Note d’information SSI

Depuis quelques jours, de nombreuses alertes remontent sur des attaques informatiques en lien avec l’actualité COVID-19 / Coronavirus. Il convient d’être très attentif aux tentatives d’hameçonnage (ou phishing en anglais) qui se sont multipliées ces derniers jours. Exemples d’attaques signalées en cours :

  • des messages invitant à se connecter sur des espaces partagés en ligne frauduleux, glissés au milieu du foisonnement d’espaces partagés légitimes montés en urgence ;
  • des e-mails malveillants semblant venir du Ministère de la Santé et autres autorités ;
  • des e-mails malveillants usurpant l’identité des gestionnaires de tickets ;
  • des fausses demandes RH liées à l’organisation du travail à domicile ;
  • des applications et sites malveillants supposés donner des renseignements sur la crise :
    • exemple du logiciel malveillant « Corona-virus-Map.com.exe » qui a été bien diffusé ces derniers jours ;
    • d’autres exemples sont disponibles dans l’étude de Krebonsecurity.
  • de faux appels téléphoniques auprès des supports fonctionnels et techniques.

Thalès indique dans son rapport du 24 mars que plusieurs rançongiciels sont de retour en utilisant le COVID-19 comme leurre (Azorult, SpyNote RAT, Formbook, BlackWater ou encore Cerberus). Thalès indique également que des applications Android vérolées ont été diffusées :

  • CovidLock : application mobile de suivi du coronavirus qui contient un rançongiciel ;
  • Version reconditionnée du cheval de Troie bancaire Cerberus Android ;
  • Covid Android Ransomware (qui peut être déverrouillé avec le code « 4865083501 »).

Il conviendra donc d’être encore plus vigilant qu’habituellement. Le portail Cyberveille-Santé a rappelé ces derniers jours “qu’il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes”. Il est primordial que vos utilisateurs finaux soient sensibilisés à ces dangers, sans quoi le risque lié aux rançongiciels va exploser.

La pratique du télétravail ayant explosé ces deux dernières semaines, il est aussi très important de suivre les bonnes pratiques en la matière. Le CERT-FR a d’ailleurs publié, le 18 mars, un ensemble de recommandations liées à l’organisation du télétravail. À destination des utilisateurs, les bonnes pratiques du télétravail en situation de crise, diffusées le 23 mars par le portail Cybermalveillance.fr, sont également très intéressantes. Et naturellement, les recommandations de l’ANSSI sur le sujet sont toujours d’actualité.

Une autre information concerne Microsoft, qui a communiqué le 23 mars sur deux failles 0-day touchant de nombreuses versions de Windows et dont les corrections seront disponibles courant avril. CERT-FR donne la marche à suivre afin de contourner la vulnérabilité en attendant la mise à jour. À noter que Microsoft estime que le risque est négligeable pour les postes équipés de Windows 10. Le contournement est donc seulement nécessaire pour les versions antérieures.

Parce qu’il n’y pas que des mauvaises nouvelles, il est important de signaler que nous pouvons compter sur nos industriels de la cybersécurité pour soutenir les établissements de santé pendant cette crise. En effet, nombreux d’entre eux ont communiqué ces derniers jours en proposant d’offrir leurs services pour une durée limitée. Ainsi, pendant cette crise, vous avez possibilité de déployer et tester différentes solutions pouvant vous aider à lutter contre ces menaces :

  • des services d’EDR (Endpoint Detection and Response) managés afin de détecter rapidement les attaques ;
  • une solution de sauvegarde postes fixes et nomades ;
  • des solutions de surveillance des plateformes cloud ;
  • un logiciel d’analyse de risques basé sur EBIOS RM.

N’hésitez pas à vous rapprocher de nous si vous souhaitez obtenir des informations complémentaires sur ces différentes solutions.

Et enfin, l’ANAP a également mis en place un dispositif exceptionnel d’entraide permettant de solliciter des experts pour vous aider sur certaines problématiques liées à la crise actuelle (Gestion de crise, télétravail, continuité d’activité, organisation DSI…).

Nous nous tenons à votre disposition et vous remercions pour votre vigilance.

Compléments d’information de la part des RSSI d’établissements de santé de la région PACA

En complément, la cellule cyberveille a publié la liste des 5000 domaines récemment enregistrés avec le mot covid : https://1984.sh/covid19-domains-feed.txt

Notre FSSI ministériel conseille :

  • d’identifier les domaines qui vous sont nécessaires ou qui vous semblent pertinents ;
  • de bloquer les autres domaines dans vos éléments de sécurité (proxy, anti-spam, pare-feu, etc.) ;
  • de n’ouvrir les domaines bloqués qu’à la demande.

Entre temps, un travail d’affinage a été réalisé par un RSSI santé pour identifier les plus malveillants.

Il ressort que 50 sites sont tagués comme nuisibles : consulter la liste.