Emotet est l’une des principales menaces de malwares actuellement utilisées par les cybercriminels pour attaquer les entreprises.
Il est principalement diffusé par le biais des spams, en utilisant divers leurres pour convaincre les utilisateurs d’installer le cheval de Troie sur leurs ordinateurs.
Les spams sont générés par de nombreux ordinateurs infectés par le cheval de Troie.
Comment fonctionne Emotet : le nouveau leurre de mise à jour Windows
Emotet détourne le compte de messagerie de sa victime et l’utilise pour envoyer des spams à ses contacts professionnels.
Les e-mails distribuant Emotet ont tendance à avoir un thème commercial, puisque ce sont les utilisateurs professionnels qui sont les plus ciblés.
Les campagnes utilisent souvent des leurres de phishing éprouvés tels que de fausses factures, des bons de commande, des avis d’expédition et des CV, etc., et les messages contiennent souvent des informations limitées.
Le destinataire est tenu d’ouvrir la pièce jointe pour avoir des informations complémentaires.
En ce qui concerne les pièces jointes, les pirates utilisent souvent des documents Word mais pas exclusivement avec des macros malveillantes qui installent le cheval de Troie Emotet sur l’appareil de la victime.
Pour que les macros puissent s’exécuter, l’utilisateur doit « activer le contenu » lorsqu’il ouvre la pièce jointe. Pour inciter les utilisateurs à ouvrir les documents joints, les pirates utilisent diverses astuces.
Souvent, les documents indiquent que le document Word a été créé sur un appareil IoS ou un appareil mobile, et que le contenu doit être activé pour permettre la visualisation du contenu, ou que le contenu du document a été protégé et qu’il ne s’affichera pas si le contenu n’est pas activé.
Au début du mois d’octobre, un nouveau leurre a été utilisé par les pirates derrière Emotet.
Des spams ont été envoyés aux victimes pour expliquer qu’une mise à jour de Windows devait être installée pour mettre à jour les applications sur leurs appareils.
Enfaite, ils affirmaient que ces applications empêchaient Microsoft Word d’afficher le contenu du document joint aux e-mails malveillants.
Les utilisateurs ont reçu pour instruction d’activer l’édition (ce qui désactive l’affichage protégé) puis d’activer le contenu. Cependant, ceci permet à la macro malveillante de s’exécuter.
Emotet ne se contente pas d’une seule attaque
L’une des principales utilisations de ce cheval de Troie est de télécharger d’autres variantes de malwares sur les appareils infectés.
En réalité, les pirates sont payés par d’autres cybercriminels pour distribuer leurs charges utiles de malwares, comme le cheval de Troie TrickBot et le malware QBot.
Apparu en 2016, TrickBot était à l’origine un cheval de Troie bancaire, mais il a été régulièrement mis à jour au cours de l’année dernière pour ajouter de nouvelles fonctions.
TrickBot agit toujours comme un cheval de Troie bancaire, mais il est aussi devenu un voleur d’informations furtif et un téléchargeur de malwares, tout comme le logiciel malveillant QBot.
Comme pour Emotet, une fois que les pirates derrière ces chevaux de Troie ont atteint leurs objectifs, ils livrent une charge utile secondaire de malwares.
Par exemple, TrickBot a été largement utilisé pour livrer le logiciel Ryuk, l’une des plus grandes menaces de ransomware actuellement utilisé par les pirates.
QBot s’est également associé à d’autres types de menace et peut désormais distribuer le ransomware Conti. À partir d’un seul e-mail de phishing, une victime peut donc recevoir Emotet, TrickBot, QBot, et subir ensuite une attaque de ransomware.
Comment faire face à Emotet : le nouveau leurre de mise à jour Windows
Il est donc essentiel que les entreprises mettent en œuvre une solution antispam efficace pour bloquer les e-mails malveillants à la source et empêcher qu’ils ne soient envoyés dans les boîtes de réception de leurs employés.
