A Brief History of COVID-19 Related Attacks, Pt. 1

Pendant que le monde jongle entre les quarantaines volontaires, les isolements obligatoires, la distanciation sociale et les décrets de confinement, les cybercriminels s’activent à créer des logiciels malveillants et autres cyberattaques qui exploitent la peur liée à la nouvelle épidémie de coronavirus (COVID-19).

« Plus que jamais, les gens doivent être fortement sensibilisés aux interactions qu’ils ont en ligne, particulièrement avec les liens et les mails qu’ils ouvrent », a déclaré au Sun Terry Greer-King, vice-président de SonicWall. « Les cybercriminels font de leur mieux pour profiter des moments difficiles en incitant les utilisateurs à ouvrir des fichiers dangereux par l’intermédiaire de ce qu’ils considèrent comme des sources fiables. »

Alors que les chercheurs spécialistes en menaces des Capture Labs de SonicWall examinent et analysent en permanence toutes les menaces, l’équipe a signalé les principales cyberattaques qui exploitent le coronavirus et la COVID-19 pour tirer parti du comportement humain.

Fichier d’archive malveillant : 5 février 2020

Début février, les Capture Labs de SonicWall ont utilisé l’outil d’inspection approfondie de la mémoire en temps réel de SonicWall, Real-Time Deep Memory Inspection (RTDMITM) en instance de brevet pour détecter un fichier d’archive contenant un fichier exécutable intitulé CoronaVirus_Safety_Measures.exe. L’archive est envoyée sur la machine de la victime sous la forme d’une pièce jointe dans un e-mail.

Après avoir analysé le fichier exécutable, SonicWall a découvert que le fichier faisait partie de la famille GOZ InfoStealer, détectée pour la première fois par SonicWall RTDMI™ en novembre 2019.

GOZ InfoStealer est connu pour dérober les données de l’utilisateur dans les applications installées, ainsi que les informations du système de la victime, qui sont ensuite envoyées à l’auteur de la menace en utilisant le protocole SMTP (Simple Mail Transfer Protocol).

L’auteur du logiciel malveillant met continuellement à jour le code malveillant et modifie sa chaîne de contamination. Les détails de cette analyse sont disponibles dans l’alerte SonicAlert suivante : « Threat Actors Are Misusing Coronavirus Scare To Spread Malicious Executable. » (Les créateurs de logiciels malveillants exploitent la peur du coronavirus pour propager leurs créations malveillantes)

Cheval de Troie d’accès à distance Android sur le thème du coronavirus : 26 février 2020

Les Capture Labs de SonicWall ont observé une tactique d’intimidation liée au coronavirus, utilisée dans l’écosystème Android sous la forme d’un cheval de Troie d’accès à distance, et qui est en fait un apk Android qui porte simplement le nom « coronavirus ».

Après l’installation et l’exécution, cet échantillon demande à la victime d’entrer à nouveau le code secret ou le motif sur l’appareil, et le dérobe tout en demandant à plusieurs reprises un accès aux capacités « d’accessibilité ».

En consultant la structure du code (ci-dessous), il devient évident qu’une certaine forme de compression/codage est utilisée dans cet échantillon. Les noms de classe semblent aléatoires, mais ont une structure en soi ; la plupart des noms de classe sont de longueur similaire et également aléatoires.

Lors de l’inspection des fichiers Manifest.xml, la plupart des activités listées ne sont pas disponibles dans le code décompilé. Cela indique que les fichiers de classe « réels » seront déchiffrés pendant l’exécution. C’est un mécanisme qui rend l’analyse du code et le verdict difficiles pour les outils automatisés.

Les détails de cette analyse sont disponibles dans l’alerte SonicAlert suivante : « Coronavirus-themed Android RAT on the Prowl. » (Un cheval de Troie d’accès à distance Android sur le thème du coronavirus rôde)

Les Capture Labs de SonicWall fournissent une protection contre ces menaces avec les signatures suivantes :

  • AndroidOS.Spyware.RT (cheval de Troie)
  • AndroidOS.Spyware.DE (cheval de Troie)

Scareware lié à la COVID-19 : 13 mars 2020

Les chercheurs spécialistes en menaces des Capture Labs de SonicWall ont observé un logiciel malveillant tirant parti des craintes liées au coronavirus (COVID-19), également connu sous le nom de « scareware ». L’échantillon prétend être un ransomware en affichant une demande de rançon (illustrée ci-dessous). En réalité, il ne chiffre aucun fichier.

