Le dernier malware Trickbot a démontré que les cybercriminels sont maîtres du développement de menaces cybercriminelles. Alors que les entreprises mettent à niveau leurs systèmes pour se protéger contre une menace, les pirates changent de tactique pour échapper à la détection.
De nouvelles techniques sont toujours utilisées pour déjouer les outils de détection. Les sites de phishing, par exemple, utilisent souvent des tactiques d’évasion pour éviter d’être détectés par les filtres web, les utilisateurs finaux et même les administrateurs réseau.
Les techniques varient et comprennent l’utilisation du HTTPS pour faire croire aux utilisateurs qu’un site est sûr ou l’utilisation d’images pour afficher du texte, ainsi que l’interdiction pour les administrateurs réseau de détecter un site de phishing.
Les malwares qui sont à la base de nombreuses campagnes de phishing font souvent l’objet d’une transformation. Cette fois-ci, il s’agit du tristement célèbre cheval de Troie bancaire appelé TrickBot.
Les astuces des pirates derrière le malware TrickBot
TrickBot est un cheval de Troie malveillant qui a été conçu à l’origine pour cibler les utilisateurs de l’Internet dans les banques. TrickBot est relativement nouveau dans le cycle de vie des malwares, ayant été repéré dans la nature pour la première fois en 2016. Depuis lors, il a infecté environ un million d’ordinateurs dans le monde entier.
TrickBot est conçu pour cibler à la fois les particuliers et les entreprises, en se concentrant sur le vol d’identifiants pour accéder à des comptes bancaires en ligne ou pour voler d’autres informations personnelles qui sont ensuite utilisées pour commettre des vols d’identité et d’autres fraudes. Plus récemment, TrickBot a été associé à la distribution de ransomwares, le malware agissant comme un facilitateur de l’infection.
TrickBot a de nombreuses astuces et il doit être considéré comme un système de malwares très polyvalent, et non seulement comme un exécutable malveillant à usage unique.
Le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) ont récemment publié un avertissement concernant une attaque imminente contre les soins de santé. Ils ont affirmé que TrickBot était utilisé pour infecter un système, ce qui ouvre la porte à d’autres malwares, en créant un centre de « commande et de contrôle » utilisé par les pirates pour infecter un réseau.
Afin d’éviter que le malware TrickBot n’interrompe ou n’ait un impact sur les élections américaines, Microsoft a choisi de charger le système et a demandé une ordonnance du tribunal pour fermer les serveurs qui se trouvent derrière TrickBot. Dans un avis publié le 12 octobre 2020, Microsoft a déclaré qu’ils y étaient parvenus :
« …grâce à une ordonnance de la cour que nous avons obtenue ainsi qu’à une action technique que nous avons exécutée en partenariat avec des fournisseurs de télécommunications du monde entier, nous avons maintenant coupé les infrastructures clés, de sorte que ceux qui exploitent TrickBot ne pourront plus lancer de nouvelles infections ou activer des ransomwares déjà déposés dans les systèmes informatiques ».
Cependant, une fois que les élections sont terminées, TrickBot refait surface.
Autres astuces de TrickBot
Les développeurs de TrickBot sont rusés. Afin d’éviter d’autres démantèlements, ils ont intégré de nouvelles fonctionnalités dans la conception du malware. Les 3 et 18 novembre, respectivement, les versions 2000016 et 100003 de TrickBot ont été déployées ; la numérotation apparemment désynchronisée n’étant qu’une indication du passage à un système de version plus ancien.
Une nouvelle infrastructure de commandement et de contrôle (C2)
TrickBot utilise désormais des routeurs Mikrotik compromis comme base de ses communications C2. Une recherche effectuée par Shodan, un système qui recherche les appareils connectés, a trouvé 1,7 million de ces routeurs, dont beaucoup peuvent être compromis en utilisant des informations d’identification volées et d’autres vulnérabilités. La dernière version de TrickBot dispose également d’une option de repli si un serveur C&C ne fonctionne pas.
L’obfuscation
L’une des astuces utilisées par TrickBot et d’autres malwares consiste à se cacher des filtres web et même des administrateurs réseau en utilisant des techniques d’obscurcissement.