Il est également important de dispenser une formation de sensibilisation à la sécurité aux employés pour les aider à identifier les messages malveillants comme les e-mails de phishing, au cas où un message malveillant ne serait pas bloqué et atteindrait leurs boîtes de réception.
Les organisations qui s’appuient sur les défenses antispam par défaut, fournies avec les licences Office 365, devraient envisager de mettre en œuvre une solution de filtrage du spam supplémentaire pour améliorer leur protection contre Emotet, les autres malwares et les campagnes de phishing.
Les e-mails de phishing échappent souvent aux défenses d’Office 365 et sont livrés dans les boîtes de réception des employés.
Ajoutez une solution puissante et avancée de filtrage des spams (telle que SpamTitan) aux protections antispam d’Office 365 pour mieux protéger vos employés.
Pour en savoir plus sur les fonctionnalités complètes de SpamTitan et sur la manière dont la solution protège votre entreprise contre les menaces de malwares, de ransomware, de phishing et de spear phishing, contactez notre équipe dès aujourd’hui.
Si vous le souhaitez, nous pouvons organiser une démonstration du produit et nous fournirons des réponses à vos questions ainsi qu’une assistance pour vous aider à mettre en place un essai gratuit.
De cette manière, vous pourrez évaluer la solution dans votre propre environnement.
Le filtrage basé sur le DNS est vital pour la fourniture d’un accès Internet viable sur les campus universitaires.
En fait, l’accès WiFi est souvent proposé aux invités, aux étudiants et aux professeurs. Des milliers d’utilisateurs peuvent ainsi se connecter au WiFi public des universités.
Alors que de nombreuses entreprises n’offrent le WiFi qu’à leurs clients, les universités doivent relever le défi unique d’offrir l’accès sans fil internet à des milliers de personnes, alors que certaines pourraient l’utiliser à des fins malveillantes.
C’est la raison pour laquelle les universités sont des cibles importantes pour les cybercriminels. Ces derniers utilisent les services WiFi pour exploiter les éventuelles failles afin d’obtenir les données personnelles des étudiants et des professeurs.
L’enjeu ? Le sentiment de sécurité de la part des étudiants et du corps enseignant
Certains utilisateurs qui ne font pas confiance au WiFi public gratuit pourraient se sentir plus en sécurité lorsqu’ils se connectent à un réseau WiFi d’une université, en supposant que les administrateurs sont suffisamment qualifiés pour le sécuriser.
Bien que cela puisse être vrai dans certaines universités, ce faux sentiment de sécurité peut représenter une vulnérabilité pour d’autres. Sur un réseau WiFi d’entreprise, un pirate informatique n’a généralement que quelques cibles potentielles.
Sur le réseau WiFi d’une université, par contre, il peut choisir parmi des centaines d’utilisateurs vulnérables où ils peuvent effectuer les analyses à la recherche des vulnérabilités toute la journée, 7 jours sur 7.
Recherche de dispositifs vulnérables
Sur le campus, les cybercriminels ne ciblent pas un seul ordinateur ou un appareil. Souvent, les utilisateurs (étudiants, personnel ou visiteurs) peuvent utiliser plusieurs appareils en permanence – ordinateur portable, tablette, Smartphone, etc. – qui sont connectés à l’aide d’un seul compte.
Un attaquant peut analyser le réseau à l’aide d’outils personnalisés ou de logiciels qui peuvent être téléchargés gratuitement sur Internet, comme Wireshark ou Network Miner.
Il suffit d’une seule vulnérabilité pour qu’il puisse télécharger du contenu malveillant ou voler des données sensibles.
Grâce à ces outils, l’attaquant peut également intercepter et écouter les données. Si un utilisateur est connecté à un serveur dont les protocoles de chiffrement sont médiocres, les données peuvent être déchiffrées facilement.
Parmi les autres menaces, on peut citer les attaques de phishing qui utilisent diverses techniques telles que le XSS ou le détournement de session.
Que peut-on faire pour protéger le réseau WiFi public des universités ?
Les utilisateurs peuvent prendre les mesures nécessaires pour protéger leurs données, mais l’université doit également fournir la cybersécurité, la surveillance et le système de filtrage de contenus adéquats pour arrêter les attaquants lorsqu’ils se connectent au réseau.
