Retour aux articles

La météo de la cybersécurité – 4ème trimestre 2020

25 février 2021

Le nombre d’incidents pendant ce trimestre a été très important. Il s’agit d’un record depuis l’établissement de la météo de la cybersécurité en 2020.

Cette augmentation s’explique par les campagnes massives et tout aussi diverses de phishing rencontrées au cours du trimestre. Un lien peut également être fait avec les évènements du trimestre, notamment les mesures concernant la crise sanitaire actuelle. Ce qui avait déjà été observé en mars avec une augmentation substantielle du nombre d’incidents.
En matière d’impact, nous notons la présence de vulnérabilités au cours de la période et en particulier de la vulnérabilité sur la solution Solarwinds Orion avec des techniques d’un genre nouveau et sans précédent.

Nous présenterons donc également des chiffres représentant une répartition du type d’incident hors phishing afin de matérialiser la place d’autres incidents dans l’état de la menace cyber.

Phishing

Le phishing a représenté près de 80% des incidents du trimestre.

Parmi les identités usurpées, nous retrouvons principalement POST Luxembourg avec par exemple des demandes de numéros de carte bancaire suite à des livraisons de colis ou des demandes de changement de mot de passe avant expiration.

Ces manœuvres visent à subtiliser des accès aux comptes emails pour pouvoir accéder à d’autres privilèges ou des numéros de carte bancaire en vue de perpétrer une fraude.

Nous avons également connu une recrudescence des phishings du type “LuxTrust” avec à la clé, la volonté de subtiliser les numéros de token OTP des victimes potentielles.

Au-delà des phishing grand public au Luxembourg, nous avons également observé des campagnes très ciblées vers les entreprises appelées également Spearphishing. Il s’agit de campagnes de subtilisation de comptes d’entreprise en vue de préparer une intrusion dans le système d’information de cette dernière.

TOP 10 des hébergeurs de phishing ou de redirection de phishing recensés pendant la période :

Unified Layer
Google LLC
CloudFlare Inc.
DigitalOcean LLC
WebsiteWelcome.com
InMotion Hosting Inc.
Amazon.com Inc.
A100 ROW GmbH
SoftLayer Technologies Inc.
Amazon Technologies Inc.

Les techniques que nous utilisons pour endiguer ces phénomènes évoluent. En effet, l’étude des différents kits de phishing utilisés par les attaquants nous a permis d’être davantage proactifs pour chasser les attaquants perpétuant des campagnes et y mettre fin. Le nombre de victime est donc limité, l’impact des campagnes est réduit.

Vulnérabilités  

La vulnérabilité SolarWinds Orion a probablement marqué la période si ce n’est l’année par la nouveauté introduite par ses techniques comme par son exploitation par le groupe identifié UNC2452 d’après FireWire vers plusieurs entreprises à travers le monde.
En général, l’exploitation d’une vulnérabilité est intrinsèque au déploiement d’un logiciel, soit issue d’un initié présent chez l’éditeur.

Dans le cas de SolarWinds Orion, sa nouveauté s’explique par l’introduction de la vulnérabilité auprès de l’éditeur (SolarWinds) et de son exploitation par le groupe UNC2452. 

C’est donc un groupe qui crée sa propre porte dérobée sur les versions à jour de SolarWinds Orion et qui s’infiltre à travers les mises à jour de ce même logiciel. Une fois la mise à jour effectuée au sein de l’organisation cible, la connexion avec l’attaquant s’établit et ce dernier peut ainsi s’introduire au sein de l’organisation et perpétrer une attaque auprès de sa victime.

D’autres vulnérabilités ont été détectées : l’exploitation par un groupe d’attaquant d’une vulnérabilité passée CVE-2018-13379 sur Fortinet SSL VPN où plusieurs milliers de comptes VPN d’entreprises ont été exposés sur Internet mettant ces organisations sous la menace d’une intrusion imminente. Quelques cas ont été recensés au Luxembourg.

Ce type de vulnérabilité nous rappelle à quel point il est important, dès la découverte de la vulnérabilité, de se mettre à jour avec les dernières versions corrigées selon l’assurance fournie par l’éditeur du logiciel quant à ses capacités de cyber-aseptisation de son environnement de développement.

Codes malicieux 

En fin d’année, nous avons constaté une recrudescence de la distribution de code malicieux. Nous avons en particulier observé la présence au Luxembourg d’un code malicieux de type “cheval de Troie” nommé Emotet.
Emotet est le virus le plus sophistiqué qui n’est jamais été conçu, ayant infecté des millions d’ordinateurs dans le monde et ouvrant la porte aux attaques par ramsomware.

