Retour aux articles

La météo de la cybersécurité – 2ème trimestre 2020

08 juillet 2020

Chaque trimestre, l’équipe Cyberforce de POST décrira l’état de la menace cyber, tel qu’elle l’a perçu via sa gestion des incidents de sécurité.

Le nombre d’incidents de sécurité est resté stable au cours du 2ème trimestre 2020. Mais bien que le déconfinement s’opère au Luxembourg et dans le reste de l’Europe, le nombre d’incidents reste relativement élevé par rapport aux mois de janvier et février de la même année.

 

Fraude – Ramsomware 

Plusieurs entreprises au Luxembourg ont été la cible de ces attaques. Il s’agit d’entreprises provenant de secteurs très diversifiés tels que des cabinets d’avocats, des célébrités, des institutions publiques, des grands groupes industriels ou technologiques. Le profil des victimes n’affiche aucune caractéristique commune qu’il s’agisse d’un secteur ou d’un lieu géographique particulier.
Les rançongiciels suivants ont été très actifs au cours du trimestre puisque certains ont fait payer à des entreprises des rançons de plusieurs millions de dollars pour qu’elles puissent recouvrir leurs données.

  • Maze
  • Sodinokibi / Sodin /Revil
  • Ryuk
  • EKANS (Snake)
  • CL0p
  • Doppel/DoppelPaymer

Ransom Leaks : L’économie noire autour du Ransomware

Ce trimestre, le Ransomware s’est transformé en véritable e-commerce par les procédés suivants :

  • Vente de services de Ransomware prêts à l’emploi (Ransomware as a Service)
  • Demande de rançon (Récupération des données de l’entreprise et exécution du Ransomware)
  • Vente aux enchères des données dans le Black Market (Ransomware Leak)

Autrement dit, une véritable économie s’est développée autour de ce type d’incident avec à leur tête, des groupes tels que REVIL ou Maze. Nous notons également ce trimestre que le Ransomware par email fait son grand retour en ciblant les particuliers. De plus, de nouveaux rançongiciels (Avaddon, Philadelphie, M. Robot) font leur apparition et ciblent l’Europe. Les entreprises et les particuliers doivent donc se montrer prudents face à ce type de menace.

Wangiri – Ping call Q2 2020 

Les fraudes du type “Wangiri” sont toujours aussi nombreuses ce trimestre (appels téléphoniques à l’aide de numéros surtaxés étrangers, incitant la victime à rappeler et se voir facturer ces appels). La multiplication du nombre de numéros téléphoniques utilisés pour perpétrer ces fraudes se confirme. Une campagne d’appels a particulièrement marqué les esprits. Le 25 mai dernier, une campagne massive d’appels en provenance des îles Fidji a été détectée. Sur une journée, plus de 100 numéros de téléphone sources ont été utilisés pour, non seulement, faire un nombre de victimes important mais aussi pour essayer de contourner les moyens de protection mis en place par les opérateurs.

Fort heureusement, les opérateurs disposent de capacités suffisantes en se basant sur la signalisation et sur les tickets de facturation comme source d’information pour détecter ce type d’incidents. Ces dispositifs permettent d’appliquer des règles de blocage automatique des numéros incriminés pour limiter l’impact sur les clients.

Fraude – Phishing email

Le taux d’incident de type phishing est particulièrement élevé pour ce trimestre : il représente près des deux tiers des incidents de sécurité. Nous avons recensé pas moins de 16 campagnes dont la première est signalée au 18 mai avec un pic sur les derniers jours du mois de mai 2020.

Le Luxembourg reste une cible de choix pour lancer des campagnes de phishing mais nous notons toutefois un changement de cible pour les clients des banques luxembourgeoises. Nous avons noté 4 campagnes de phishing ciblant l’accès à l’espace client des banques luxembourgeoises par une subtilisation du numéro de Token des victimes.

Depuis, de nouveaux types de phishing sont apparus. En effet, ces derniers ciblent toujours les numéros de Token mais cette fois-ci dans un objectif de contournement des moyens de protection “3D Secure” lors de paiements par carte bancaire.
De nombreuses attaques de phishing ont été constatées à l’échelle européenne. Ces campagnes ne s’effectuaient pas par email mais par un défacement de site web de notoriété publique pour une redirection vers un site web ayant un nom d’hôte de type https://eu.***.xyz
Le site en question, est un site de phishing proposant des faux concours pour gagner un téléphone et demandant les coordonnées bancaires de la victime pour des “frais de livraison” de l’appareil gagné.