Une analyse de la dernière version de TrickBot par Huntress a révélé que les pirates derrière TrickBot ont obscurci un fichier de lot utilisé pour livrer la charge utile du malware en utilisant des lettres et d’autres caractères apparemment placés au hasard. L’équipe de Huntress pense que les pirates ont fait cela pour rendre difficile la détection des preuves du malware par les logiciels d’analyse automatisés. Elle poursuit en disant que, bien que le script utilisé pour délivrer le malware puisse sembler absurde, il ne l’est pas. Il y a suffisamment d’informations pour que le processeur de fichiers batch Windows cmd [.] exe puisse interpréter et exécuter le malware.
Selon l’analyste de Huntress : « Il est indéniable que la mise en place de l’automatisation améliore réellement la posture de sécurité et la défense d’une organisation… mais les outils automatisés, comme pour tout, ne devraient être qu’une couche de protection. »
TrickBot peut venir d’un appareil près de chez vous
Selon Bitdefender, la dernière version de TrickBot a été utilisée dans des attaques aux États-Unis, en Malaisie, en Roumanie, en Russie et à Malte. Avec l’amélioration de l’obscurcissement et le fonctionnement des serveurs de commande et de contrôle, ce malware continuera probablement à infecter des ordinateurs dans le monde entier.
Il convient de noter que les dernières techniques d’évasion de TrickBot montrent que la prévention de la cybersécurité n’est pas une question de marche ou d’arrêt. Au contraire, les initiatives de sécurité doivent utiliser plusieurs portes ; la première porte peut arrêter la grande majorité des cybermenaces, mais les portes suivantes, utilisant des techniques plus avancées, sont nécessaires pour arrêter les menaces qui échappent à la détection.
La détection et la surveillance des menaces en temps réel basées sur l’apprentissage machine fournissent l’automatisation nécessaire pour découvrir de nombreuses menaces.
Associée à une sauvegarde supervisée par l’homme, cette puissante combinaison permet de repérer les malwares qui se font passer pour des objets légitimes ou cachés.
Cette approche intelligente et de défense en profondeur est de plus en plus nécessaire à mesure que les cybercriminels améliorent leurs tactiques.
Alors que 2020 se transforme en 2021, les hackers derrière TrickBot et d’autres malwares auront sans doute des plans pour lancer encore plus d’attaques. Mais votre entreprise peut renverser la situation pour les pirates en utilisant votre propre boîte à astuces sous la forme d’outils intelligents d’automatisation de la cybersécurité.
WebTitan Cloud est une solution de filtrage web basée sur le DNS qui offre une protection complète contre les menaces en ligne telles que les malwares, les ransomwares et les attaques de phishing.
Si vous recherchez une meilleure sécurité web pour votre organisation, contactez l’équipe de TitanHQ dès aujourd’hui pour plus d’informations et pour une démonstration de notre produit.
Les statistiques sur les ransomware en 2021 ne rendent pas la lecture agréable. Les attaques de ransomware ont continué d’augmenter.
Le coût de l’atténuation ces attaques ainsi que le nombre de variantes de ransomware a également grimpé en flèche. En outre, rien n’indique que ces attaques vont cesser.
De plus en plus de preuves démontrent que l’épidémie de ransomware va s’aggraver en 2018.
Statistiques clés 2021 sur les ransomwares
Nous avons compilé certaines des statistiques importantes sur les ransomwares de 2021, à partir de recherches menées par diverses entreprises au cours des derniers mois.
Les recherches menées par Kaspersky Lab suggèrent que les attaques de ransomware sur les entreprises se produisaient toutes les 2 minutes au premier trimestre 2021, mais qu’au troisième trimestre, elles étaient beaucoup plus fréquentes, se produisant environ toutes les 40 secondes.
Cybersecurity Ventures prévoit que la fréquence des attaques augmentera. En 2019, on pourrait s’attendre à voir une attaque toutes les 14 secondes.
Cette enseigne prévoit également que les ransomwares continueront d’être un problème majeur pour les entreprises en 2018 et 2019.
Par ailleurs, le coût total des attaques de ransomwares pourrait atteindre 11,5 milliards de dollars d’ici 2019.
