Siroter du firehose du domaine coronavirus : krebs on security

17/04/2020

Les experts en sécurité étudient chaque jour des milliers de nouveaux noms de domaine sur le thème du coronavirus, mais cet effort souvent manuel a du mal à suivre le flot de domaines invoquant le virus pour promouvoir des logiciels malveillants et des sites de phishing, ainsi que des produits de santé inexistants et les organismes de bienfaisance. En conséquence, les bureaux d'enregistrement de noms de domaine sont soumis à une pression croissante pour lutter davantage contre les escroqueries et la désinformation pendant la pandémie de COVID-19.

Selon la plupart des mesures, le volume des nouveaux enregistrements de domaine comprenant les mots «Coronavirus» ou «Covid» a suivi de près la propagation du virus mortel. le Cyber Threat Coalition (CTC), un groupe de plusieurs milliers d'experts en sécurité qui donnent de leur temps pour lutter contre les activités criminelles liées aux COVID en ligne, ont récemment publié des données montrant la montée rapide de nouveaux domaines a commencé au cours de la dernière semaine de février, à peu près au même moment où Centres de Contrôle des Maladies a commencé à avertir publiquement qu'une grave pandémie mondiale était probablement inévitable.

Le nombre total de domaines enregistrés par jour qui contiennent un terme lié à COVID-19, selon DomainTools. La ligne rouge indique le nombre de domaines qui, selon DomainTools, sont «probablement malveillants». La ligne bleue fait référence aux domaines qui sont probablement bénins.

«Depuis le 20 mars, le nombre de domaines à risque enregistrés par jour a diminué, avec un pic notable vers le 30 mars», a écrit John Conwell, responsable des données chez DomainTools [an advertiser on this site]. «Fait intéressant, les organisations légitimes créant des domaines en réponse à la crise du COVID-19 étaient à plusieurs semaines derrière la courbe d'acteurs de menace essayant de profiter de cette situation. C'est un modèle que DomainTools n'a jamais vu auparavant dans d'autres crises. »

Fournisseur de sécurité Sophos a examiné la télémétrie des points de terminaison client pour illustrer le nombre de nouveaux domaines liés à COVID qui ont effectivement reçu du trafic récemment. Comme l'a noté la société, l'un des défis de l'identification des domaines potentiellement malveillants est que bon nombre d'entre eux peuvent rester inactifs pendant des jours ou des semaines avant d'être utilisés pour quoi que ce soit.

Les données du fournisseur de sécurité Sophos, publiées par la Cyber Threat Coalition, indiquent le nombre de domaines à thème Coronavirus ou COVID-19 enregistrés par semaine qui ont reçu du trafic.

«Nous pouvons constater une augmentation rapide et spectaculaire des visites dans des domaines potentiellement malveillants exploitant la semaine de la pandémie de coronavirus à partir de fin février», a écrit Sophos. Rich Harang. "Même si une minorité de cybermenaces encore utilise la pandémie comme un leurre, certains de ces nouveaux domaines seront éventuellement utilisés à des fins malveillantes."

Porte-parole de la CCT Nick Espinosa a déclaré que le premier pic de visites a eu lieu le 25 février, lorsque les membres du groupe ont vu environ 4 000 visites sur les sites qu'ils suivaient.

"Les deux semaines suivantes à partir du 9 mars ont connu une croissance rapide, et à partir du 23 mars, nous assistons entre 75 000 et 130 000 visites par jour de semaine, et environ 40 000 le week-end", a déclaré Espinosa. «En regardant les données collectées, le modèle de visites est le plus élevé le lundi et le vendredi, et le nombre de visites le plus bas est le week-end. Nos données montrent qu'il n'y a eu pratiquement aucun appel de clients sur les domaines liés à COVID avant le 23 février. »

Basé à Milwaukee Conserver la sécurité a publié des listes quotidiennes et hebdomadaires de tous les enregistrements de domaines liés à COVID-19 (sans aucun score attribué). Voici un graphique que KrebsOnSecurity a élaboré sur la base de cet ensemble de données, qui montre également une augmentation massive des nouveaux enregistrements de domaine au cours de la troisième semaine de mars, qui s'est considérablement ralentie au cours des deux dernières semaines.

Données: Conserver la sécurité.

Tout le monde n'est pas convaincu que nous mesurons les bonnes choses ou que les mesures actuelles sont exactes. Neil Schwartzman, directeur exécutif du groupe anti-spam CAUCE, a déclaré qu'il estime que les estimations de DomainTool sur le pourcentage de nouveaux domaines sur le thème COVID / Coronavirus qui sont malveillants sont trop élevés, et que beaucoup sont probablement bénins et enregistrés par des personnes bien intentionnées qui cherchent à partager nouvelles ou leurs propres réflexions sur l'épidémie.

"Mais il y a le hic", a-t-il dit. «Les méchants se cachent vraiment bien parmi les bons, donc chacun doit être examiné seul. Et cela représente un travail considérable. "

Dans le même temps, a déclaré Schwartzman, se concentrer uniquement sur les domaines peut masquer la véritable taille et la portée de la menace globale. En effet, les escrocs établiront très souvent plusieurs sous-domaines pour chaque domaine, ce qui signifie qu'un seul nouvel enregistrement de domaine lié à COVID pourrait éventuellement être lié à un certain nombre de sites frauduleux ou malveillants différents.