Ces sites web ne ciblent pas un opérateur en particulier mais plusieurs opérateurs en Europe selon le réseau utilisé par la victime potentielle. Ainsi, en cas de navigation sur le réseau POST, une fausse page web POST apparaîtra. De même en cas de navigation sur le réseau Telefónica, une fausse page Telefónica apparaîtra.

Les attaques se sont souvent manifestées au cours du weekend, profitant du manque de vigilance des victimes potentielles.

Toutes ces attaques sont analysées pour identifier les moyens utilisés par les attaquants (hébergeurs de serveur web et serveur d’envoi d’email de ces mêmes phishings) et planifier une réponse adaptée à la menace.

  • Le CSIRT de POST CyberForce a pu mettre fin à différentes campagnes de phishing grâce :
  • A la collaboration avec les hébergeurs et la communauté des CERTs/CSIRTs luxembourgeois.
  • Aux pratiques actives de « threat hunting » consistant à chasser les attaques en préparation avant leur apparition pour éviter des récidives.

SMS Phishing 

Le SMS phishing est resté stable au cours du trimestre. La tendance d’utilisation de numéros d’expéditeur différents pour chaque destinataire se confirme. L’objectif des attaquants est d’essayer de se rendre discret sur les protections mises en place par les opérateurs pour protéger leurs clients.

Un cas a été signalé ciblant une banque luxembourgeoise pour subtiliser aux victimes potentielles leur numéro de Token.

Mascarade – Fraude au président 

La fraude au président a connu une recrudescence au cours du 2ème trimestre 2020.
Les cibles sont toujours les moyennes et grandes entreprises luxembourgeoises. Les attaquants ciblent de préférence les environnements dans lesquels le contact avec les dirigeants est rare. Ce phénomène a été accentué par les mesures de distanciations sociales. Les techniques d’usurpation sont de plus en plus élaborées : l’email reste le moyen de communication principal utilisé mais les emails sont conçus de telle manière à ce qu’on ne se doute de rien.

Fraude – Usurpation de marques 

La présence de faux profils d’entreprise sur les réseaux sociaux s’est accentuée avec un pic à fin avril. De fausses pages Facebook usurpant les profils d’entreprises ont été identifiées avec des cas similaires en Autriche, en Suisse et en France. Ces pages sont utilisées pour proposer des contenus malicieux dont majoritairement du phishing.

Disponibilité – Attaques DDoS 

Le nombre d’attaques DDoS à fort impact sur les lignes s’est stabilisé. Beaucoup de récidives ont eu lieu sur des cibles exposées. D’autres cas de haute importance ont été rapportés mais de manière plus discrète et ponctuelle. Nous encourageons les entreprises vivant ces situations à prendre contact avec POST CyberForce pour trouver des solutions viables et diminuer le risque de récidive.

Contenus abusifs – SPAM 

Le nombre de SPAMs est resté relativement stable au cours du trimestre. La crise COVID-19 a « inspiré » certains auteurs de ces contenus indésirables par la présence d’offres d’achat de masques en provenance de Chine ou d’accessoires en tous genres pour mieux se protéger du COVID. En plus des SPAMs par email, nous notons une augmentation significative des campagnes de SPAMs par SMS, incitant les destinataires à s’inscrire sur un site de jeux en ligne ou à contacter une adresse email précisée dans le SMS

Nos experts répondent à vos questions

Des questions sur un article ? Besoin de conseils pour trouver la solution qui répondra à vos problématiques ICT ?

Autres articles de la catégorie Cybersécurité

Attaques DDoS au Luxembourg en 2023

Découvrez les statistiques des attaques DDoS détectées au Luxembourg en 2023 par POST Cyberforce.

Lire cet article

Publié le

15 février 2023

Attaques DDoS au Luxembourg en 2022

Découvrez les statistiques des attaques DDoS détectées au Luxembourg en 2022 par POST Cyberforce.

Lire cet article

Publié le

11 octobre 2022

Cybersécurité : à bord du SOC de POST, l’esprit serein

Recourir à un Security Operations Center (SOC) en tant qu’organisation permet de s’assurer d’avoir un œil en permanence sur l’activité opérée au niveau de ses systèmes d’information dans l’optique de réagir efficacement et rapidement à toute attaque ou anomalie.

Lire cet article

Publié le

12 juillet 2022