L’industrie des soins de santé est susceptible d’être fortement ciblée en raison de la facilité relative des attaques à leur encontre et de la probabilité qu’une rançon soit payée.
Selon encore Cybersecurity Ventures, il y aura quatre fois plus d’attaques de ransomware contre les établissements de soins de santé d’ici 2019.
Les recherches d’IBM en 2020 indiquaient que 70 % des entreprises payaient des rançons pour récupérer leurs données. Cependant, en 2021, ce pourcentage a considérablement chuté.
Beaucoup moins d’entreprises envisagent maintenant de payer des rançons à cet effet.
Le rapport 2021 de Symantec sur les menaces de sécurité Internet indique que les demandes de rançon ont augmenté de 266 % entre 2015 et 2021.
Cela dit, il existe donc des variations considérables dans les statistiques publiées sur les ransomwares en 2021.
Malwarebytes rapporte qu’il y a eu une augmentation de 90 % des attaques de ransomware en 2021. Beazley, quant à lui, souligne que l’augmentation a été de 18 % et que 45 % de ces attaques visaient le secteur de la santé.
Selon un récent rapport de McAfee, le nombre d’attaques de ransomware a augmenté de 59 % pour l’année et de 35 % d’un trimestre à l’autre au quatrième trimestre 2021.
En se référant au Microsoft Security Intelligence Report, l’Asie a connu le plus grand nombre d’attaques de ransomware en 2021, le Myanmar et le Bangladesh étant les pays les plus touchés.
Ce rapport indique également que les appareils mobiles ont été les plus touchés.
La variante de ransomware la plus fréquemment rencontrée est LockScreen, qui empêche les utilisateurs d’accéder à leur système Android.
55 % des entreprises ont subi une attaque de ransomware en 2021
Le cabinet de conseil en recherche et marketing CyberEdge Group a mené une étude qui a montré que 55 % des organisations interrogées avaient subi au moins une attaque de ransomware en 2021.
Parmi les organisations dont les données ont été chiffrées au moyen d’un ransomware, 61 % n’ont pas payé la rançon.
87 % des entreprises ayant subi une attaque ont pu récupérer leurs données chiffrées à partir de sauvegardes.
13 % des entreprises victimes ont toutefois perdu leurs données en raison de leur incapacité de récupérer des fichiers à partir des sauvegardes.
Les organisations qui sont prêtes à payer une rançon ne disposent pas de clés viables garanties pour récupérer leurs fichiers chiffrés.
Le sondage de CyberEdge a révélé qu’environ la moitié des entreprises ayant décidé de payer la rançon n’ont pas été en mesure de récupérer leurs données.
En 2021, FedEx a rapporté que l’attaque de NotPetya a coûté environ 300 millions de dollars à l’entreprise, le même chiffre cité par la compagnie maritime Maersk et la compagnie pharmaceutique Merck.
La maison d’édition WPP, quant à elle, a déclaré que les dégâts liés à l’attaque NotPetya lui ont coûté environ 15 millions de dollars.
Les entreprises sont en train de développer des stratégies pour réagir rapidement aux attaques par ransomware. Certaines sociétés, notamment britanniques, ont payé en Bitcoin des rançons pour permettre une reprise rapide de leurs activités.
Selon Exeltex Consulting Group, un tiers des entreprises de taille moyenne au Royaume-Uni ont choisi cette option.
Mais il faut dire que valeur du Bitcoin est en baisse. Ainsi, de nombreux cybercriminels sont passés à d’autres formes de cryptomonnaie et n’acceptent plus le Bitcoin.
L’un des principaux avantages de la migration vers le cloud est d’atteindre l’extensibilité.
En fait, la possibilité de déployer et de retirer des actifs numériques de manière automatisée est actuellement un aspect important du processus de transformation numérique.
Mais l’évolutivité ne profite pas seulement aux entreprises. Elle profite également aux pirates et aux cybercriminels qui tentent de s’introduire dans les réseaux d’entreprise.
Imaginez le temps qu’il faudrait pour crocheter la serrure de chaque casier d’un bâtiment de lycée. Ce serait pour le moins peu pratique.
