Le nombre d’incidents survenus en ce premier trimestre 2022 est en augmentation de 37% par rapport au trimestre précédent. Les attaques par phishing restent toujours le moyen d’accès initial privilégié par les attaquants. Un retour d’Emotet marquant courant février confirme une reprise des activités de ce malware pourtant démantelé en 2021.

Phishing

La période a été marquée par un incident survenu durant le mois de mars pendant lequel, plusieurs personnes furent la cible de phishing usurpant l’identité du service « eboo ». L’originalité de cette campagne repose sur sa diffusion se faisant exclusivement par SMS (cf. image ci-dessous). Par ce moyen, l’utilisation de raccourcisseurs de lien (tel que : cutt.ly, bit.ly …) reste encore très répandue pour délivrer du phishing. Ces raccourcisseurs permettent à la fois, de rendre les SMS envoyés plus courts mais aussi de rediriger les victimes vers d’autres liens bien plus douteux.

L’objectif des acteurs malveillants était de subtiliser les moyens d’authentification des victimes, en usurpant la page originale du « service ». L’accès à ces comptes permet aux acteurs malveillants de perpétrer une fraude à l’insu des victimes.

Les campagnes de phishing visant à récupérer les coordonnées bancaires des victimes restent soutenues. La motivation financière et la volonté de retour sur investissement rapide sont les raisons de ces attaques.

Nous avons également pu être témoins de l’utilisation de la marque « POST » pour tenter de récupérer des identifiants de carte bancaire en prétextant la réception d’un colis nécessitant un paiement supplémentaire.

Enfin, lorsque les victimes sont des entreprises, les acteurs malveillants ont pu faire preuve d’ingéniosité pour subtiliser des identifiants de comptes. En effet, les pages d’authentification Microsoft Office365 et Outlook ont été usurpées en vue de récupérer les identifiants des utilisateurs professionnels qu’il s’agisse d’accès au Webmail de l’entreprise ou de comptes Active Directory. Ces campagnes ont principalement lieu afin d’obtenir un accès initial à l’entreprise victime en vue d’atteindre un objectif souhaité (vol de données, de documents confidentiels, fraude, réutilisation de ressources, etc…).

Au cours de la période, nous avons pu obtenir un classement des hébergeurs préférés des acteurs malveillants sur la période Q1 2022 :

1. CloudFlare Inc. (+3)

2. Google LLC (-1)

3. Microsoft Corporation (+4)

4. Dedibox Customer IP Range (New)

5. Amazon Technologies Inc. (=)

6. Namecheap Inc. (-4)

7. DigitalOcean LLC (New)

8. OVH SAS (=)

9. Domain Names Registrar Reg.ru Ltd (New)

10. Bitly Inc (-7)

Spam

Nous avons pu observer des campagnes de spam visant des numéros de mobile luxembourgeois avec la particularité de l’utilisation du service iMessage (Apple) pour propager ces contenus indésirables. La diffusion de ces messages contourne donc les réseaux mobiles classiques. Ces messages promettaient une rémunération si la victime rappelait un numéro étranger. Il s’agit d’un cas classique d’une tentative de fraude téléphonique apparenté au Wangiri sans pour autant utiliser un premier appel pour susciter la curiosité des victimes potentielles.

Malware

Emotet

Après le démantèlement et la saisie de serveurs de commande d’Emotet au cours de l’année 2021, nous avons été témoins d’une réapparition de ce code malveillant au premier trimestre 2022 au Luxembourg.

Ce code malveillant est parfois utilisé comme chargeur de logiciels malveillants pour le compte d’autres cybercriminels. Il a la capacité de modifier sa signature rendant sa détection plus complexe.

Nous avons observé que ce logiciel malveillant est envoyé en pièce jointe depuis une adresse email légitime usurpé par l’attaquant. L’adresse email peut, par exemple, provenir d’un carnet d’adresses dérobé sur une machine appartenant à une tierce personne ayant fait l’objet d’une précédente attaque.

Dans le but d’accroître sa crédibilité, les acteurs malveillants ajoutent un échange d’email au fil de discussion. Ce procédé laisse penser à la victime qu’elle a eu un échange avec un interlocuteur légitime.

De plus, de manière à contourner les antivirus, le code malveillant est compressé et protégé par mot de passe.

Le fichier malveillant est présenté comme étant un antivirus, c’est le moyen choisi par l’attaquant afin de diminuer la vigilance de la cible.

