables au cours du trimestre, les CVE-2020-1350 (Source: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350) et CVE-2020-1472 ont été particulièrement critiques avec un score CVSS de 10.0 rendant possible le contrôle total du domaine d’une organisation. Des mesures de Threat Hunting ont confirmé la présence de la vulnérabilité quelques jours après sa publication au sein de la place luxembourgeoise. La nécessité de communiquer rapidement et pro activement aux organisations leur vulnérabilité et la mise en place de correctifs d’urgence reste la meilleure défense pour protéger ces organisations.

Le CSIRT POST CyberForce veille à ce que ces vulnérabilités critiques soient communiquées aux organisations concernées.

Wangiri – Ping call 

Quelques campagnes Wangiri ont été observées au cours du trimestre. Les techniques restent les mêmes et les fraudeurs utilisent toujours plusieurs numéros pour multiplier leurs cibles et donc augmenter leurs chances de réussite.
Ces techniques restent toutefois vaines quant aux capacités de défense des opérateurs face à ce type d’incident.

Mascarade – Fraude au Président 

Aucune fraude au président n’a été constatée au cours du 3ème trimestre 2020.

Nos experts répondent à vos questions

Des questions sur un article ? Besoin de conseils pour trouver la solution qui répondra à vos problématiques ICT ?

Autres articles de la catégorie Cybersécurité

Attaques DDoS au Luxembourg en 2022

Découvrez les statistiques des attaques DDoS détectées au Luxembourg en 2022 par POST Cyberforce.

Lire cet article

Publié le

11 octobre 2022

Cybersécurité : à bord du SOC de POST, l’esprit serein

Recourir à un Security Operations Center (SOC) en tant qu’organisation permet de s’assurer d’avoir un œil en permanence sur l’activité opérée au niveau de ses systèmes d’information dans l’optique de réagir efficacement et rapidement à toute attaque ou anomalie.

Lire cet article

Publié le

12 juillet 2022

Empêcher toute connexion à risque grâce à la protection DNS

Devant faire face à des menaces informatiques variées, les organisations ont désormais la possibilité, grâce à une solution de protection DNS, de renforcer leur sécurité en s’assurant de la légitimité du trafic en lien avec l’entreprise.

Lire cet article

Publié le

22 mars 2022