Mais que se passerait-il si tout ce que vous aviez à faire était de forcer l’un d’entre eux afin d’obtenir un accès potentiel à tous.
Et si vous disposiez d’un outil capable de crocheter toutes les serrures simultanément ?
En quelques minutes, vous pourriez simplement essayer n’importe quelle combinaison de chiffres par défaut ou facile à retenir sur chaque cadenas jusqu’à ce que l’un d’entre eux fonctionne.
C’est ainsi que fonctionnent aujourd’hui les attaques par force brute, connues sous le nom de « Credential Stuffing ».
Ce sont des attaques à grande échelle conçues pour trouver rapidement et facilement le maillon le plus faible de votre système de sécurité.
Pourquoi les attaques par force brute sont-elles si efficaces ?
Les attaques automatisées par force brute menées par les grands botnets offrent aux attaquants une évolutivité presque illimitée grâce aux sites qui rassemblent des millions de comptes d’utilisateurs dans un seul espace, c’est-à-dire dans le cloud.
Les organisations criminelles déploient des robots de force brute qui s’attaquent continuellement aux boîtes de messagerie de votre entreprise, en utilisant des mots de passe communs jusqu’à ce qu’ils soient trouvés.
Une fois qu’un compte est compromis, ils peuvent l’utiliser pour lancer des attaques de phishing ou du type BEC convaincantes contre d’autres utilisateurs internes.
En ciblant la voie de moindre résistance, les cybercriminels peuvent s’introduire dans le réseau de votre entreprise et s’en servir pour mener des attaques sans qu’il soit nécessaire de recourir à l’interaction humaine.
Mais la recherche de proies faciles sur Office 365 n’est que la partie visible de l’iceberg.
Si l’obtention d’un accès à l’échelle de l’entreprise peut être la fin d’une attaque par force brute, la compromission d’un seul compte utilisateur peut apporter quelque chose de valeur aux pirates.
Le fait est que la plupart des utilisateurs choisissent une adresse électronique comme nom d’utilisateur pour de nombreux sites Internet.
Ils aggravent ensuite le problème en recyclant les mots de passe.
Une fois qu’un pirate informatique parvient à deviner votre identifiant de connexion à un site, il y a de fortes chances qu’il puisse utiliser ce jeu de mots de passe pour un autre site :
Votre banque
Votre site de médias sociaux
Votre application de streaming
Votre magasin de vente au détail en ligne.
Inversement, les pirates peuvent cibler n’importe lequel de ces sites afin d’obtenir vos identifiants de connexion.
Les sites de vente au détail et d’hôtellerie sont les principales cibles
La réalité d’aujourd’hui est que si un attaquant peut capturer vos identifiants de connexion chez votre détaillant en ligne préféré, il peut également les utiliser pour accéder à d’autres sites.
Et comme la majorité des consommateurs effectuent aujourd’hui la plupart de leurs achats via Internet, les sites de commerce électronique sont devenus une cible privilégiée pour les pirates.
Selon un récent rapport intitulé « Loyalty for Sale », plus de 60 % des attaques par force brute détectées au cours des deux dernières années ont visé des magasins de vente au détail, de voyage et d’hôtellerie.
L’entreprise qui a rédigé le rapport a déclaré qu’entre le 1er juillet 2018 et le 30 juin 2020, plus de 64 milliards d’attaques par force brute sur les 100 milliards détectées ont visé des comptes d’utilisateurs ouverts dans ces trois secteurs.
Bien que les chiffres soient stupéfiants, ce n’est pas nouveau. L’année précédente, le secteur de la vente au détail était également la première cible des attaques par force brute.
En 2018, on a recensé 773 millions d’adresses électroniques uniques et 22 millions de mots de passe uniques. Les justificatifs d’identité comprenaient plus de 87 Go de données.
Depuis le début de la crise liée au COVID-19, les cybercriminels recyclent les listes de justificatifs d’identité stockées comme celles-ci pour trouver des comptes en ligne nouvellement actifs pour des sites de vente au détail.
Se protéger contre les attaques par force brute
L’un des moyens les plus efficaces de lutter contre les attaques par force brute est d’utiliser des comptes uniques pour chaque site auquel vous accédez.
