Les cybercriminels ciblent les établissements de santé qui luttent contre le coronavirus

Le monde traverse une pandémie. Le coronavirus s'est propagé à l'échelle mondiale et a fait un nombre impressionnant de victimes. Les gens ont peur et ne savent pas quoi faire et ce qui va arriver. En ces temps incertains, une chose est restée constante - tout le monde convient que les personnes qui combattent la pandémie de première main sont des héros. Infirmières, médecins, chercheurs, professionnels de la santé en première ligne, font de leur mieux pour vous aider. Ce sont des gens qui sont dignes de respect en général mais qui le méritent encore plus maintenant. Beaucoup d'entre eux font leur travail au quotidien, même sans l'équipement de protection approprié, car ils ne veulent pas tourner le dos aux personnes qui en ont le plus besoin. Ils risquent leur propre vie en aidant ceux qui en ont besoin. C'est digne d'admiration.

Malheureusement, certaines personnes ne se soucient pas du sacrifice, du devoir public et de la décence commune. Il y a des cybercriminels, qui jugent bon de faire du profit sur les gens. Les escrocs, qui ne se soucient pas de l'état d'urgence dans lequel se trouvent la plupart des pays, et de l'état de panique que presque tous les individus sont, sans arrêt. Ces individus malveillants ont décidé que le moment était venu de lancer des campagnes de publicité malveillante. Non seulement cela, mais des attaques visant ceux dont nous avons le plus besoin - les professionnels de la santé, combattant de front le redoutable Coronavirus. Ils ont déchaîné leurs attaques contre les hôpitaux, les organisations de soins de santé et les fournisseurs de soins médicaux, et les professionnels médicaux en souffrent. Au lieu de se concentrer sur l'aide aux gens, ils sont distraits par la cupidité des cybercriminels.

Pas de temps comme le présent pour une prise de trésorerie rapide

Les individus malveillants ont déchaîné leurs attaques malveillantes contre ceux qui essayaient de nous protéger contre le virus. Des chercheurs sur les logiciels malveillants ont découvert deux campagnes importantes - une contre deux établissements canadiens: un organisme gouvernemental de soins de santé et une université de recherche médicale. Et, l'autre jetait un large filet et visait les organisations médicales et les installations de recherche médicale du monde entier.

Les escrocs ont envoyé une multitude de courriels aux organisations et les ont masqués comme légitimes. Ils ont prétendu leur légitimité en prétendant contenir des informations liées au COVID-19. Plus précisément, les données sur les fournitures médicales, les détails de l'Organisation mondiale de la santé (OMS) ou les communications essentielles de l'entreprise concernant le virus. Quel que soit le front diffusé par l'e-mail, son véritable objectif est resté le même : diffuser des logiciels malveillants. Les cybercriminels ont chargé ces e-mails de rançongiciels, de voleurs d'informations, de chevaux de Troie, etc. Tout cela au nom d'une saisie rapide d'argent.

dommages de ransomware
Représentation de l'augmentation annuelle de la rentabilité des ransomwares. Source: gdatasoftware.com

Les tenants et aboutissants des attaques de phishing

Fin mars, plus précisément entre le 24 mars et le 30 mars, les chercheurs ont remarqué certaines particularités des attaques liées au COVID-19 . Il y a eu plusieurs tentatives d'attaques visant des personnes activement engagées dans la lutte contre le coronavirus. Tel que mentionné, la première tentative des cybercriminels d'attaquer des individus ciblés, liée à un organisme de santé gouvernemental canadien anonyme, a participé aux efforts de réponse de COVID-19. Et leur deuxième visait une université canadienne responsable de la recherche COVID-19.

Les courriels malveillants ont fait de leur mieux pour imiter les courriels légitimes. Ils ont usurpé une véritable adresse e-mail de l'OMS (noreply @ who [.] Int) et contenaient un fichier RTF (Rich Text Format) contenant prétendument des informations relatives à la pandémie.

Ouvrir cet e-mail est une erreur. Ouvrir le RTF est une erreur encore plus grave.

Une fois le fichier RTF ouvert, il tente de fournir une charge utile de ransomware dans votre système. La charge utile exploite une vulnérabilité connue (CVE-2012-0158) dans Microsoft Office. Il permet aux attaquants d'exécuter du code arbitraire.

