DIGITAL SOLUTIONS
La météo de la cybersécurité – 3ème trimestre 2020
Le nombre d’incidents de sécurité a connu une légère baisse au cours du 3ème trimestre.
November 11, 2020
Bien que le déconfinement se soit opéré au cours du trimestre au Luxembourg et dans le reste de l’Europe, le nombre d’incidents reste relativement élevé par rapport aux mois de janvier et février de la même année.
Phishing
Les campagnes de phishing sont toujours la première cause d’incidents malgré une légère baisse au cours du trimestre.
La récupération de comptes utilisant des codes OTPs pour du paiement ou de comptes de connexion à des espaces personnels (Webmail, compte client, etc…) restent la première motivation dans la réalisation de phishing.
Parmi les nouvelles techniques, l’utilisation de formulaires publics ainsi que l’utilisation de blogs comme supports de phishing ont été constatés.
De plus, en utilisant systématiquement la redirection d’un lien original, les cybers attaquants peuvent faire une rotation rapide entre plusieurs sites pour éviter de bloquer la première URL rendant ainsi une ancienne campagne toujours active.
D’autres techniques consistent à effectuer un filtrage basé sur l’adresse IP . Ce qui permet au contenu de phishing de n’apparaitre que dans le pays cible et non en dehors. Cette technique a pour effet de rendre la demande de suppression du contenu de phishing difficilement justifiable auprès de l’hébergeur.
Des techniques connues demeurent telles que l’utilisation des diffuseurs de contenus, ajoutant une étape supplémentaire aux équipes de réponse à incident pour déterminer la source de l’hébergeur.
Nous avons relevé le top 10 des hébergeurs (ou diffuseurs de contenus) utilisés par les cybers attaquants pour perpétrer des campagnes de phishing :
1 – Google LLC
2 – Unified Layer
3 – CloudFlare Inc.
4 – Amazon Technologies Inc.
5 – WebsiteWelcome.com / Hostgator
6 – DigitalOcean LLC
7 – InMotion Hosting Inc.
8 – OVH SAS
9 – Bitly Inc
10 – SingleHop LLC
Enfin, nous avons constaté l’utilisation de kits de phishing utilisant des logos issus de site web sources nous rappelant la nécessité de protéger les contenus dans les sites web originaux.
La multiplication du nombre de campagnes permet d’identifier plus précisément les schémas et techniques utilisés pour améliorer les moyens de remédiation et prendre encore plus de mesures de prévention. Face aux vagues ayant eu lieu pendant le COVID-19, le CSIRT POST CyberForce a pu ajouter à son arsenal anti-phishing, l’automatisation des mesures de réponses pour réagir encore plus rapidement et plus efficacement.
Sabotage
Un cas de sabotage a été recensé, particulièrement impactant pour une organisation du pays. Ces incidents rappellent la réalité de la menace intérieure pour les organisations, menace qui doit être considérée au même titre que la menace extérieure. Pour répondre à ce type d’incident, il faut disposer de backups fiables et non connectés, s’assurer de l’intégrité des données mais surtout disposer des capacités de réponse suffisantes par l’intermédiaire de ses propres ressources ou en faisant appel à des professionnels d’ordre public et/ou privé.
DoS /DDoS
De nouvelles techniques ont été remarquées dont une particulièrement tenace en raison de son caractère intermittent. Cette technique consistait à lancer des attaques DDoS par intermittence d’intensité obligeant à activer des lignes de défense supplémentaires pour en venir à bout.
Nous avons relevé également l’utilisation d’objets compromis pour perpétrer ces attaques.
Les victimes de ce type d’incidents ne disposaient pas de défense adéquate.
Fort heureusement, des moyens existent pour parer à ces incidents et à ces nouvelles techniques. Nous recommandons aux organisations ciblées de se doter de ces moyens pour s’en prémunir.
Intrusions
En matière d’intrusion, une compromission d’application a été relevée au cours du trimestre nous informant sur les techniques utilisées et les buts recherchés. Dans le cas présent, il s’agit d’intrusions par attaque via dictionnaire en ayant recours à un “robogiciel” ou “bot”.
Selon nos observations, ces compromissions visent à exploiter des serveurs pour perpétrer de nouvelles attaques ou en vue d’installer des logiciels de minage de cryptomonnaie malveillants (cryptomining). Ce qui revient à utiliser des infrastructures à des fins pécuniaires à l’insu de ses propriétaires.
Un SOC permet de se prémunir de ce type d’attaques en détectant les intrusions à travers la surveillance permanente du système d’informations et des alertes.
Mascarade – Usurpation de marques
L’usurpation de marques a connu plusieurs vagues au cours des mois de juillet et septembre. L’objectif est de diffuser de faux contenus publicitaires sur les réseaux sociaux à des fins de phishing. Aucune nouvelle technique n’a été détectée, le procédé reste semblable à ce qui a déjà été constaté par le CSIRT POST CyberForce. La demande de suppression auprès des réseaux sociaux et les mesures de “Threat Hunting” restent des défenses efficaces contre ce type de menace.
Vulnérabilités
Parmi les vulnérabilités les plus notables au cours du trimestre, les CVE-2020-1350 ( Source: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350) et CVE-2020-1472 ont été particulièrement critiques avec un score CVSS de 10.0 rendant possible le contrôle total du domaine d’une organisation. Des mesures de Threat Hunting ont confirmé la présence de la vulnérabilité quelques jours après sa publication au sein de la place luxembourgeoise. La nécessité de communiquer rapidement et pro activement aux organisations leur vulnérabilité et la mise en place de correctifs d’urgence reste la meilleure défense pour protéger ces organisations.
Le CSIRT POST CyberForce veille à ce que ces vulnérabilités critiques soient communiquées aux organisations concernées.
Wangiri – Ping call
Quelques campagnes Wangiri ont été observées au cours du trimestre. Les techniques restent les mêmes et les fraudeurs utilisent toujours plusieurs numéros pour multiplier leurs cibles et donc augmenter leurs chances de réussite.
Ces techniques restent toutefois vaines quant aux capacités de défense des opérateurs face à ce type d’incident.
Mascarade – Fraude au Président
Aucune fraude au président n’a été constatée au cours du 3ème trimestre 2020.