Ainsi, si l’un de vos comptes est compromis, il ne peut pas être utilisé successivement sur les autres sites que vous fréquentez.
Les utilisateurs doivent également changer régulièrement leurs mots de passe, car les informations volées sont conservées pendant des années par des criminels.
Afin de se protéger contre la compromission de leurs identifiants de connexion, les entreprises ont besoin d’une solution de sécurité de la messagerie électronique adaptée pour déjouer les attaques.
Un exemple est « SpamTitan Cloud », qui offre aux entreprises un système de protection hautement évolutif pour sécuriser la messagerie électronique.
Les cybercriminels changent constamment de tactiques pour tromper les employés dans le but de les amener à cliquer sur des liens malveillants ou à divulguer leurs informations d’identification.
Pendant la pandémie, de nombreux escrocs ont abandonné leurs campagnes éprouvées en utilisant des leurres classiques à thème commercial, tels que :
De fausses factures
Des bons de commande
Des avis d’expédition.
Ces leurres sont d’actualité et ciblent les personnes qui sont avides d’informations sur le coronavirus.
La nouvelle campagne de phishing COVID-19
Une nouvelle campagne de phishing a vu le jour: elle tire parti des nouvelles pratiques commerciales dues au COVID-19.
De nombreux employés travaillent actuellement à distance, même si leurs employeurs ont commencé à rouvrir leurs bureaux.
Pendant la pandémie, les employés se sont habitués à recevoir régulièrement des mémos et des mises à jour internes de leur entreprise.
La nouvelle campagne de phishing cible le département des ressources humaines d’une entreprise lors de laquelle les pirates envoient des e-mails automatisés, similaires aux messages que les employés sont habitués à recevoir.
Les e-mails prétendent contenir des pièces jointes de messagerie vocale, qui seront également familières à de nombreux travailleurs à distance.
Les pièces jointes au format HTML sont personnalisées avec le nom du destinataire afin de rendre le message plus crédible.
Si la pièce jointe est ouverte, l’utilisateur se verra présenter un lien sur lequel il devra cliquer pour recevoir les informations sur l’entreprise.
Lors de cette campagne, il s’agissait d’un lien SharePoint, bien que d’autres services dans le cloud puissent être utilisés de la même manière.
Le lien dirige l’utilisateur vers SharePoint et fournit une mise à jour sur la politique de travail à distance de l’entreprise.
Après avoir lu le message, le travailleur est tenu de cliquer sur un lien qui le dirige vers la page de phishing proprement dite où sont recueillies des informations sensibles.
Les messages envoyés lors de cette campagne sont très réalistes.
La fausse politique de travail à distance est bien écrite et plausible et stipule que si les employés souhaitent continuer à travailler à domicile après la pandémie, ils doivent remplir un formulaire de leur département de ressources humaines afin de fournir un avis écrit.
Le formulaire Excel hébergé par SharePoint-Host, où l’utilisateur est dirigé, est également plausible, mais en plus de la demande de continuer à travailler à domicile, l’utilisateur doit fournir ses références d’e-mail.
Une campagne de phishing offre une aide financière du gouvernement aux travailleurs affectés par le COVID-19
Une autre campagne de phishing a été identifiée.
Elle est également liée à la pandémie, en usurpant l’identité des agences gouvernementales et en offrant une aide financière liée à la pandémie aux personnes qui ne peuvent plus travailler en raison des restrictions liées au COVID-19 ou celles qui ont été affectées d’une autre manière.
Cette campagne a ciblé les citoyens américains, bien que d’autres campagnes similaires puissent être menées dans d’autres pays.
Dans cette campagne, dont le sujet est « Le gouvernement américain doit accorder aux citoyens une aide financière d’urgence », le message indique que le gouvernement a commencé à verser des indemnités en espèces en octobre 2020.
Le message précise que le paiement n’est accordé qu’aux résidents des États-Unis et que le montant maximum est de 5 800 dollars.
Un lien est fourni dans l’e-mail sur lequel l’utilisateur doit cliquer pour faire une demande de subvention. L’e-mail indique qu’il sera examiné par un représentant de l’assistance qui enverra une réponse personnelle dans les 24 heures. L’utilisateur doit saisir son nom, sa date de naissance, son adresse, ses coordonnées, son numéro de sécurité sociale et son numéro de permis de conduire sur un second formulaire.
