5 fois plus de cybermalveillance liée au Coronavirus observée en mars

 

Les institutions, l’hôtellerie, la santé, l’éducation, la recherche et le commerce figurent parmi les secteurs les plus ciblés sur la carte de fréquentation du coronavirus.

Alors que la pandémie se poursuit, les cybercriminels s’appuient sur les évolutions de la crise pour diffuser des logiciels malveillants, se livrer à du phishing (hameçonnage) et même effectuer des fraudes en ligne en s’attaquant à la panique causée par le manque d’accessoires médicaux et d’informations fiables.
La télémétrie Bitdefender la plus récente montre une activité inhabituelle concernant les menaces liées au coronavirus : les rapports de cybermalveillance liée au coronavirus ont augmenté de plus de 475% en mars par rapport à février. Et ça n’est pas fini.
Ces campagnes visent principalement les pays qui ont commencé à souffrir d’une augmentation des infections au coronavirus, tirant parti de la peur présente dans l’esprit de chacun.
Les autorités ayant du mal à élaborer des plans et des procédures de quarantaine, les cybercriminels semblent s’être mobilisés rapidement et ont commencé à attirer les victimes avec la promesse de nouvelles informations exclusives sur les procédures de protection.
 

Les chiffres de la cybermalveillance s’envolent en mars

 

 
De 1 448 signalements malveillants en février à 8 319 signalements jusqu’au 16 mars, le nombre a fortement augmenté, alors que le véritable virus COVID-19 se propage de façon agressive dans le monde entier.
Les secteurs les plus ciblés semblent être le gouvernement, la grande distribution, l’hôtellerie, le transport, l’éducation et la recherche. Bien que cela puisse paraître étrange, il est logique que ces secteurs soient ciblés car ils interagissent activement avec de grands groupes d’individus et sont plus à même d’en savoir plus sur les mesures à prendre pour prévenir une contamination.
Ainsi, l’une des raisons pour lesquelles les cybercriminels ciblent activement ces secteurs, avec des e-mails de phishing usurpant l’identité de l’OMS (Organisation mondiale de la santé), de l’OTAN et même de l’UNICEF, est que les employés attendent probablement des informations officielles d’organisations mondiales reconnues.
 

 
Une analyse des institutions gouvernementales les plus ciblées révèle que le ministère de l’éducation, l’administration de la santé et les services des pompiers ont été les plus attaqués.
Dans les soins médicaux, les hôpitaux et les cliniques, les institutions pharmaceutiques et les distributeurs de matériel médical étaient principalement ciblés, potentiellement avec des messages sur les procédures à prendre, les médicaments susceptibles de prévenir ou de traiter l’infection, et même des fournitures médicales qui seraient en stock.
 

 
Par exemple, l’e-mail ci-dessus semble cibler les services de santé en Thaïlande à en juger par le titre, qui est traduit du thaï («Fwd: Re: Information Importante sur le Coronavirus»), et le nom du fichier joint («Ministère de la Santé Publique Virus Informations urgentes 2020.gz ”). Il promet des informations nouvelles et exclusives au personnel médical. Pour que l’e-mail semble plus légitime, il utilise les logos officiels de l’établissement thaïlandais de l’Institut national de la santé.
 