Pour effrayer la victime, plusieurs messages d’avertissement de sécurité s’affichent :

En fin de compte, le malware est bénin et espère que la peur et le comportement humain forcent les victimes à payer la rançon. Les détails de cette analyse sont disponibles dans l’alerte SonicAlert suivante : « COVID-19 Hoax Scareware. » (Scareware lié à la COVID-19)

Les Capture Labs de SonicWall fournissent une protection contre cette menace grâce à la signature suivante :

  • GAV: Scareware.CoVid_A (cheval de Troie)

Une « campagne marketing » malveillante propage le cheval de Troie d’accès à distance Android : 14 mars 2020

Les chercheurs spécialistes en menaces des Capture Labs de SonicWall ont découvert et analysé des sites Web de campagne malveillants qui servent actuellement (au moment de la publication de cet article) de chevaux de Troie d’accès à distance Android appartenant à la même famille découverte en février 2020 (voir ci-dessous).

Les cyberattaquants créent des sites Web qui diffusent de la désinformation sur le coronavirus (COVID-19), prétendant fournir des conseils pour « se débarrasser » du nouveau virus. Au lieu de cela, les sites attirent de nouvelles victimes via des liens de téléchargement.

SonicWall a trouvé deux variantes principales de cette stratégie, l’une en anglais et l’autre en turc. Toutes deux téléchargent le fichier apk nommé corona.apk lorsque la victime clique sur l’image Google Play.

Lors du téléchargement du fichier apk et de l’examen du code, SonicWall a trouvé une structure similaire à la variante décrite en février. Cet échantillon est un cheval de Troie d’accès à distance Android et peut effectuer un certain nombre d’opérations malveillantes, notamment :

  • Obtenir des informations sur l’appareil
  • Obtenir une liste des applications installées
  • Permettre de contrôler l’appareil à distance via TeamViewer
  • Voler le mot de passe Gmail et/ou le modèle de verrouillage
  • Enregistrer la frappe
  • Charger des fichiers
  • Voler des SMS, des contacts
  • Désactiver Play Protect

Il y a beaucoup de désinformation et de panique autour du coronavirus (COVID-19). Les Capture Labs de SonicWall répètent qu’il n’existe aucune application mobile capable de suivre les infections à coronavirus ou de pointer vers un vaccin. Veuillez faire preuve d’une extrême prudence.

Les détails de cette analyse sont disponibles dans l’alerte SonicAlert suivante : « Misinformation Related to Coronavirus Being Used to Propagate Malicious Android RAT. » (Désinformation liée au coronavirus utilisée pour propager un cheval de Troie d’accès à distance Android malveillant)

SonicWall Capture Labs provides protection against this threat with the following signatures:

  • AndroidOS.Spyware.RT (cheval de Troie)
  • AndroidOS.Spyware.DE (cheval de Troie)

Azorult.Rk à 12 couches : 16 mars 2020

Les chercheurs spécialistes en menaces des Capture Labs de SonicWall ont trouvé un nouvel échantillon et une nouvelle activité pour le fichier binaire « coronavirus » Azorult.Rk. Les auteurs de logiciels malveillants ont profité du désir du public d’obtenir des informations sur la pandémie de COVID-19 depuis sa découverte en décembre 2019, et la situation n’a fait que s’aggraver depuis.

Azorult.Rk se présente comme une application d’aide au diagnostic, incluant même la capture d’écran d’un outil interactif populaire qui cartographie les cas et l’exposition au COVID-19. Il comprend 12 couches différentes d’informations statiques et dynamiques, ce qui rend difficile pour les analystes des menaces de l’analyser rapidement. Cette analyse spécifique sert de base solide pour illustrer comment les auteurs de logiciels malveillants masquent leurs motivations et tactiques.