Le phishing : le type de cybercriminalité le plus courant
Une récente enquête menée par Clario et Demos a confirmé que le phishing et les attaques lancées via la messagerie électronique sont les types de cybercriminalité les plus courants signalés aux États-Unis et au Royaume-Uni.
La pandémie a facilité le succès des attaques de phishing. Les cybercriminels profitent de l’incertitude quant aux changements apportés aux nouvelles méthodes de travail à cause de la pandémie.
De nombreuses personnes travaillent seules à la maison sans un niveau de soutien en matière de protection contre les cybercriminalités. De nombreuses vulnérabilités ont donc été introduites à la suite du passage au travail à domicile.
Les entreprises peuvent mieux protéger leurs employés en utilisant des solutions de filtrage du courrier électronique et du web basées dans le cloud.
Ces solutions fonctionnent en tandem pour bloquer les e-mails malveillants, les attaques de phishing et des campagnes de distribution de malwares.
Une solution de filtrage du courrier électronique basée dans le cloud peut filtrer la majorité des messages malveillants et maintient les boîtes de réception à l’abri des menaces en ligne.
Un filtre web empêchera également les utilisateurs finaux de visiter des liens malveillants, de télécharger des pièces jointes malveillantes ou de visiter des sites web malveillants lorsqu’ils travaillent au bureau ou à distance.
TitanHQ a développé deux solutions de sécurité du web et du courrier électronique faciles à utiliser, faciles à mettre en œuvre et très efficaces pour protéger les travailleurs au bureau et à distance contre toutes les menaces du web et du courrier électronique, y compris les e-mails de phishing et les attaques de type « zero day ».
Les cybercriminels semblent toujours avoir une avance sur les entreprises en matière de cybercriminalité.
Tous les secteurs sont confrontés à un assaut continu d’attaques cybercriminelles, à tel point que la protection de votre organisation est devenue une nécessité.
La pandémie du COVID-19 et le travail à distance qui a suivi n’ont fait qu’exacerber la situation.
En mars et avril 2020, le fournisseur de services de sécurité Kaspersky a constaté une augmentation de 400 % des cyberattaques visant les ordinateurs de bureau distants.
Le nombre d’escroqueries lancées via les e-mails s’est également accru pendant la pandémie, avec une augmentation de 667 % des arnaques liées au COVID-19 en mars dernier.
L’automatisation est à l’origine de nombreuses cyberattaques, ce qui a pour effet d’huiler les rouages des méthodes d’attaque des pirates et de rendre l’atténuation des dégâts plus difficile.
Alors que les cybercriminels améliorent leurs méthodes et utilisent de nouvelles techniques plus sophistiquées pour voler et piller des données sensibles, quels sont les outils qui peuvent aider votre organisation à contrer ces attaques ?
Voici nos conseils !
Les cyberattaques automatiques de l’intelligence artificielle
De nombreuses cyberattaques modernes sont menées via l’automatisation et certaines commencent même à tirer parti de l’intelligence artificielle (IA).
Nombre de ces attaques sont porteuses de malwares qui sont capables de persister dans un système et qui sont difficiles à détecter et à éradiquer. On les appelle « Advanced Persistent Threat » ou APT.
Des exemples récents montrent les éléments les plus intelligents des cybermenaces modernes.
La sophistication de l’APT au troisième trimestre 2020
Les chercheurs de Kaspersky ont constaté que la dernière série d’APT a pris un nouveau caractère.
L’une des nouvelles tactiques renvoie à une ancienne méthode connue sous le nom de « sténographie ». Cette technique utilise l’obscurcissement pour cacher des malwares.
Le malware est caché dans un fichier exécutable légitime de Microsoft Defender, ce qui le rend extrêmement difficile à détecter.
La conclusion de Kaspersky est qu’il faut investir des ressources dans la chasse aux activités malveillantes dans de nouveaux environnements éventuellement légitimes qui étaient moins surveillés dans le passé.