Les utilisateurs doivent toujours vérifier qu’une connexion à un serveur d’application utilise le HTTPS, mais les sites qui utilisent des algorithmes de sécurité médiocres laissent encore certains utilisateurs plus vulnérables.
Les attaquants peuvent aussi déchiffrer les messages que vous échangez via le réseau en utilisant des algorithmes faibles.
Bien que les utilisateurs doivent assumer la responsabilité de leur propre cybersécurité et de la sécurité de leurs données, les universités qui hébergent des systèmes WiFi publics devraient également ajouter les protections nécessaires pour les utilisateurs du réseau.
Les serveurs des universités contiennent une grande partie des informations personnelles des étudiants et des professeurs. Tout réseau WiFi doit ainsi être séparé du réseau interne.
Les pirates informatiques ne cherchent pas seulement à acquérir des informations personnelles. Les universités sont des institutions de recherche. Certaines des découvertes faites et des produits développés sont précieux.
De nombreuses entreprises privées, des particuliers, et même des gouvernements étrangers sont désireux d’accéder aux informations stockées sur les réseaux des universités.
Les réseaux WiFi sont souvent considérés comme un moyen facile d’accéder à des identifiants de connexion et d’installer des malwares sur ces réseaux.
Au lieu d’autoriser toute activité sur le réseau WiFi de l’université, les administrateurs devraient prendre un contrôle proactif des types de trafic qui y sont autorisés et mettre sur liste noire les sites web et les applications malveillantes.
Ce contrôle administratif peut être mis en œuvre à l’aide d’une solution DNS basée dans le cloud qui peut bloquer les sites web en fonction d’une liste d’adresses IP bloquées par les administrateurs WiFi.
Grâce aux filtres DNS, les administrateurs peuvent ajouter une couche de sécurité entre tout utilisateur connecté à internet via le WiFi de leur établissement.
Toute adresse IP figurant sur la liste noire sera bloquée lorsque les utilisateurs tenteront d’accéder à des applications interdites.
Comme la solution est basée sur des consultations du DNS, les performances du réseau s’accélèrent grâce à la réduction des contenus interdits téléchargés sur le réseau WiFi.
Les utilisateurs qui se connectent au contenu du réseau WiFi effectuent toujours une recherche DNS à partir d’un navigateur, et c’est dans cette recherche, des filtres sont ajoutés pour que les utilisateurs ne puissent pas contourner les solutions de cybersécurité qui sont en place.
Il est essentiel d’offrir un environnement sûr à tous les utilisateurs des réseaux WiFi des universités.
La quantité massive de données sensibles contenues dans le trafic réseau est précieuse pour les attaquants, et le nombre croissant d’utilisateurs et de dispositifs connectés au WiFi fait des universités restent une cible de choix pour les pirates informatiques.
Les solutions de filtrage basées sur le DNS stoppent une grande partie du contenu et des activités malveillantes qui épuisent la bande passante, réduisant ainsi les performances du trafic pour les utilisateurs légitimes.
Les solutions de cybersécurité basées dans le cloud de TitanHQ pour le WiFi offrent une protection pratique et à toute épreuve à vos utilisateurs.
Avantages de WebTitan Cloud pour le WiFi, pour le filtrage des contenus web dans les universités
Solution de filtrage du web 100 % basée dans le cloud
Aucune installation de logiciel requise
Pas d’exigences supplémentaires en matière de matériel
Panneau de contrôle de l’administration en ligne facile à suivre
Contrôle central de plusieurs routeurs
Couverture de nombreux endroits, peu importe le pays où la solution est utilisée
Aucune restriction quant au nombre de routeurs ou de lieux
Aucune restriction de bande passante (bien entendu, vous pouvez appliquer certaines restrictions concernant l’utilisation de la bande passante par l’utilisateur si vous le souhaitez
Rapports détaillés sur l’utilisation et le trafic du réseau
Prise en charge des adresses IP dynamiques ou changeantes
Fonctionnement avec tout appareil qui rejoint votre réseau
Aucune latence lors de la navigation sur Internet
Contrôles très granulaires qui permettent de régler avec précision le filtrage des contenus web
Malwarebytes a récemment publié un rapport montrant qu’une campagne a été mené, en utilisant Fallout, le kit d’exploitation sur des sites web pour adultes, afin de distribuer Racoon Stealer.