Si vous ouvrez la pièce jointe malveillante, elle supprime et exécute un binaire de rançongiciel sur le disque dans C: \ Users \ \ AppData \ Local \ svchost.exe . Le binaire supprimé fait de son mieux pour ne pas vous détecter. Il a un ensemble d'attributs cachés, celui qui est utilisé lorsqu'un contenu est obsolète et n'est plus nécessaire. Et, il parvient à vous cacher des détails, l'utilisateur. De plus, le binaire utilise également une icône Adobe Acrobat pour tenter de masquer son objectif réel.

Le malware, que le fichier RTF cache, semble être une variante de rançongiciel open source du nom d'EDA2. Cette infection fait partie d'une famille de ransomwares plus grande et plus inquiétante - celle de HiddenTear. Si le nom vous dit quelque chose, ce n'est pas surprenant. La menace HiddenTear est un géant qui a fait d'innombrables victimes.

Dès que le binaire est exécuté, une requête HTTP GET pour la ressource tempinfo.96 [.] Lt / wras / RANSOM20.jpg est lancée. L'infection gifle sur un écran de notification sur votre bureau pour vous indiquer votre situation difficile: «VOTRE PC EST VERROUILLÉ». Le message qu'il contient se lit comme suit: "Si vous souhaitez déverrouiller vos fichiers, vous devez envoyer 0,35 BTC [Bitcoin] à cette adresse." Il vous laisse ensuite l'adresse en question. Pour clarifier, au moment de la rédaction de cet article, 0,35 Bitcoin équivaut à 2 670,13 USD.

rançon20 note de rançon
Image du message de notification du rançongiciel. Source: unit42.paloaltonetworks.com

L'image est enregistrée sur le disque dans C: \ Users \ \ ransom20.jpg , ce qui lui permet de remplacer votre fond d'écran d'origine.

Le binaire ransomware crypte un tableau d'extensions de fichiers, y compris '.DOC', '.ZIP', '. PPT 'et plus. Les chercheurs notent que le binaire de ce ransomware a une limitation substantielle. Il est codé en dur uniquement pour crypter les fichiers et répertoires qui se trouvent sur le bureau de la victime.

Voici une liste des différentes extensions de fichier, que le binaire ransomware crypte:

'.abw', '.aww', '.chm', '.dbx', '.djvu', '.doc', '.docm', '.docx', '.dot', '.dotm', '.dotx', '.epub', '.gp4', '.ind', '.indd', '.key', '.keynote', '.mht', '.mpp', '.odf', '.ods', '.odt', '.ott', '.oxps', '.pages', '.pdf', '.pmd', '.pot', '.potx', '.pps', '.ppsx', '.ppt', '.pptm', '.pptx', '.prn', '.prproj', '.ps', '.pub', '.pwi', '.rtf', '.sdd', '.sdw', '.shs', '.snp', '.sxw', '.tpl', '.vsd', '.wpd', '.wps', '.wri', '.xps', '.bak', '.bbb', '.bkf', '.bkp', '.dbk', '.gho', '.iso', '.json', '.mdbackup', «.nba», «.nbf», «.nco», «.nrg», «.old», «.rar», «.sbf», «.sbu», «.spb», «.spba», '.tib', '.wbcat', '.zip', '7z', '.dll', '.dbf'

L'algorithme de chiffrement de l'infection est simple mais efficace. Tous vos fichiers sont verrouillés et renommés avec l'extension «.locked20». Vous pouvez voir le code source du ransomware dans l'image ci-dessous.

code rançon20
Le code source de chiffrement du ransomware. Source: unit42.paloaltonetworks.com

Une fois que le serveur de commande et de contrôle distant (également appelé C&C ou C2) parvient à mettre la main sur vos données, il crée une clé personnalisée basée sur les détails du nom d'utilisateur / nom d'hôte. Il retourne cette clé à l'hôte infecté pour un traitement ultérieur.

Une fois la clé reçue du serveur C2, l'hôte infecté lance une requête HTTP POST à la ressource www.tempinfo.96 [.] Lt / wras / savekey.php contenant son nom d'hôte et la clé de déchiffrement principale de l'hôte, qui est , en soi, AES crypté.

Des promesses vides et aucun cessez-le-feu réel

Récemment, les cybercriminels ont promis une multitude de promesses de cesser les attaques contre les hôpitaux pendant la durée de la pandémie. Cet engagement et ces promesses ne se sont avérés rien de plus que des mots vides comme des points de recherche que les attaques continuent à ce jour. Plusieurs hôpitaux ont partagé des informations alarmantes - le rançongiciel Ryuk les a ciblés. Ryuk est une autre menace monstrueuse dans le monde des ransomwares.