Le programme DD Perks de Dunkin Donuts et l’attaque automatisée de forçage d’identifiants
La fraude par carte de fidélité est un problème croissant.
La raison ?
Les programmes de fidélisation contiennent des récompenses et des points lucratifs ainsi que des données personnelles, ce qui les rend attrayants pour les cybercriminels.
La prise de contrôle des comptes par une technique appelée « forçage d’identifiants » est un problème pour toute entreprise proposant un programme de récompenses.
Lors de l’attaque contre Dunkin Donuts, les pirates informatiques ont utilisé des identifiants volés en recourant à des techniques telles que le phishing et les sites web malveillants.
Les fraudeurs utilisent ensuite des outils d’automatisation, tels que Snipr, pour tester ces informations d’identification sur des comptes existants. L’automatisation a rendu ces attaques beaucoup plus faciles et plus lucratives.
Business Email Compromise, IA et Deepfakes
Le Business Email Compromise (BEC) permet aux fraudeurs de soutirer de grosses sommes d’argent aux entreprises. En 2019, on estime à plus de 1,45 milliard d’euros le coût des fonds volés en raison de la fraude du type BEC.
Aujourd’hui, le nombre de fraudes du type BEC peut encore augmenter à cause de l’utilisation de la technologie Deepfake, basée sur la vidéo et l’audio générées par l’Intelligence artificielle.
L’un des Deepfakes les plus tristement célèbres a impliqué une fausse vidéo de Mark Zuckerberg de Facebook.
Cette technologie est de plus en plus répandue, avec 14 698 vidéos Deepfake en ligne découvertes par les chercheurs de DeepTrace en 2019, soit une augmentation de 50 % par rapport à 2018.
Cette technologie basée sur l’IA se fraye un chemin dans les cyberattaques, dont beaucoup sont lancées à l’aide de tactiques telles que les e-mails de spear phishing.
En 2019, une prétendue attaque BEC lancée par DeepTrace a été enregistrée.
Un PDG britannique a été amené à transférer plus de 197 000 euros à un escroc, qui aurait utilisé la technologie Deepfake pour créer une voix frauduleuse d’une personne influente au sein de son entreprise.
Lors d’un appel avec la fausse personne, le PDG a été invité à transférer d’urgence une somme d’argent qui se retrouvait finalement sur le compte bancaire de l’escroc.
Ce dernier exemple est l’un des plus préoccupants, car il utilise une fusion de l’automatisation de l’IA avec l’ingénierie sociale.
L’intelligence artificielle et l’analyse à la rescousse
Si les cybercriminels utilisent des technologies intelligentes telles que l’IA pour lancer des attaques, alors nous devons y répondre de manière intelligente.
L’IA et l’apprentissage machine (ou « machine learning » — ML) offrent tous deux un moyen puissant d’atténuer les menaces.
Les cybercriminels utilisent l’IA et l’automatisation pour transformer des vecteurs d’attaque éprouvés et fiables en armes hyper puissantes.
Si les cybercriminels peuvent utiliser l’IA pour renforcer les formes existantes de cyberattaques, les organisations peuvent également, par la même occasion, utiliser ces technologies pour riposter.
L’IA et le ML, associés à des analyses avancées, peuvent être utilisés pour contrecarrer les cyberattaques, y compris celles basées sur l’automatisation.
Voici quelques exemples de l’utilisation de l’IA pour améliorer la cybersécurité :
Filtrage intelligent du web
Les cybercriminels placent des contenus malveillants sur des sites web et utilisent ensuite l’ingénierie sociale pour attirer les employés vers ces sites.
Ces sites peuvent être très difficiles à détecter et 78 % d’entre eux trompent les utilisateurs parce qu’ils semblent être des sites sécurisés.
Une solution de filtrage web DNS basée dans le cloud, alimentée par l’IA, offre une protection contre les menaces en ligne, notamment les malwares, les ransomwares et le phishing.
Les solutions de filtrage web basées sur l’IA utilisent l’automatisation et des analyses avancées pour effectuer des recherches parmi des milliards d’URL/IP et de sites de phishing qui pourraient compromettre votre réseau d’entreprise.
