Chiffres

Général

Durant ce trimestre, nous avons constaté une légère baisse du nombre d’incidents d’environ 10 % par rapport au trimestre précédent. La période a aussi été marquée par une recrudescence des logiciels malveillants Emotet et Qakbot.

Phishing

La période a été marquée par les campagnes de phishing ciblant la récupération d’information de cartes bancaires en usurpant l’identité de POST. En effet, le prétexte utilisé est celui du « paiement de colis » en vue de subtiliser le numéro de carte à la victime, la date d’expiration et le code de sécurité. Ce mode opératoire représente près de la moitié des campagnes ce trimestre.

De plus, nous avons également observé des tentatives de récupération des moyens d’authentification à Luxtrust et au webmail des clients POST dont le nombre est resté stable sur la période. Les campagnes visant des identifiants Microsoft Office 365 ont connu une diminution de moitié par rapport au 1er trimestre 2022.

Quelques exemples ci-après permettent d’illustrer ces campagnes :

Les cybercriminels utilisent des outils permettant d’afficher une capture d’écran du site officiel de POST Luxembourg (https://www.post.lu/) en fond d’écran rendant l’illusion presque parfaite. Cette technique d’ingénierie sociale a pour effet de tromper la confiance des victimes en vue de les rendre plus enclins à fournir leurs identifiants.

Le nombre de phishing et leur proportion par rapport aux autres types d’incidents s’expliquent par leur succès à atteindre leur objectif comme la facilité de mise en œuvre ce type d’attaque. Qu’il s’agisse d’entreprise ou de particuliers, la meilleure défense contre ces phénomènes reste la sensibilisation à ce type de menace comme présenté sur ce bulletin météo de la cybersécurité.

Au cours de la période, nous avons pu obtenir un classement des hébergeurs préférés des acteurs malveillants sur la période Q2 2022 :

1. CloudFlare Inc. (=)
2. Host Europe GmbH (New)
3. Google LLC (-1)
4. Microsoft Corporation (-1)
5. OVH SAS (+3)
6. InMotion Hosting Inc. (New)
7. Amazon Data Services India (New)
8. Online S.A.S (New)
9. Dedibox Customer IP Range (-5)
10. Namecheap Inc. (-4)

DoS/DDoS

Le nombre d’attaques entre le premier trimestre et le second reste plutôt stable.

En matière de volume, le pic atteint est de 6,7GBps

Les techniques les plus fréquemment utilisées sont les suivantes :

• TCP connection flood
• UDP Malformed
• ACK Flood, FIN/RST Flood

Code malveillant

Comme indiqué en préambule de cette météo, les logiciels malveillants Emotet et Qakbot ont été identifiés parmi les tentatives d’attaque les plus répandues.

Le blocage par défaut des macros contenues dans les documents Microsoft Office a eu pour effet de permettre aux cybercriminels de s’adapter pour augmenter les chances de succès de leurs attaques. Ce qui a conduit à un changement de technique en vue de contourner cette contre-mesure.

En effet, la présence de fichiers de raccourcis (.lnk) en pièce jointe d’email contenant des commandes malveillantes en vue de télécharger et d’exécuter des librairies dynamiques (.dll), cela permettait aux attaquants d’exploiter l’ordinateur de la victime. Les commandes malveillantes combinent un mélange de lignes de commandes Windows classique et Powershell. Les librairies dynamiques téléchargées sont des charges mutantes d’Emotet ou de Qakbot.

Pour résumé, au cas où la victime clique sur le raccourci en pièce jointe (.lnk), l’acteur malveillant prend un pied sur le système d’information en vue d’atteindre ses objectifs (vol de données, destruction, rançongiciel).

Nous suivons ces techniques de très près en vue de surveiller leur tendance. En attendant, nous vous recommandons une vigilance sur ce type de menace potentiellement dangereuse pour la sécurité de vos systèmes d’information.

Vulnerabilités

Au cours de la période, plusieurs systèmes exposés sur Internet sont restés vulnérables à une exploitation de Log4shell (CVE-2021-44228) ou Microsoft Exchange Server HAFNIUM CVE-2021-26427 (critique).

Bien que ces vulnérabilités aient été divulguées il y a plusieurs mois, ces faiblesses nous rappellent que l’ensemble des correctifs doivent être appliqués pour réduire les risques d’exploitation des systèmes avant d’être exposés sur Internet.

La période a été marquée par la présence d’une vulnérabilité critique découverte et activement exploitée dans la nature sur le produit Confluence Server (CVE-2022-26134). En cas d’exploitation, un acteur malveillant non authentifié peut exécuter du code arbitraire à distance. Cette vulnérabilité présente un risque important pour la sécurité des organisations en raison de son exploitation active dans la nature et du faible coût d’exploitation pour les acteurs malveillants.

Fraudes téléphoniques

Une tendance s’est dégagée parmi les acteurs malveillants ayant infecté des systèmes d’information en lien avec des serveurs téléphoniques.

En effet, en cas de présence d’identifiants téléphoniques permettant d’accéder à des serveurs de téléphonie de type PBX sur des machines infectées, les cybercriminels peuvent abuser de la présence de ces accès pour perpétrer des fraudes téléphoniques.

D’où la nécessité de bien protéger vos identifiants sur vos différents systèmes d’information en vue d’assurer leur protection. Nos experts CyberForce sont à votre disposition pour vous aider à lutter contre ce phénomène à travers leurs conseils et leurs solutions.