Environ 13 % de tous les e-mails de phishing du premier trimestre 2020 étaient liés au covid-19,
Dont 44 % visaient des individus et 20 % des agences gouvernementales, selon un rapport

Au cours du premier trimestre de cette année, plusieurs attaques contre les individus et les organisations se sont servies du covid-19. Les attaques de phishing ont augmenté de 22,5 % par rapport au dernier trimestre 2019, et 13 % de toutes ces attaques étaient liés à la crise sanitaire. C'est ce qui ressort d'un nouveau rapport de sécurité publié ce jeudi par Positive Technologies, un fournisseur mondial de solutions de sécurité d'entreprise. Au cours de la même période, les ransomwares ont été utilisés dans plus d'un tiers (34%) de toutes les attaques de logiciels malveillants contre les organisations. Selon le rapport, les exploitants de ces logiciels ont créé leurs propres sites Web où ils publient les données volées si les victimes refusent de payer la rançon.

« Les pirates informatiques ont rapidement utilisé les préoccupations courantes concernant le coronavirus comme appâts dans les e-mails de phishing », explique Yana Avezova, analyste de Positive Technologies. « On estime que 13 % de tous les e-mails de phishing du premier trimestre 2020 étaient liés au covid-19. Parmi ceux-ci, environ la moitié (44 %) visaient des particuliers. Un courriel sur cinq était envoyé à des agences gouvernementales ».

Dans son rapport "Cybersecurity Threatscape Q1 2020", Positive Technologies partage des informations sur les menaces les plus importantes et les plus émergentes en matière de sécurité informatique. Les informations sont tirées de ses propres résultats d’enquêtes et des données provenant d’autres sources. Ces résultats montrent que le nombre d'attaques par phishing au cours du 1T2020 a augmenté de 22,5 % par rapport au quatrième trimestre 2019. Au cours de cette période, il y avait 23 groupes APT très actifs dont les attaques visaient principalement les agences gouvernementales, l'industrie, les finances et les institutions médicales.



Les résultats montrent également que plus d'un tiers (34%) de toutes les attaques de logiciels malveillants sur les organisations étaient des attaques utilisant des ransomwares. Les chercheurs de Positive Technologies ont noté que les opérateurs de ces logiciels ont créé leurs propres sites Web où ils publient les données volées dans le cas où les victimes refusent de payer la rançon. Les opérateurs de Maze, Sodinokibi, Nemty, DoppelPaymer, Nefilim, CLOP et Sekhmet ont déjà leurs sites, selon le rapport.

« Les opérateurs de Sodinokibi cherchent à exercer une nouvelle influence sur les organisations compromises. Les pirates informatiques prévoient de notifier la bourse sur les attaques contre les grandes entreprises si ces dernières refusent de payer la rançon. Les attaquants pensent que la possibilité que le cours des actions de la victime baisse pourrait être une raison supplémentaire de payer la rançon », lit-on dans le rapport.

Les chercheurs en sécurité ont également constaté qu'une attaque avec demande de rançon sur dix visait des organisations industrielles. Le rapport rappelle qu’au début de l'année, de nombreux experts en cybersécurité ont constaté un niveau d'activité élevé lié à un nouveau ransomware appelé Snake, capable d'arrêter les processus liés au fonctionnement des systèmes de contrôle industriel et de supprimer les copies de sauvegarde (shadow copies).

Catégories de victimes des ransomwares parmi les organisations


Cyberattaques liées au covid-19 au 1T2020

Le pourcentage d'attaques de logiciels malveillants (81 % contre 66 %) et d'attaques d'ingénierie sociale (79 % contre 66 %) contre des organismes gouvernementaux a augmenté de manière significative par rapport au quatrième trimestre 2019. Selon les experts de Positive Technologies, cela pourrait être dû à la pandémie - de nombreux attaquants ont envoyé des courriels aux agences gouvernementales de divers pays avec une pièce jointe malveillante liée à la crise du coronavirus.