Publication sur les réseaux sociaux du 26 mars confirmant les attaques à l'hôpital de Ruyk. Source: twitter.com

Ce n'est pas seulement le Canada et les États-Unis qui souffrent de ces attaques. Comme mentionné, les escrocs sont devenus mondiaux avec leur cupidité.

Un fournisseur de soins de santé basé à Londres, du nom de Hammersmith Medicines Research, travaille avec le gouvernement britannique pour tester les vaccins COVID-19. Ils ont récemment signalé une attaque de ransomware. Le rançongiciel Maze les a revendiqués comme victimes, et les escrocs qui ont lancé cette attaque ont ensuite publié en ligne les données qu'ils avaient volées à l'organisation.

Des organisations médicales et des centres de recherche médicale au Japon ont également rejoint la liste des cibles, grâce au malware AgentTesla. Dans cette liste, vous trouverez également une entreprise de fabrication industrielle allemande, une agence gouvernementale turque chargée des travaux publics, un fabricant de produits chimiques coréen et une entité de recherche de défense américaine.

Tous ces endroits, et probablement d'autres comme eux, sont victimes de campagnes de malvertising qui exploitent la situation du Coronavirus pour un gain financier. Les cybercriminels, derrière les attaques, utilisent COVID-19 pour inciter les cibles à ouvrir leurs e-mails. Étant donné que le coronavirus est assez à la mode à ce stade, il a tendance à inciter les gens à faire suffisamment confiance aux e-mails fictifs pour les ouvrir. Pour y parvenir et assurer leur succès, ils mettent généralement un slogan accrocheur. Comme, par exemple, «Avis aux fournisseurs COVID-19» ou «Avis d'entreprise».

e-mail de spam phishing covid-19
Un e-mail de phishing contenant le slogan "COVID-19 Supplier Notice". Source: media.threatpost.com

Vous faire ouvrir leur faux courrier électronique est la première étape des cybercriminels. Une fois qu'ils vous incitent à le faire, ils doivent vous inciter à croire suffisamment le contenu de l'e-mail pour suivre ses instructions. Ils ont tendance à être les mêmes dans chacun d'eux - voir la pièce jointe et ouvrir la pièce jointe. Ne pas! Ne soyez pas victime de leur supercherie.

Les pièces jointes des courriels désagréables se sont avérées être des compte-gouttes qui fournissent des variantes de la famille de logiciels malveillants AgentTesla. Dans le cas où vous n'êtes pas familier avec cette infection particulière, c'est un voleur d'informations qui est dans le coin depuis 2014. Il est annoncé et vendu sur une myriade de forums, qui agissent comme des points d'eau pour les cybercriminels. AgentTesla fait partie des meilleures familles de logiciels malveillants de choix de l'acteur de menace SilverTerrier, connu pour les campagnes de compromis par e-mail d'entreprise (BEC).

Ci-dessous, vous pouvez voir un graphique montrant les pertes signalées des attaques BEC au cours des dernières années. Comme vous pouvez le voir, la croissance est évidente.

pertes de bec
Représentation des pertes signalées des attaques BEC de 2014 à 2018. Source: vadesecure.com

Tromper les gens est une entreprise délicate

Les rapports montrent que l'adresse e-mail, responsable de l'envoi de ces e-mails malveillants, est «Shipping @ liquidroam [.] Com». Il utilise un domaine commercial légitime pour LiquidRoam, qui fournit des ventes de planches à roulettes électriques. En découvrant cela, les chercheurs ont conclu qu'il a été compromis et qu'il est tombé entre les mains des cybercriminels pour l'utiliser comme bon leur semble.

Une autre observation faite par les chercheurs a montré que tous les échantillons associés connectés au même domaine C2 pour l'exfiltration - «ftp [.] Lookmegarment [.] Com.» Ils ajoutent également que les échantillons AgentTesla avaient des informations d'identification codées en dur, qui ont été utilisées pour communiquer avec le serveur C2 via FTP (File Transfer Protocol).

Les cybercriminels ne montrent aucun signe d'arrêt de leurs attaques. À ce jour, ils continuent de tirer parti de la pandémie de coronavirus comme thème de leurs cyberattaques malveillantes dans le monde entier. Ils propagent des logiciels malveillants à l'aide de campagnes de chasse au harpon, d'URL piégées et de fraudes de bourrage d'informations d'identification. Attention à ne pas tomber dans le tissu de mensonges qu'ils filent. Soyez prudent et n'oubliez pas que vous ne pouvez jamais faire confiance à la parole des cybercriminels, comme en témoignent les attaques continues contre les établissements de recherche et les établissements de santé.

Par Zane
April 27, 2020
Malware
Français
April 27, 2020
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.