Les fournisseurs de services managés (MSP) sont désormais très occupés à prendre en charge les demandes de plusieurs clients.
Les défis posés par la pandémie du COVID-19 ont encore rendu leurs tâches beaucoup plus difficiles pour qu’ils puissent s’assurer que leurs clients restent fonctionnels même pendant le confinement.
En plus de soutenir la technologie des entreprises, les MSP doivent aider les travailleurs à distance.
Les pirates informatiques savent très bien que les travailleurs à domicile sont plus vulnérables aux attaques de phishing et d’ingénierie sociale.
Ces attaques ont beaucoup augmenté et les MSP ont été chargés de sécuriser les données des entreprises contre des menaces supplémentaires.
La cybersécurité peut toujours être une priorité, même lorsque les clients des MSP ont une main-d’œuvre à domicile.
La surveillance est plus importante que jamais
Les attaquants qui accèdent aux ressources de l’entreprise sont de moins en moins visibles lorsque personne ne surveille le réseau.
Pendant les heures de travail normales, c’est-à-dire dans les locaux de l’entreprise, les administrateurs et même les employés peuvent remarquer une activité étrange sur leur réseau.
Mais lorsque les employés travaillent à domicile, certains de ces signaux d’alerte peuvent être moins évidents.
De nombreux outils de surveillance peuvent détecter le trafic réseau suspect et envoyer des notifications aux administrateurs. Il est également possible d’utiliser l’intelligence artificielle pour évaluer l’activité normale et détecter les tentatives d’accès inhabituelles à des fichiers.
En surveillant l’activité d’accès à certains fichiers à l’aide de l’intelligence artificielle, les MSP peuvent s’assurer que la cybersécurité est adaptée à chaque entreprise et que les alertes sont configurées pour répondre à des besoins spécifiques.
Une meilleure formation des utilisateurs pour contrer les attaques d’ingénierie sociale
Il a été démontré que la formation des utilisateurs réduit les risques de l’ingénierie sociale pour les entreprises. Des recherches montrent que les attaques utilisant l’ingénierie sociale et le phishing ont fortement augmenté pendant la pandémie du COVID-19.
Les pirates utilisent des e-mails malveillants combinés à l’ingénierie sociale pour accéder aux données de l’entreprise, et les travailleurs à domicile sont plus susceptibles de tomber dans le piège de ces escroqueries.
Le succès des attaques de phishing et d’ingénierie sociale rend la tâche beaucoup plus ardue aux fournisseurs de services mobiles qui doivent détecter, contenir et éradiquer toute activité malveillante sur un réseau d’entreprise.
La réponse aux incidents peut prendre plusieurs semaines, et les enquêtes pour détecter ce qui a mal tourné font partie de la responsabilité des MSP.
En réalité, la formation des utilisateurs permet de réduire le risque de réussite d’une attaque de phishing et d’ingénierie sociale.
Cela donne à vos employés les connaissances nécessaires pour détecter les formes d’escroquerie et pour signaler toute activité suspecte aux administrateurs.
Utiliser le filtrage des e-mails pour réduire les escroqueries et le phishing
Avec l’augmentation des attaques de phishing, les MSP doivent veiller à ce que les utilisateurs soient formés, mais la réduction de la capacité de l’attaquant à envoyer des e-mails dans les boîtes de réception des utilisateurs renforce également l’efficacité de la cybersécurité.
Les applications de filtrage des e-mails peuvent être appliquées à distance au système de l’entreprise. Il s’agit donc d’un outil efficace pour protéger les employés des menaces web pendant la crise du COVID-19. De plus, cela ne nécessite qu’une installation à distance sur leur système.
Les filtres web peuvent également tirer parti de l’intelligence artificielle. En effet, les MSP peuvent actuellement fournir des filtres plus efficaces pour leurs clients avec peu de faux positifs.
Ce qui pose souvent problèmes est qu’un nombre trop élevé de faux positifs peut conduire à l’épuisement des analystes lorsque les notifications légitimes sont ignorées. Les faux positifs augmentent également le temps nécessaire aux analystes pour examiner une notification légitime.