Après avoir isolé les couches, SonicWall a découvert que le logiciel malveillant avait finalement tenté de transmettre des statistiques et des indicateurs de mesure du matériel physique de la machine, ainsi que des noms d’utilisateur, des noms d’hôte et bien plus.

Les détails de cette analyse sont disponibles dans l’alerte SonicAlert suivante : « Coronavirus, COVID-19 & Azorult.Rk. »

Les Capture Labs de SonicWall fournissent une protection contre cette menace grâce à la signature suivante :

  • GAV: Azorult.RK

Ransomware lié au Coronavirus : 19 mars 2020

Les chercheurs spécialistes en menaces des Capture Labs de SonicWall ont remarqué qu’un nouveau ransomware menace de tirer parti de la peur liée au coronavirus. Ce ransomware chiffre et compresse les fichiers puis les renomme ‘coronaVi2022@protonmail.ch__<filename>’. Il change ensuite le nom du lecteur en coronavirus et supprime coronavirus.txt dans chaque dossier du système infecté.

Après avoir modifié les clés d’enregistrement, il ajoute de nouvelles clés et affiche aux utilisateurs la demande de rançon suivante :

Au bout de 20 minutes, il redémarre la machine de la victime et affiche une autre demande de rançon.

Des détails supplémentaires pour cette analyse sont disponibles dans l’alerte SonicAlert suivante : « Coronavirus Ransomware. » (Ransomware lié au Coronavirus)

Les Capture Labs de SonicWall fournissent une protection contre cette menace grâce aux signatures suivantes :

  • GAV: CoronaVirus.RSM_2
  • GAV : CoronaVirus.RSM

Solutions VPN pour les employés qui travaillent à distance

Pour aider les organisations à mettre en œuvre de façon rentable la technologie VPN auprès du nombre croissant de leurs employés travaillant à distance, SonicWall rend disponibles ses produits et services d’accès à distance pour les clients nouveaux et existants à des tarifs très promotionnels. Nous offrons également des ensembles de solutions de sécurité importantes pour les nouveaux clients d’entreprises et de PME.

Cette offre spéciale ouvre gratuitement l’accès à Secure Mobile Access (SMA) pour les appliances virtuelles à l’échelle des entreprises et PME, et inclut également une réduction importante sur Cloud App Security et sur l’outil de protection des terminaux, Capture Client, en cas d’association avec SMA.

Ces ensembles ont été créés pour inclure tout le nécessaire pour assurer la protection des employés en dehors du réseau.

Les nouvelles solution SD-Branch et la ligne de switchs multi-gigabits de SonicWall sécurisent les entreprises et succursales dispersées

La « nouvelle normalité des affaires » n’a rien de normal. Ces derniers mois marquent un changement complet dans notre façon de penser au travail. Avec un nombre bien plus important que jamais d’employés travaillant à distance, entraînant fatalement une quantité sans précédent de points d’exposition et de risques, le modèle traditionnel de cybersécurité s’avère terriblement insuffisant.

Alors que les cybercriminels multiplient les attaques contre toute personne qu’ils perçoivent comme vulnérable, il ne suffit pas d’offrir les moyens techniques de travailler à domicile. Pour véritablement assurer la continuité de votre activité, vous devez sécuriser et refondre ces réseaux massivement distribués avec une plateforme capable de stopper les menaces toujours plus nombreuses, qu’elles soient connues ou inconnues.

Pour aider votre organisation à relever les défis posés par cette nouvelle réalité de la cybersécurité, SonicWall présente trois nouvelles solutions: SonicWall SD-Branch, SonicWall Switch et SonicWall Capture Client 3.0.

SonicWall SD-Branch

De nombreuses entreprises ont besoin de sécuriser des succursales et des magasins distants , mais souvent il n’est pas possible, ni pratique, d’avoir du personnel informatique dédié sur chacun de ces sites. SonicWall SD-Branch permet à votre organisation de fournir une connectivité sans accroc qui suit le rythme des demandes croissantes de bande passante et vous permet de mettre à niveau la sécurité du réseau sur vos sites distants rapidement et à moindre coût.