Cette cyberattaque a été portée à la connaissance du réseau publicitaire et la publicité malveillante a été retirée. Cependant, elle a rapidement été remplacé par une autre publicité qui redirigeait les visiteurs vers un site hébergeant le kit d’exploitation Rig.
Une autre campagne a donc été découverte, réputée pour cibler divers réseaux de publicité pour adultes.
Les publicités malveillantes ont été diffusées par un large éventail de plateformes en ligne, dont l’une des plus populaires compte plus d’un milliard vues par mois.
L’acteur de la menace avait déposé des offres pour les utilisateurs d’Internet Explorer (IE) uniquement, car le kit d’exploitation comprenait un exploit pour une faille non corrigée de ce navigateur.
Les pirates exploitaient les failles CVE-2019-0752 et CVE-2018-15982. La première est une vulnérabilité d’IE, tandis que la seconde est une vulnérabilité d’Adobe Flash Player.
Lors de cette campagne, le malware Smoke Loader a été partagé avec Racoon Stealer et ZLoader.
Comment éviter les attaques par kits d’exploitations sur les sites web pour adultes
Pour qu’un kit d’exploitation soit efficace, un ordinateur doit avoir une faille non corrigée.
Le patch rapide est presque l’une des méthodes les plus efficaces utilisées pour éviter les attaques, mais il est également important de cesser d’utiliser Internet Explorer et Flash Player, car les vulnérabilités de ces applications sont fréquemment attaquées.
Ces campagnes peuvent également être simplement évitées en utilisant un filtre web.
À moins que votre entreprise ne travaille dans le secteur du divertissement pour adultes, l’accès à des contenus pour adultes sur des appareils de travail doit être empêché.
Un filtre web permet à votre entreprise de bloquer l’accès à tous les sites web pour adultes et à d’autres catégories de contenus web auxquels les employés ne devraient pas avoir accès lorsqu’ils sont au bureau.
Un filtre web basé dans le cloud, tel que WebTitan, est une option rentable qui vous permet de vous prémunir contre les attaques véhiculées par le web, telles que les kits d’exploitation et les téléchargements de malwares.
Il peut aussi aider votre entreprise à améliorer la productivité des employés en les empêchant de consulter des sites web qui n’ont aucun but professionnel.
Par ailleurs, les filtres web peuvent réduire la responsabilité légale en empêchant vos employés de participer à des activités illégales en ligne, telles que l’installation de fichiers qui violent les droits d’auteur.
Après la configuration de la solution (ce qui est un processus rapide), l’accès à des catégories spécifiques de sites web peut être bloqué d’un clic de souris et vos employés ne pourront plus consulter les sites web connus pour héberger des malwares, des kits de phishing et d’autres sites web malveillants potentiellement dangereux.
Pour plus de détails sur WebTitan et sur la protection de votre entreprise contre les attaques lancées via le web, contactez TitanHQ dès maintenant.
Une nouvelle campagne de phishing a été découverte. Elle cible des entreprises dans le but de voler leurs identifiants Microsoft Outlook.
Les pirates font une usurpation de KnowBe4, une entreprise qui dispense une formation de sensibilisation à la sécurité pour permettre aux entreprises de former leurs employés à reconnaître une attaque de phishing.
Les e-mails avertissent leurs destinataires que l’expiration prochaine d’un module de formation à la sensibilisation à la sécurité approche. Les destinataires sont ainsi informés qu’ils ne leur restent plus qu’un jour pour terminer leurs formations.
