POST Luxembourg présente les principales cybermenaces recensées au 2ème trimestre 2021 dans sa publication trimestrielle « Météo de la Cybersécurité »

fr

Chaque trimestre, l’équipe Cyberforce de POST Luxembourg expose dans un rapport intitulé « Météo de la Cybersécurité » l’état et les tendances en matière de cybermenaces au Grand-Duché, tels que perçus via la gestion des incidents de sécurité par le CSIRT (Computer Security Incident Response Team) de POST.

<< Retour
17/08/2021 | Communiqué
  • Post

General

Les chiffres des incidents recensés par le CSIRT POST CyberForce indiquent une baisse du nombre d’incidents au fil des mois. Cette baisse est due à la diminution du nombre de campagne de phishing au cours de la période. Malgré cette baisse, les campagnes de phishing représentent toujours une majorité d’incidents à près de 50% du nombre d’incidents recensés par le CSIRT de POST.

Phishing

Nous constations une diminution significative du nombre de campagnes de phishing de type bulk, c’est-à-dire sans cible particulière. Toutefois, ceci est compensé par des campagnes ciblant mieux les victimes (Spearphishing).

Voici une liste parmi les identités usurpées et la cible des attaquants :

  • Identité usurpée Cible
  • POST Identifiants Webmail (pt.lu), MyPOST (données personelles)
  • Microsoft Identifiants Microsoft Cloud
  • LUXTRUST, DHL Identifiants de carte bancaire et numéros de token.

De plus, nous constations l’utilisation croissante de nouvelles techniques permettant d’augmenter la durée de vie de leurs campagnes et rendant les possibilités de remédiation plus complexes. Ainsi, les cybercriminels n’hésitent plus à utiliser des techniques d’évasion pour du phishing.
Par exemple, en limitant l’exposition du contenu malveillant aux visiteurs d’une zone géographique basée sur l’adresse IP ou spécifique à un contexte combinant adresse IP, horodatage et identifiants auto-générés par le navigateur des victimes.

C’est ainsi que lors d’un signalement d’une URL au CSIRT POST CyberForce, un blocage par adresse IP se traduit par l’affichage de publicité sans rapport avec l’attaque, d’une page blanche ou d’une page “404 not found”.

Les cybercriminels dissimulent leurs activités pour éviter d’être détecté par les défenseurs et leurs outils de renseignement.

  1. Google LLC (=)
  2. CloudFlare Inc. (+1)
  3. Bitly Inc (+4)
  4. DigitalOcean LLC (+1)
  5. Online SAS (-1)
  6. Microsoft Corporation (+3)
  7. A100 ROW GmbH (-3)
  8. Namecheap Inc. (New)
  9. Weebly Inc. (New)
  10. OVH SAS (-2)

Nous mettons à votre disposition des exemples de capture d'écran de phishing à chaque incident. Suivez-nous sur notre compte Twitter : https://twitter.com/CsirtPost

Vishing / Call SPAM

Au cours de la période, des milliers d’appels à caractère frauduleux ont été reçus au Luxembourg provenant de groupes usurpant l’identité de Microsoft. Il s’agit de Vishing (Voice Phishing) observé au cours de la période et qui constitue un nombre important d’incidents au cours de la période.

Ces appels dont les numéros avaient l’apparence de provenir de pays divers (Espagne, Royaume-Uni, etc…) furent en réalité usurpés et les interlocuteurs dont la provenance est confirmée, sont originaires d’Inde. Les appels, selon le schéma classique, se basent sur un préfixe pour appeler les extensions aléatoirement jusqu’à tomber sur un numéro libre.

Dans le cas où une victime tombait sur l’appel, les usurpateurs invitaient la victime à faire une procédure pour tomber sur le gestionnaire d’évènements de Windows (Event Viewer), jusqu’à tomber sur les erreurs du système d’exploitation en s’assurant que la victime ne connaissait pas la signification de ces évènements. Au cours du processus et des différentes étapes, les interlocuteurs changent.

En faisant croire à la victime que leur système Windows est infecté de contenu malicieux sur base des observations du gestionnaire d’évènements, les usurpateurs persuadent la victime de faire installer deux logiciels, présentés comme des solutions de sécurité, pour permettre de se débarrasser du problème :

  • Le premier UltraViewer est un logiciel permettant aux usurpateurs de contrôler à distance l’ordinateur de la victime.
  • Le deuxième logiciel de prise de contrôle à distance où l’attaquant demande d’installer par la victime est TeamViewer.

Enfin, une fois que les deux logiciels sont installés, la troisième et dernière étape consistait à que la victime se connecte à sa banque pour effectuer un virement de 10€. Ceci afin de faire croire à la victime qu’il s’agit de frais d’activation de la solution de sécurité. En réalité, il s’agit de pouvoir subtiliser les identifiants de compte bancaire afin de pouvoir à leur tour faire en parallèle une nouvelle transaction.

Nous observons ainsi que les usurpateurs ne manquent pas d’abuser de la crédulité des victimes pour pouvoir leur subtiliser en réalité leurs identifiants bancaires. Il est aussi important qu’une entreprise puisse se prémunir de ces risques par une campagne de sensibilisation importante pour ne pas se faire piéger ainsi qu’un ajustement des droits d’installation des logiciels pour éviter l’installation de n’importe quel logiciel par un utilisateur d’une entreprise.

Ransomware et leaks

Du côté du ransomware, nous avons constaté durant la période une activité importante de groupes telle que le groupe Conti. Conti est spécialisé dans la divulgation de données d’entreprises ayant fuité si leurs instructions ne sont pas satisfaites.