Selon le rapport, au premier trimestre, les chevaux de Troie Emotet, Remcos, AZORult, Agent Tesla, LokiBot, TrickBot et de nombreux autres ont été distribués sous le couvert d'informations officielles sur les statistiques d'infection, un vaccin et des mesures de prévention, provenant prétendument des autorités gouvernementales et des institutions médicales. Des groupes comme TA505, Hades, Mustang Panda, APT36, SongXY et South Korean Higaisa ont également envoyé des courriels contenant des pièces jointes malveillantes liées à la pandémie.

Catégories de victimes de courriels de phishing liés au covid-19


« Les experts ont constaté une augmentation des e-mails de phishing covid-19 à partir de la seconde moitié de janvier », explique Alexey Novikov, directeur du centre de sécurité PT ESC. « La situation de pandémie a été utilisée à la fois pour des campagnes de masse de logiciels malveillants et des attaques APT », a-t-il ajouté.

En février, le PT ESC a détecté une attaque du groupe TA428. En guise de leurre, le groupe a envoyé un document contenant des statistiques sur les infections par coronavirus. Selon les experts du fournisseur de solutions de sécurité, en janvier, ce groupe a utilisé la détérioration des relations entre les États-Unis et l'Iran comme sujet de ses courriels. Les documents malveillants du groupe ont livré un chargeur avec un code shell Poison IVY chiffré à l'ordinateur de la victime.


Attaque contre des industries spécifiques

Selon le rapport, les plus grandes menaces contre les entreprises industrielles sont les logiciels espions et les ransomwares. Ils ont constitué respectivement 42 % et 28 % de toutes les attaques de logiciels malveillants contre l'industrie au premier trimestre 2020. Les experts ont observé des attaques contre l'industrie avec le rançongiciel Maze, Sodinokibi, Ryuk et DoppelPaymer.

En ce qui concerne le secteur de santé, le nombre d'attaques a aussi considérablement augmenté par rapport au 4T1209, selon le rapport. En effet, les cybercriminels s'intéressaient de plus en plus aux établissements de santé actuellement en première ligne pour faire face à la pandémie de coronavirus. « Avec le stress et la lourde charge de travail du personnel médical, nous constatons des attaques plus réussies, car les agents de santé ne sont peut-être pas aussi attentifs au flux d'e-mails qu'ils reçoivent maintenant », lit-on.

Nombre d'attaques contre les soins de santé


Les agences gouvernementales n’ont pas été épargnées au premier trimestre. Les chercheurs en sécurité ont détecté deux campagnes d’attaques du groupe Higaisa contre des agences gouvernementales, des missions diplomatiques et des organisations promouvant les droits de l'homme en Chine, en Corée du Nord, au Japon, au Népal, à Singapour, en Russie et dans d'autres pays. Les deux campagnes ont commencé avec des e-mails de phishing.

Par ailleurs, les experts de Positive Technologies ont noté que le risque d'infection par des logiciels malveillants augmente et que les criminels utilisent de plus en plus souvent plusieurs types de logiciels malveillants - ils utilisent des chevaux de Troie multifonctionnels ou injectent aux appareils compromis tout un assortiment de logiciels malveillants. Selon un rapport d’enquête de Check Point Software Technologies publié en mars, 75 % des personnes interrogées craignent une augmentation des cyberattaques et abus au sortir du confinement.

Selon le rapport, pour éviter que les ordinateurs des employés ne soient infectés par de tels logiciels malveillants, Positive Technologies recommande de vérifier les pièces jointes des courriels pour détecter les activités malveillantes à l'aide de sandboxes.

Source : Rapport de Positive Technologies

Et vous ?

Que pensez-vous des conclusions de ce rapport ? Correspondent-elles à vos observations au premier trimestre 2020  ?
Pensez-vous que les attaques de phishing vont continuer à croître même après le confinement ?

Voir aussi :

Les priorités des organisations en matière de cybersécurité au sortir des confinements changent, 75 % craignent une augmentation des cyberattaques et abus d'après une enquête de Check Point
Plus de 80 % des cyberattaques sont désormais en lien avec le Covid-19, selon Proofpoint
Les deux tiers des logiciels malveillants sont invisibles sans inspection HTTPS, et 72 % des malwares chiffrés ont été classés comme "zero day", selon un nouveau rapport de WatchGuard
Les incidents liés aux logiciels malveillants ont diminué de 23 % en 2019, malgré l'augmentation du nombre total de cyberattaques, selon un nouveau rapport