Ces codes malicieux sont distribués par email via un document zip protégé par mot de passe pour circuler malgré les protections antivirus. La victime, en cas d’ouverture du document, tombe sur un message (Word, Excel) lui demandant de stopper les protections en place. Une fois ces opérations effectuées, un script se lance pour infecter la machine et permettre à l’attaquant d’y prendre le contrôle. Soyez particulièrement vigilants lorsque vous recevez des documents provenant de sources inconnues ou que des éléments vous paraissent suspicieux.

DoS/DDoS 

Quelques cas d’attaques par déni de service ont été soulevés. Mais les attaques DDoS sont en baisse par rapport au trimestre précédent et les mesures de protection contre ces attaques montrent leurs effets. Il est à noter qu’en la matière, les attaquants ont une tendance à cibler les mêmes victimes. Ce qui montre que certains attaquants sont déterminés à faire des dégâts vers les mêmes victimes.

Compromission de comptes

Nous avons assisté à un nombre important de compromissions de comptes, principalement de comptes email individuels. Ces compromissions sont le résultat des campagnes de phishing ayant atteint leur objectif. Il est nécessaire de rester vigilant vis-à-vis du phishing et de ne jamais divulguer son mot de passe ou autre code confidentiel. La fuite des identifiants d’un compte email n’a rien d’anodin, en particulier, si ce dernier permet d’accéder à d’autres comptes email, à ses réseaux sociaux ou même à d’autres comptes (bancaires, Paypal…).

Wangiri 

Quelques cas de fraude Wangiri ont été constatés en fin d’année avec des campagnes massives. Cependant aucune nouvelle technique n’a été recensée et les mesures pour contrer ces campagnes se sont avérées efficaces.

Mascarade – Fraude au présidentPictos 
Les techniques utilisées ont peu évolué par rapport à ce qui a été connu précédemment. Si ce n’est une observation par l’utilisation de la langue luxembourgeoise à travers des logiciels de traductions pour perpétrer ces attaques. Ce qui montre une volonté de ciblage et d’immersion plus grande par les attaquants.

Fraude télécom (Unauthorized use of resource) 

Quelques fraudes du type IRSF (International Revenue Sharing Fraud) ont été constatées avec des observations sur l’exploitation de vulnérabilité sur des centraux téléphoniques d’entreprise. Ce qui constitue une première pour ce type de fraude.
Les attaquants se sont montrés particulièrement actifs en cette fin d’année 2020. Des solutions existent pour endiguer ce phénomène. Le CSIRT POST CyberForce invite les entreprises susceptibles d’être victime de nous contacter pour avoir plus d’informations sur ces solutions.

Mascarade – Usurpation de marques 

Il s’agit principalement d’usurpation d’identité d’entreprise sur les réseaux sociaux avec la volonté de tromper les utilisateurs pour perpétrer d’autres attaques (Fraudes, Intrusions ou tentatives d’intrusion). Ce faible nombre confirme que les démarches proactives pour endiguer le phénomène contribuent bien à diminuer le nombre d’occurrences.

Spam

Nous avons constaté un volume important de SPAM pendant la période. Le type de Spam est toujours similaire (sextorsion, gains en tous genres, héritage) Aucune nouvelle technique n’a été observée sur ce type d’incident.

Nos experts répondent à vos questions

Des questions sur un article ? Besoin de conseils pour trouver la solution qui répondra à vos problématiques ICT ?

Autres articles de la catégorie Cybersécurité

Attaques DDoS au Luxembourg en 2023

Découvrez les statistiques des attaques DDoS détectées au Luxembourg en 2023 par POST Cyberforce.

Lire cet article

Publié le

15 février 2023

Attaques DDoS au Luxembourg en 2022

Découvrez les statistiques des attaques DDoS détectées au Luxembourg en 2022 par POST Cyberforce.

Lire cet article

Publié le

11 octobre 2022

Cybersécurité : à bord du SOC de POST, l’esprit serein

Recourir à un Security Operations Center (SOC) en tant qu’organisation permet de s’assurer d’avoir un œil en permanence sur l’activité opérée au niveau de ses systèmes d’information dans l’optique de réagir efficacement et rapidement à toute attaque ou anomalie.

Lire cet article

Publié le

12 juillet 2022