Ces groupes recherchent constamment des vulnérabilités exposées et exploitables pour perpétrer du ransomware.
Les activités de ces groupes nous rappellent à quel point il est important de corriger les failles de ses équipements les plus exposés dès la disponibilité de ces correctifs.

Malicious Code

Nous avons observé quelques logiciels malveillants au cours de la période, tels que la propagation d’Agent Tesla.
Agent Tesla est un programme permettant de subtiliser des informations tel un keylogger. En effet, il est capable d’extraire des identifiants à partir de différents navigateurs, e-mails et clients FTP. De plus, Il procède à la récupération des données issues des clés de registre, du presse-papiers, capture l’écran et la vidéo, etc…

DDoS

Au cours de la période, nous avons observé quelques attaques DDoS avec un pic volumétrique à 7,8 Gbps sur notre réseau. Les techniques utilisées au cours de la période furent :

  • NTP Amplification avec 2 attaques identifiées.
  • Requêtes ICMP inhabituelles.

Le nombre d’attaques DDoS de grande ampleur reste relativement maitrisé grâce aux solutions anti-ddos fournies par POST Telecom.

Vulnerabilités

Le trimestre a été marqué par la publication d’une vulnérabilité zero-day sur les applications Pulse Secure VPN. Cette vulnérabilité a été impliquée dans plusieurs incidents de sécurité compromettant des applications Pulse Secure VPN avec comme vecteur d’entrée dans le système, la vulnérabilité référencée (CVE-2021-22893) comme nous l’indique Fireeye dans son blog:

https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html

Cette vulnérabilité activement exploitée par les attaquants est entrée dans le classement des vulnérabilités les plus exploitées publiée par le FBI en 2021 en plus des vulnérabilités Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065):

https://us-cert.cisa.gov/ncas/alerts/aa21-209a

Le CSIRT POST CyberForce a recensé plusieurs expositions d’applications Pulse Secure VPN de clients vulnérables et recommande fortement d’appliquer, si ce n’est pas déjà fait, les patches proposés par Pulse Secure VPN.

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

Intrusions

Nous avons recensé au cours de la période des intrusions consécutives à des campagnes de phishing réussies et relatives des attaques par dictionnaire pour obtenir un accès initial.

Lorsqu’une une victime fournit ses identifiants relatifs à une campagne de phishing pour une cible déterminée, un attaquant va s’en saisir pour s’introduire dans l’application ou le système souhaité pour perpétrer d’autres actions en vue d’un nouvel objectif.

Les objectifs recensés au cours de la période, consécutive à une intrusion réussie sont la fraude ou l’exfiltration de données.

Dans le cadre des attaques de phishing, le CSIRT POST CyberForce recommande d’être particulièrement vigilant en ne se laissant pas duper par ces attaques en vérifiant la correspondance entre l’URL et l’identité, le format et le texte de l’email ou du SMS affiché.

Dans le cadre des attaques par dictionnaires, l’origine des intrusions a pour origine la réutilisation de mêmes identifiants pour l’accès à différentes applications. En cas de fuite de données (leaks) d’une des applications ou l’identifiant a été entré, et si cet identifiant tombe entre les mains des acteurs malveillants, ce dernier peut être réutilisé pour accéder à d’autres applications ou systèmes, en particulier, si la victime utilise des identifiants similaires sur les applications ou systèmes cible d’acteurs malveillants.
Voilà pourquoi, il est important d’utiliser autant que possible des mots de passe uniques par application ou système.

Vous avez subi une intrusion ? Un incident de sécurité ou une cyberattaque ? Ou vous souhaitez comprendre les circonstances ayant conduit à votre incident, n’hésitez pas à prendre contact avec nos services CSIRT POST CyberForce. Nos experts vous accompagnent et fournissent l’assistance dont vous avez besoin sur votre incident de sécurité.

Retour vers le haut | << Retour

Communiqués liés

Bloc - 100 ans de relations diplomatiques entre le Luxembourg et la Hongrie (002)

Nouvelle émission de timbres spéciaux

Le 12 mars 2024, POST Luxembourg émet 5 nouveaux timbres spéciaux ainsi qu’u...

POST Luxembourg
Visuel POSTLAF 2024
07/03/2024 Évènements

26 e édition du « POSTLAF an der Stad » le 10 mars 2024

Organisée par l’Amicale POST Luxembourg, la 26e édition du POSTLAF aura lieu...

POST Luxembourg
Post
20/02/2024 Communiqué

POST Luxembourg lance un appel à propositions pour l’émi...

POST Philately émet chaque année une vingtaine de timbres dédiés à des comm...

POST Luxembourg
POST Esports Masters Bootcamp Lultzhausen 20-21.01.2024

Les POST Esports Masters ont organisé le Premier Bootcamp E...

Les 20 et 21 janvier 2024, les POST Esports Masters, en collaboration avec RIFT ...

POST Luxembourg
Post
17/01/2024 Communiqué

Suspension de la distribution du courrier et des journaux le...

En raison des conditions météorologiques annoncées pour ce mercredi 17 janvie...

POST Luxembourg
Post
12/01/2024 Communiqué

Levée de la suspension temporaire des expéditions postales...

Suite à la reprise des liaisons de transport vers Israël, les expéditions de ...

POST Luxembourg

Il n'y a aucun résultat pour votre recherche

Les cookies assurent le bon fonctionnement du site. En le consultant, vous acceptez l'utilisation des cookies. OK En savoir plus