Posté le juin 5, 2021 à 20:13
DES HACKERS UTILISENT LES ACTUALITÉS CONCERNANT PIPELINE COLONIAL POUR LANCER DES ATTAQUES DE PHISHING
Un rapport récent a révélé que des acteurs malveillants profitent désormais du piratage de Colonial Pipeline pour lancer des attaques par hameçonnage sur des victimes peu méfiantes.
Les découvertes de la société de cybersécurité INKY indiquent qu’elle a reçu des courriels d’assistance de la part d’utilisateurs concernant cette nouvelle vague d’attaques.
La campagne utilise un modèle de phishing courant, faisant appel à des événements d’actualité largement médiatisés pour inciter les victimes à cliquer sur des liens et des e-mails malveillants.
Selon la société de sécurité, certaines des cibles ont déclaré avoir reçu des e-mails les informant de l’attaque par ransomware contre Colonial Pipeline et leur demandant de télécharger une mise à jour du système de ransomware pour protéger leur système.
Les acteurs malveillants ont déclaré que si les cibles téléchargeaient la mise à jour, cela empêcherait leur organisation de subir une attaque de ransomware similaire.
Mais en réalité, les courriels et les liens ne feront qu’inciter les utilisateurs à installer des logiciels malveillants sur leurs machines.
Les courriels malveillants proviennent de domaines récemment créés
Comme l’indique l’entreprise de sécurité, les courriels infestés de logiciels malveillants proviennent de domaines créés récemment. Il s’agit notamment de selectivepatch.com et ms-sysupdate.com, qui, selon l’équipe de sécurité, ont été créés par les acteurs malveillants.
Ils ont été conçus pour sembler authentiques et créés de manière à empêcher les logiciels anti-phishing classiques de les identifier et de les bloquer. Cependant, INKY affirme avoir utilisé d’autres méthodes pour les identifier.
Les deux domaines ont été créés et enregistrés sur NameCheap, qui est l’une des plateformes les plus utilisées par les acteurs malveillants. Les domaines sur la plateforme sont très bon marché, et les clients peuvent payer les services d’hébergement en utilisant des bitcoins. Cela explique pourquoi elle est attrayante pour les cybercriminels, puisqu’ils peuvent dissimuler leur identité en payant pour ce service.
Et, comme par hasard pour les hackers, les liens malveillants contenus dans les e-mails proviennent du même domaine que celui qui a envoyé les e-mails.
Les faux sites Web ont été conçus avec des images et des logos de l’entreprise cible afin de paraître très convaincants. Cependant, lorsque la cible clique sur le bouton de téléchargement de la page, elle télécharge sur son système un fichier « Cobalt Strike » dénommé « Ransomware_Update.exe ».
« Cobalt Strike » a été répertorié comme la deuxième menace la plus répandue sur les systèmes informatiques par Red Canary.
Selon un rapport d’INKY, la menace a été découverte dans environ 66 % de toutes les attaques de ransomware au 4e trimestre 2020.
Les hackers profitent des craintes suscitées par les ransomwares
Bukar Alibe, analyste de données chez INKY, a noté que l’entreprise a commencé à voir des attaques de phishing quelques semaines après qu’il a été rapporté que Colonial Pipelines a payé une rançon au groupe de hackers DarkSide.
Il a déclaré qu’en raison de la situation tendue qui régnait, les hackers ont commencé à en profiter pour proposer aux utilisateurs une solution censée provenir de la véritable entreprise. La mise à jour du logiciel, selon les acteurs malveillants, résoudrait le problème et éviterait aux utilisateurs d’être des cibles. Mais en réalité, ils renvoient les utilisateurs vers des endroits où ils seront infectés par les logiciels malveillants dont ils ont peur.
« Le destinataire n’avait qu’à cliquer sur le gros bouton bleu, et le logiciel malveillant serait injecté », ajoute M. Alibe.
Les équipes informatiques doivent alerter les employés
En plus de profiter de la peur entourant les attaques par ransomware, les acteurs malveillants ont conçu le faux site Web et les courriels pour qu’ils aient l’air de provenir de l’entreprise de l’utilisateur. Par conséquent, l’apparence est suffisamment convaincante pour que les utilisateurs soient trompés.
Alibe a demandé aux équipes informatiques d’informer les employés de ne pas céder à de telles arnaques. Les experts informatiques de l’entreprise doivent faire savoir aux employés que l’entreprise ne demandera en aucun cas aux employés de télécharger un fichier par e-mail.
Alibe a noté que les acteurs malveillants profitent de la volonté des travailleurs de faire ce qu’il faut. Il a également souligné que l’attaque visait deux entreprises, mais que les entreprises informatiques devraient être très vigilantes car d’autres attaques pourraient être menées de la même manière.