La solution de filtrage DNS de WebTitan offre une protection alimentée par l’IA contre les URL de phishing actives et émergentes, y compris les menaces du type « zéro day ».
Filtrage et analyse intelligents du courrier électronique
Le courrier électronique est l’arme de prédilection des cybercriminels, car c’est un excellent moyen de pénétrer le réseau d’une organisation.
Généralement, un mélange d’ingénierie sociale et de liens malveillants constitue le modus operandi de cette méthode de cyberattaque.
Toutefois, les pièces jointes malveillantes peuvent également provoquer l’infection de malwares.
Le rapport d’enquête sur les atteintes aux données de Verizon (DBIR) pour 2020 a révélé que 20 % des attaques de malwares sont lancées à l’aide de pièces jointes à des e-mails.
Un mélange de technologies d’apprentissage machine et d’analyse comportementale peut aider à détecter les e-mails suspects et à les isoler, en les empêchant d’atteindre les boîtes de réception des utilisateurs finaux.
Certaines technologies vont même plus loin en plaçant ces e-mails malveillants et leurs pièces jointes dans des bacs à sable sûrs (sandbox) afin de faire croire aux cybercriminels qu’ils ont atteint leur cible.
Cela donne également à l’administrateur système la possibilité de contrôler les e-mails entrants.
Les solutions avancées de sécurité du courrier électronique comme SpamTitan utilisent une combinaison de listes noires d’adresses IP malveillantes connues :
D’analyse des en-têtes et du contenu des courriers électroniques
D’analyse des liens
D’analyse antivirus et de sandboxing.
Elles utilisent également les protocoles SPF, DKIM et DMARC pour détecter et bloquer les attaques d’usurpation d’identité via le courrier électronique. Par ailleurs, elles intègrent l’IA et le ML pour identifier les attaques de phishing du type « zero day ».
Quelle que soit la méthode utilisée pour exploiter le courrier électronique, une entreprise doit être en mesure de filtrer les e-mails malveillants avant qu’ils n’arrivent dans la boîte de réception des employés.
Mais l’entreprise moderne doit faire face à un nombre massif d’e-mails. Même les petites entreprises sont inondées de spams. Le rapport Radicati prévoit que d’ici 2023, il y aura 347 milliards d’e-mails envoyés et reçus chaque jour.
Les systèmes de filtrage du courrier électronique de première génération ont été contournés par les cybercriminels et ne fonctionnent plus efficacement face à une telle quantité d’e-mails envoyés chaque jour.
L’utilisation du ML dans le filtrage et l’analyse du courrier électronique est venue à la rescousse. Cette technique offre un moyen de repérer les contenus malveillants, parmi tant d’autres.
Les solutions intelligentes de filtrage du courrier électronique utilisent des données réelles pour former un algorithme d’apprentissage automatique et ces données sont mises à jour en temps réel.
Plus il y aura d’e-mails malveillants ou non, plus la réponse sera précise.
Certains systèmes sont encore plus avancés, utilisant l’échantillonnage en continu et des superviseurs humains pour
Former les systèmes d’apprentissage machine supervisés
Ajuster ou optimiser leur efficacité, la précision et l’efficacité globale des systèmes de détection des actes malveillants.
L’IA apporte un équilibre à la lutte contre la cybersécurité
Les pirates informatiques sont toujours à la recherche de nouvelles manières de commettre des cyberattaques.
Cependant, ils reviennent souvent à l’utilisation du courrier électronique, qui agit comme une autoroute menant directement au centre de votre entreprise.
Au fur et à mesure que les entreprises ripostent, les cybercriminels et les pirates modifient leurs tactiques pour contourner les mesures de cybersécurité.
L’IA fournit les moyens de tirer parti de notre monde saturé de données et d’utiliser ces données pour créer des systèmes de cybersécurité plus proactifs.
En se tournant vers des systèmes avancés et intelligents qui utilisent l’IA, le ML et des analyses avancées, votre entreprise pourra faire face à ces attaques cybercriminelles.
Contactez-nous dès aujourd’hui pour parler de la protection de WebTitan contre les URL de phishing actives et émergentes, y compris les menaces du type « zéro day », grâce à l’intelligence artificielle.