Secure SD-Branch est une solution complète qui combine la puissance du SD-WAN sécurisé , du sans fil sécurisé et de la Technologie LAN câblée et avec un déploiement sans intervention. Grâce au pouvoir du Capture Security Center— Console de gestion cloud à écran unique de SonicWall — la gestion, les rapports et les analyses de tous les sites sont centralisés et accessibles depuis tout appareil connecté au Web.

SonicWall Switches

Le passage au travail à distance a entraîné une augmentation soudaine de l’utilisation d’applications à haut débit, ce qui peut facilement submerger les réseaux des différentes succursales. Dans le même temps, la surveillance, la gestion et l’actualisation continues d’un nombre croissant d’appareils réseau sur de nombreux sites sont devenues de plus en plus difficiles, plus particulièrement compte tenu du fait que de nombreux sites n’ont pas de personnel informatique formé.

Les Switches SonicWall offrent des performances multi-gigabits câblées qui vous permettent d’adapter rapidement vos réseaux de sites via une installation à distance. Disponibles en sept modèles, allant de 8 à 48 ports, avec des ports Ethernet à10 gigabits, ils offrent une commutation réseau qui s’adapte au nombre croissant d’appareils mobiles et IoT sur les différents sites et fournissent la performance réseau nécessaire pour prendre en charge les applications fournies dans le cloud. Les Switches SonicWall s’intègrent aussi parfaitement à votre écosystème SonicWall existant, vous aidant ainsi à unifier votre dispositif de sécurité réseau. Ils sont prêts pour SD-Branch et gérés via des pare-feu, soit localement, soit via le Capture Security Center basé sur le cloud de SonicWall, pour une gestion unifiée sur un seul et même écran de l’ensemble de votre infrastructure SonicWall.

SonicWall Capture Client 3.0

SonicWall Capture Client 3.0 permet aux employés de travailler à distance sans avoir à s’inquiéter de menaces sophistiquées tout en offrant aux administrateurs une visibilité et une capacité complètes pour étendre les protections jusqu’aux terminaux distants. SonicWall Capture Client 3.0 est la dernière itération de notre plateforme légère et unifiée de protection des points d’accès et comporte un certain nombre de fonctionnalités nouvelles et améliorées.

Le filtrage complet du contenu client de Capture Client 3.0 vous permet d’étendre facilement le filtrage du contenu réseau aux utilisateurs hors réseau. Il fournit des capacités d’inspection du trafic HTTP et HTTPS, ainsi que la possibilité d’attribuer des exclusions pour les applications de confiance ou de mettre les applications non fiables sur la liste noire. Capture Client offre également une visibilité en temps réel des applications et identifie les vulnérabilités.

En commençant par Capture Client 3.0, les administrateurs peuvent utiliser les propriétés du Azure Active Directory pour l’attribution de polices granulaires en fonction de catégories telles que l’adhésion à un groupe, que le répertoire soit hébergé sur place ou dans le cloud.

Capture Client 3.0 introduira également la prise en charge de l’agent SentinelOne Linux afin de vous permettre d’étendre les capacités antimalware de prochaine génération aux serveurs Linux. Cette fonctionnalité permettra aux clients de protéger les charges de travail basées sur Linux indépendamment de leur emplacement, sur site ou dans le cloud.

Offre à durée limitée : Boundless Cybersecurity Bundle

Pendant une durée limitée, SonicWall vous donne la possibilité d’économiser sur ces solutions et d’autres en créant votre Boundless Cybersecurity Bundle personnalisé. Mieux encore, plus vous achetez, plus vous économisez. Il vous suffit d’acheter un produit admissible et vous pourrez ensuite obtenir des réductions sur cinq produits supplémentaires maximum pour une solution complète. Visitez notre page des promotions officielles ou contacter un expert en sécurité SonicWall de confiance qui vous aidera à construire et à améliorer votre dispositif de sécurité — de la bonne façon.