Au moment de son exécution, par désactivation des mécanismes de protection sur le logiciel Microsoft Excel, des scripts sont déployés et un contrôle de la machine est effectué par des acteurs malveillants.

Au cas où vous seriez dans cette situation, nous vous conseillons de contacter vos référents en cybersécurité. POST CyberForce peut vous aider à faire face à ce genre de situation.

DoS/DDoS

Le nombre d’attaques reste stable en ce début d’année. Cependant, le volume des attaques a diminué, atteignant les 1,1GBps.

Les techniques utilisées sont :

- Global UDP Fragment Abnormal

- ACK Flood

Masquerade

Au cours de la période, nous avons pu être témoins de l’utilisation du réseau social Facebook pour publier de fausses pages POST Luxembourg.

Ces pages contenaient des liens redirigeant vers une page web demandant d’entrer son numéro de mobile afin d’accéder à des compétitions du type Esport. Ces pages n’avaient aucun lien avec POST Esports Masters. Il s’agit encore une fois d’arnaques en vue de s’abonner à des services SMS premium à l’insu des victimes potentielles.

Vulnerabilités

Log4j

Divulguée en décembre 2021, la vulnérabilité Log4j continue à faire l’objet de tentatives d’exploitation en ce début d’année. En effet, elle demeure la vulnérabilité la plus critique de ces dernières années par l’étendue de la surface d’attaque et sa facilité d’exploitation.

Nous avons observé une forte activité de scan en ce début d’année. Malgré les avertissements concernant les mesures à prendre face à cette vulnérabilité, nous avons constaté que des serveurs demeuraient vulnérables. Si ce n’est pas déjà fait, nous vous conseillons vivement de prendre les mesures nécessaires afin de vous protéger contre cette vulnérabilité (Lien vers le site du CIRCL concernant cette vulnérabilité).

Microsoft Exchange Server

En ce début d’année 2022, des serveurs de messagerie disposant de l’application « Microsoft Exchange Server » exposés sur internet demeuraient vulnérables en raison d’un manque d’application des correctifs. En effet, ces derniers n’étaient pas appliqués en ce début d’année 2022. De plus, la criticité associée à ces vulnérabilités est particulièrement élevée. Ces serveurs pouvaient ainsi être vulnérable à l’escalade de privilège ou à de l’exécution de code à distance.

Voici une liste des vulnérabilités susceptible de faire l’objet d’une exploitation par un acteur malveillant :

- CVE-2021-26427 (Critique)

- CVE-2021-42321

- CVE-2021-41348

- CVE-2021-31196

- CVE-2021-31206

- CVE-2021-33768

- CVE-2021-31195

- CVE-2021-31198

- CVE-2021-31207

- CVE-2021-31209

Nous vous recommandons fortement d’appliquer les correctifs nécessaires à la protection de vos serveurs et donc de vos actifs informationnels que constituent les emails.

Intrusions

Nous avons pu être témoins de plusieurs tentatives d’intrusions au cours de la période par des techniques du type « Credential Stuffing ». La menace est plus vive que jamais en ce qui concerne ce procédé utilisant un dictionnaire d’identifiants ayant fuité au cours de précédentes attaques. Ces acteurs malveillants exploitent les faiblesses potentielles d’utilisateurs utilisant les mêmes identifiants sur plusieurs services.

Afin d’éviter d’être confronté à ce genre de situation. Voici quelques conseils :

- Utiliser des mots de passe différents pour chaque compte personnel et professionnel.

- Éviter aussi d’utiliser dans le mot de passe des informations que l’on peut facilement trouver vous concernant sur internet (réseaux sociaux, blog …).

- Le mot de passe doit contenir au minimum 12 caractères mélangeant des majuscules, des minuscules, des chiffres et des caractères spéciaux. Vous pouvez aussi utiliser une phrase secrète.

- Vous devez être la seule personne à connaître le mot de passe. Ne garder jamais un mot de passe par défaut.

- Activer la double authentification si vous avez la possibilité.

- Enfin n’hésitez pas à changer de mot de passe au moindre soupçon.

Ces précautions protègent vos accès. Il est crucial de les appliquer. Réutiliser le même mot de passe sur plusieurs sites et utiliser des mots de passe trop simples augmentent les risques de compromettre vos accès.

Source : ICT Experts Luxembourg