Les sous-domaines peuvent non seulement rendre les domaines de phishing plus légitimes, mais ils ont également tendance à allonger le domaine de sorte que les éléments clés de celui-ci soient repoussés de la barre d'URL dans les navigateurs mobiles.

À cette fin, a-t-il déclaré, il est peut-être plus judicieux de se concentrer sur les nouveaux enregistrements de domaine qui ont des certificats de cryptage liés, car la délivrance d'un certificat SSL pour un domaine est généralement un signe qu'il est sur le point d'être utilisé. . Comme indiqué dans les articles précédents ici, environ 75% de tous les sites de phishing disposent désormais d'un cadenas (commencez par «https: //»), principalement parce que les principaux navigateurs Web affichent des alertes de sécurité sur les sites qui n'en ont pas.

Schwartzman a déclaré que plus de bureaux d'enregistrement de domaine devraient suivre l'exemple de Los Angeles Namecheap Inc., qui s'est engagé le mois dernier à ne plus accepter l'enregistrement automatisé des noms de sites Web contenant des mots ou des expressions liés à la pandémie de COVID-19. Depuis lors, une poignée d'autres bureaux d'enregistrement ont déclaré qu'ils prévoyaient de revoir manuellement tous ces enregistrements à l'avenir.

le Internet Corporation for Assigned Names and Numbers (ICANN), l'organisation qui supervise l'industrie des bureaux d'enregistrement, a récemment envoyé une lettre exhortant les bureaux d'enregistrement à être plus proactifs, mais n'a pas mandaté des actions spécifiques.

Schwartzman a qualifié la réponse de l'ICANN de «thé faible».

"Il est absolument ridicule que l'ICANN ne se soit pas intensifiée, et ils porteront une responsabilité importante pour tous les décès qui pourraient survenir à la suite de tout cela", a déclaré Schwartzman. "C'est une réponse de l'ACY au mieux, et ne dicte à personne de faire quoi que ce soit."

Michael Daniel, président de la Cyber Threat Alliance - un groupe de l'industrie de la cybersécurité qui travaille également pour lutter contre la fraude liée au COVID-19 - a accepté, affirmant que davantage de pression doit être exercée sur la communauté des bureaux d'enregistrement.

"Il est vraiment difficile de faire quoi que ce soit à moins que les registraires n'interviennent et ne fassent quelque chose par eux-mêmes", a déclaré Daniel. «C’est ça ou le gouvernement s’implique. Cela ne signifie pas que certains [registrars] ne font pas ce qu'ils peuvent, mais en général, ce que fait l'industrie est loin d'être aussi rapide que les méchants génèrent ces domaines. "

Le gouvernement américain pourrait très bientôt s'impliquer davantage. Plus tôt cette semaine, les sénateurs Cory Booker (D-N.J.), Maggie Hassan (D-N.H.) Et Mazie K. Hirono (D-Hawaii) a envoyé des lettres à huit dirigeants de sociétés de noms de domaine, leur demandant de savoir ce qu'ils faisaient pour lutter contre la menace des domaines malveillants et les exhortant à en faire plus.

«Alors que les cybercriminels et autres acteurs malveillants cherchent à tirer parti de la pandémie de coronavirus, il est essentiel que les bureaux d'enregistrement de noms de domaine comme le vôtre (1) fassent preuve de diligence et veillent à ce que seules les organisations légitimes puissent enregistrer les noms de domaine et les noms de domaine liés au coronavirus référençant les plateformes de communication en ligne. ; (2) agir rapidement pour suspendre, annuler ou résilier les enregistrements pour les domaines impliqués dans une activité illégale ou nuisible; et (3) coopérer avec les forces de l'ordre pour aider à traduire en justice les cybercriminels profitant de la pandémie de coronavirus », ont écrit les sénateurs.

Tags: CAUCE, Centers for Disease Control, COVID-19, Cyber Threat Alliance, Cyber Threat Coalition, domaintools, Hold Security, John Conwell, Michael Daniel, Neil Schwartzman, PhishLabs, Rich Harang, Sen. Cory Booker, Sen. Maggie Hassan, Sénateur Mazie K. Hirono, sophos

Cette entrée a été publiée le jeudi 16 avril 2020 à 12 h 23 et est>

Pourquoi installer un distributeur gel hydroalcoolique dans votre magasin ?

Scientifique du NIH : « Il est temps de devenir vraiment sérieux » à propos d'un vaccin universel contre le coronavirus

Biden dit que « rien n'a été assez bon » alors que les points chauds de Covid voient des pénuries de tests

L'Angleterre réduit les exigences d'isolement pour les personnes atteintes de coronavirus

Alors que COVID frappe les finances des maisons de retraite, les résidents de la ville se battent pour sauver l'établissement d'Alzheimer

De nouveaux traitements COVID arrivent. Arriveront-ils à temps pour combattre l'attaque omicron ?