Trois liens sont alors intégré dans les e-mails. À première vue, ils ressemblent à la véritable URL de KnowBe4. Pourtant, ils redirigent les utilisateurs vers une page de phishing (un site web compromis) où leurs informations d’identification et leurs informations personnelles d’Outlook peuvent être volées.
Des directives sont fournies pour la conduite de la formation en dehors du réseau. Les utilisateurs sont alors invités à fournir leurs noms d’utilisateurs et leurs mots de passe avant de cliquer sur le bouton d’ouverture de session.
Ce faisant, ils sont censés accéder au module de formation.
Bien que le site vers lequel l’e-mail de phishing redirigeant les utilisateurs soit réaliste, il y a un signe qui révèle d’une escroquerie : le nom de domaine. De nombreuses URL différentes sur toute une série de sites différents sont utilisées dans le cadre de cette campagne.
Celles-ci ne sont pas toutes liées au fournisseur de la formation de sensibilisation à la sécurité. Cependant, certains employés très occupés n’ont pas eu la prudence de vérifier ces URL avant de divulguer leurs identifiants de connexion.
Phishing KnowBe4: un danger constant pour l’ensemble des entreprises
Usurper l’identité d’une société de cybersécurité spécialisée dans la prévention du phishing est une manœuvre courageuse, dont le but est de faire croire aux employés que les e-mails qu’ils ont reçus sont authentiques.
Toute entreprise peut être victime d’une usurpation d’identité dans le cadre d’une campagne de phishing.
Ce n’est pas parce que votre organisation a fourni des services de lutte contre le phishing que le courrier électronique ne doit pas être soumis à des contrôles habituels pour prouver sa validité.
Ceci devrait être souligné dans les modules de formation des employés.
Cofense — le groupe qui a examiné les sites web — a rapporté que les sites compromis ont récemment hébergé un shell web qui permettait aux pirates de télécharger et de modifier des fichiers.
Les sites web ont été compromis depuis au moins avril 2020, à l’insu de leurs propriétaires. Le kit de phishing qui a été mis en place dans le cadre de cette campagne a affecté au moins 30 sites web différents depuis le début de la campagne à la mi-avril.
Vos employés reçoivent des centaines d’e-mails chaque semaine.
Il est donc difficile pour eux de détecter les e-mails de phishing, surtout lorsque la plupart d’entre eux sont réalistes et très similaires aux véritables e-mails qu’ils reçoivent chaque jour.
La formation à la sécurité est cruciale, mais il est également important de configurer une solution de filtrage du spam avancé, capable de bloquer pratiquement tous les e-mails malveillants, avec un taux de détection de plus de 99,9 %.
Avec une solution de filtrage du spam avancée comme celle de SpamTitan, ces e-mails malveillants pourront être bloqués à la source et n’arriveront pas dans les boîtes de réception des utilisateurs finaux, ce qui améliore votre protection contre les menaces cybercriminelles.
Selon Gartner, 88 % des entreprises ont dû rendre le télétravail obligatoire pendant la pandémie du Covid-19.
306,4 milliards d’emails sont envoyés et reçus quotidiennement en 2020 (source : Radicati).
60 % des informations contenues dans les emails sont des données critiques pour les entreprises (source : IDC).
L’année 2020 restera dans l’histoire comme une année de défis. L’un de ces défis est la façon dont le travail à distance a changé le paysage technologique et commercial.
Pour que les communications entre les employés soient fluides et sans entrave, le courrier électronique a pris une place centrale.
L’archivage des emails dans le cloud offre un moyen de gérer les emails professionnels pour garantir leurs conformités, leurs sécurités et leurs confidentialités.
Le télétravail est-il devenu la nouvelle norme ?
Le travail à distance n’est pas nouveau. Avant la pandémie, en 2015, 3,4 % de la main-d’œuvre américaine travaillait déjà à domicile. Même après la pandémie, le travail à distance devrait faire partie de notre vie professionnelle.
Ce bouleversement des conditions de travail a eu un impact sur la productivité et la continuité des activités.
Pour passer du bureau au domicile, les entreprises dans le monde entier se sont tournées vers la technologie du cloud pour maintenir la communication et le flux de travail de leurs employés.