 
Dans une traduction approximative, l’e-mail (vu ci-dessus) exhorte les citoyens, les écoles, les préfets de police et les patrons d’entreprises à suivre les instructions du document ci-joint pour rester “à l’abri des virus”. Il prétend également que le fichier contient une liste de pharmacies qui distribuent «un médicament protecteur certifié». Inutile de dire que toute personne ouvrant la pièce jointe vérolée sera infectée par un cheval de Troie, plus précisément le cheval de Troie NanoBot.
Les secteurs de l’éducation et de la recherche, où des messages ont atteint les universités, les écoles et les instituts technologiques, sont peuplés de gens qui attendent avec impatience des instructions sur la façon de faire face à l’épidémie de coronavirus. Ils ont également été ciblés de manière sélective par des e-mails de spearphishing (harponnage).
Un coup d’œil à certains des documents vérolés reçus par les institutions gouvernementales montre que tous les noms de fichiers partagent naturellement la même terme de «coronavirus» et promettent d’offrir de nouvelles informations exclusives sur l’épidémie.
Par exemple, le piège le plus commun est que les pièces jointes aux e-mails sont présentées comme des documents PDF alors qu’en fait, il s’agit de fichiers «.exe» ou «.bat». Cela signifie que – sauf si les utilisateurs ont l’option “Extensions de nom de fichier” cochée dans le menu Affichage de l’Explorateur de fichiers – ils se feront sans doute berner par cette escroquerie à double extension. Les fichiers contiennent bien évidemment des logiciels malveillants. Dès leur ouverture, ils se mettent à déployer divers menaces allant de LokiBot et HawkEye à Kodiac et NanoBot (voir le tableau ci-dessous).
 

 
La plupart de ces chevaux de Troie, y compris NanoBot, sont conçus pour voler des informations, telles que les noms d’utilisateur et les mots de passe, susceptibles d’être utilisées par les pirates soit à des fins financières, soit pour accéder à distance à des comptes, des services et même des points de terminaison.
Ci-dessous, vous pouvez voir un tableau avec des exemples de noms pour chaque document malveillant reçu par chaque secteur, ainsi que chaque objet d’e-mail (le cas échéant).
 

S’attaquer agressivement aux pays touchés par le COVID-19

 
En ce qui concerne la répartition géographique de tous les rapports de malveillance impliquant le coronavirus, les choses se sont rapidement intensifiées entre janvier et mars. En janvier, des rapports ne provenaient que de certains pays comme les États-Unis, la Chine et l’Allemagne. En mars, des informations malveillantes sont arrivées de partout dans le monde et aucun pays européen n’a été épargné.
 

 

 

 

 
En mars, le plus grand nombre de signalements de cybermalveillance a été enregistré dans des pays comme l’Italie, les États-Unis, la Turquie, la France, le Royaume-Uni, l’Allemagne, l’Espagne, le Canada, la Roumanie et la Thaïlande. Tous ces pays ont été gravement touchés par l’épidémie de COVID-19, c’est pourquoi il est probable que ces campagnes de logiciels malveillants se concentrent spécifiquement sur ces régions.
 

 
Comme si le fait de devoir faire face au Coronavirus dans la vie réelle ne suffisait pas, les cybercriminels exploitent la panique, la désinformation et la confusion dans le but d’optimiser leurs efforts pour propager les escroqueries et les infections et, de façon plus générale, profiter des peurs de chacun.
 

Ce que vous devez savoir

 
Alors que les pays s’efforcent de trouver des moyens de contenir la propagation des infections au COVID-19, le citoyen moyen cherche sans aucun doute de l’aide et des renseignements auprès de n’importe quelle source en ligne sur la manière de rester en sécurité. Néanmoins, ces informations peuvent ne pas toujours provenir d’une source fiable.
Les logiciels malveillants sont légion et les cybercriminels ne reculeront devant rien pour inciter les utilisateurs à en installer. Il est déjà bien assez difficile de faire face aux virus de la vie réelle, et la gestion des virus informatiques est sans doute la dernière chose à laquelle on pense.
Cependant, comme dans la vraie vie, une bonne hygiène signifie non seulement rester à l’abri, mais aussi aider ceux qui vous entourent. Lisez donc attentivement les e-mails pour vous assurer qu’ils sont légitimes, n’ouvrez pas les pièces jointes sauf si vous êtes absolument sûr qu’elles sont inoffensives, et essayez d’utiliser une solution de cybersécurité capable de vous protéger contre un large éventail de menaces, afin que vous puissiez vous concentrez vous sur ce qui compte : garantir la sécurité de votre famille.

Remarque : cet article est basé sur des informations techniques fournies gracieusement par les équipes de Bitdefender Labs.