Comment les hackers se sont emparés du coronavirus ?

Le monde est actuellement en proie à une crise sanitaire et économique due à la propagation rapide du covid-19 ou Coronavirus. Cette atmosphère profite bien aux pirates informatiques qui laissent libre cours à leur imagination. Ils usent du coronavirus en tant qu’appât pour infecter plusieurs terminaux. Alors, en plus de cette crise sanitaire, le monde doit faire face à une autre attaque : celle des logiciels malveillants. Une menance d'autant plus réelle alors que le le confinement est de mise en France et en Europe et la majorité des gens n'ont rien d'autre à faire que de surfer sur internet... Voici quelques informations à propos sur la cybercriminalité liée au coronavirus vous aider à comprendre les risques et à vous protégrer de cet autre type de virus !

Les attaques cybercriminelles se multiplient dans ce contexte de pandiémie

Alors que la lutte contre le covid-19 est de plus en plus acharnée, des pirates informatiques ont su prendre le virus pour allié. C’est en tout cas ce qu’on peut comprendre des affirmations d’experts en cybercriminalité qui estiment que le nombre d’attaques informatiques a augmenté au cours de ces dernières semaines. En effet, de nombreuses attaques ont été identifiées, et la majorité utilisaient le covid-19 comme appât. Selon FireEye, société de sécurité informatique américaine, plusieurs hackers ont partagé récemment, des fichiers malveillants, en se servant de la grande mobilisation autour du coronavirus. Ces actes ont été commis à des fins criminelles et d'espionnage.

Qui sont les hackers qui surfent sur la vague du coronavirus ?

Les analyses effectuées par les experts en cybercriminalité sur les différentes attaques révèlent qu'elles sont principalement menées par des groupes ressortissants de Chine, de Russie et de Corée du Nord.

Le groupe chinois TEMP.Hex, entre fin février et début mars, aurait, par exploitation du thème de coronavirus, déployé les malwares (logiciels informatiques à but malveillant) SOGU et COBALTSTRIKE. Ils visaient principalement des cibles résidant au Vietnam, aux Philippines et à Taïwan. La Mongolie sera aussi la cible d’un cluster chinois qui utilise un backdoor (porte dérobée) du nom de Poisonivy. Ce document censé renseigner sur l’évolution officielle des infectés aura finalement servi à une collecte d’information sur ce pays.

Le groupe russe TEMP.Armageddon, ayant lancé des campagnes de « spear phishing », lui, par contre, avait des cibles ukrainiennes. Ces groupes ont tous les deux utilisé des documents légitimes relatifs au coronavirus en guise de leurre. Une autre attaque dont la cible est une ONG coréenne est toujours en cours d’analyse. Pour le moment, les experts pensent qu'il s’agit d’une attaque de « spear phishing » dont le leurre en langue coréenne porte le titre de « Correspondance Corona » Cette attaque présente beaucoup de similitude avec les deux précédentes.

À l’instar de FireEye, La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI), une organisation suisse, a elle aussi détecté plusieurs attaques. Les cybercriminels tenteraient d’infecter les ordinateurs des internautes grâce au maliciel AgentTesla.

L'objectif des cyberattaques et virus informatique liées au covid-19

Les différentes attaques informatiques liées à la pandémie du covid-19 sont à des fins criminelles ou d’espionnage comme celles citées plus tôt. De nombreuses autres attaques à motivations financières ont aussi eu lieu. Le stratagème reste le même : utiliser des documents légitimes traitant de coronavirus pour leurrer les victimes.

Un des acteurs identifiés de ces différentes attaques est TEMP.Warlock. Leurs objectifs sont le vol d’identifiant et la propagation de nombreux logiciels malveillants notamment Trickbot. Il est évident qu’il existe des cas non identifiés à ce jour et dont les cibles ne sont pas connues. En résumé, ces cybercriminels cherchent à extorquer des ressources financières aux victimes, et à collecter des informations personnelles et confidentielles.

Ces différentes actions malveillantes ne cessent d’augmenter depuis le mois d’avril et la société FireEye estime que ce nombre connaîtra une évolution durant les prochaines semaines et les prochains mois.