La technologie du cloud s’est développée pour répondre aux défis du travail à distance.
Cependant, comme les employés se connectent actuellement à distance, les organisations doivent s’assurer que la sécurité, la confidentialité et la conformité des données soient assurées, même en dehors des frontières du bureau.
L’archivage des emails dans le cloud offre un moyen économique et efficace de gérer les données liées aux comptes de messagerie électronique pour tous vos employés qui travaillent à distance.
Archivage du courrier électronique : par défaut, à distance ?
Le courrier électronique a toujours été une technologie qui était, par défaut, utilisée pour la communication à distance.
Cependant, il peut aussi servir à stocker de façon centralisée des données sensibles concernant les employés et leur entreprise.
Les entreprises peuvent l’utiliser pour conserver des informations, en se référant à d’anciens emails pour trouver des informations vitales et pour s’assurer que les mesures légales et de conformités sont respectées.
L’un des avantages de l’archivage du courrier électronique dans le cloud est la centralisation de serveurs de courriers électroniques disparates. Dans des conditions de travail à distance, c’est encore plus important.
L’archivage des emails dans le cloud offre un moyen de consolider et de gérer les données contenues dans les emails professionnels.
Mais comment l’archivage du courrier électronique s’intègre-t-il dans un monde de travail à distance ?
Et comment les questions de conformité, de sécurité et de confidentialité des emails sont-elles traitées dans des environnements de travail disparates ?
Télétravail, archivage des emails et conformité
Le courrier électronique est soumis à des réglementations sur la protection des données et à d’autres questions juridiques. Plusieurs règlements comportent des exigences concernant la conservation, l’intégrité, la sécurité et l’audit des emails.
Il s’agit notamment de la loi Sarbanes-Oxley (SOX) pour la prévention de la fraude et la protection des données personnelles via la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA).
L’archivage des emails dans le cloud peut répondre aux exigences réglementaires en offrant un contrôle d’accès, la possibilité de réaliser facilement les audits et une gestion de la conservation robuste.
Archivage et sécurité des emails
Le courrier électronique est une riche source de données sensibles, financières et de propriété intellectuelle, ce qui le place dans la ligne de mire des cybercriminels.
Les menaces en ligne telle que le Business Email Compromise (BEC) se concentrent sur l’usurpation d’adresses électroniques ou le piratage comme méthode pour voler de grosses sommes d’argent aux entreprises.
Les attaques d’initiés sont également préoccupantes, qu’elles soient malveillantes ou accidentelles.
L’archivage des emails dans le cloud peut atténuer les risques de perte de données. Les fonctionnalités comprennent le contrôle d’accès et la restauration des messages supprimés ou modifiés.
Une solution basée dans le cloud offre un environnement sécurisé tout en facilitant l’accès des employés à distance à ces messages.
Archivage et confidentialité des emails
En plus de contenir des données d’entreprise sensibles, les emails contiennent également des données sur vos clients.
Ces informations sont souvent très sensibles et peuvent contenir des informations financières, notamment des informations sur les comptes bancaires. Celles-ci doivent rester privées pour des raisons de conformité et de confiance.
Toutes les données relatives aux transactions, aux comptes clients, aux demandes, etc. doivent être archivées en toute sécurité.
Le fait de ne pas exécuter ces actions entraîne non seulement des amendes pour non-conformité, mais aussi une perte de réputation pour les entreprises.
La loi californienne sur la protection de la vie privée des consommateurs (CCPA), par exemple, stipule qu’une entreprise doit mettre en place un processus de récupération et de suppression des données personnelles, sur demande.
Cela inclut les emails et les données dans les archives.
Les solutions d’archivage des emails basées dans le cloud doivent pouvoir attribuer des rôles aux personnes appropriées pour leur permettre d’examiner, d’exporter et de supprimer en toute sécurité les données et certains messages en cas de besoin.
Contactez l’équipe de TitanHQ si vous voulez discuter de la façon dont l’archivage des emails peut assurer la continuité des activités de vos employés qui travaillent à distance.