Communication accrue avec les clients pour les informer des dernières attaques via le web
Les MSP devraient toujours communiquer avec leurs clients, mais les entreprises doivent désormais faire face à une main-d’œuvre dispersée.
Les clients ont leur propre mode de communication, mais les MSP devraient faire preuve de plus de diligence en diffusant des notifications alertant leurs clients sur les dernières menaces en cours, étant donné le nombre d’attaques de phishing et d’ingénierie sociale qui ne cesse d’augmenter.
De plus en plus d’employés travaillent actuellement à domicile, et c’est pour cette raison que la communication est essentielle, en particulier dans le domaine de la cybersécurité.
Plus les utilisateurs auront de connaissances en matière de cybersécurité, plus ils seront en mesure d’identifier les menaces. À noter que les attaques de phishing et d’ingénierie sociale peuvent conduire à bien plus que le vol de données.
En effet, les attaquants peuvent obtenir des identifiants d’utilisateur, ce qui représente des menaces persistantes sur le réseau, laissant des portes dérobées et permettant le téléchargement des malwares pour leur permettre de lancer des attaques supplémentaires.
Grâce à une communication accrue, les employés, y compris les cadres, pourront savoir qu’une attaque vise l’entreprise et être en alerte lorsqu’ils reçoivent des e-mails suspects.
Les MSP qui communiquent avec les clients pourront donc réduire les attaques réussies et protégeront les clients contre les menaces courantes via le web.
Les fournisseurs de services mobiles et le paysage actuel de la cybersécurité
Les MSP ont déjà une grande responsabilité pour assurer la sécurité des données de leurs clients, mais la crise du COVID-19 a aussi apporté plusieurs autres défis, principalement une nouvelle main-d’œuvre à domicile qu’ils doivent protéger.
La sécurisation des données des clients peut être assurée par des filtres des e-mails, par une surveillance accrue des infrastructures et par une communication continue et la formation des utilisateurs.
Une fois ces stratégies en place, les MSP obtiendront de meilleurs résultats pour leurs clients.
COVID-19 a changé la façon dont les employés travaillent ainsi que le paysage de la cybersécurité. Même avec ce changement, les MSP peuvent toujours maintenir un lieu de travail sûr pour leurs clients.
Avec une infrastructure adéquate en place et une formation des utilisateurs, ils peuvent s’assurer que leurs clients travaillent de manière transparente et réduire les risques de violation des données.
TitanHQ collabore avec des fournisseurs de services managés dans le monde entier depuis 1999 et travaille actuellement en partenariat avec plus de 1 500 d’entre eux.
Nous avons développé WebTitan pour le secteur des MSP afin de répondre aux exigences spécifiques du marché des PME.
Cette orientation a débouché sur notre stratégie de commercialisation de WebTitan, le programme MSP conçu pour nos partenaires stratégiques, les fournisseurs d’accès Internet et les MSP.
Nous protégeons 7 500 entreprises et travaillons quotidiennement avec plus de 1 500 MSP. Nous protégeons vos clients contre les malwares, les ransomwares, le phishing, les virus, les botnets et bien d’autres cybermenaces. Plus important encore, nos produits ont été conçus à partir de zéro avec des MSP et pour les MSP.
Contactez-nous dès aujourd’hui pour en savoir plus sur notre programme MSP pour les fournisseurs d’accès Internet stratégiques et les partenaires MSP.
En raison de la vitesse à laquelle des changements tumultueux se sont produits dans presque tous les secteurs, nous imaginons que de nombreux fournisseurs de services managés (MSP) se demandent comment ils se débrouillent par rapport à leurs pairs.
Le rapport de recherche annuel du leader mondial en documentation informatique, IT Glue, qui a été récemment publié nous donne un aperçu de la façon dont les MSP s’adaptent à la norme COVID-19 et aux autres défis auxquels tant d’entreprises sont confrontées.
Un aperçu actuel de l’industrie des fournisseurs de services
Le rapport de la société Kaseya nous donne un aperçu de l’environnement actuel des MSP.
Les résultats compilés de l’enquête nous montrent que la détérioration des conditions économiques a un impact négatif pour ces professionnels.
51 % des MSP ont vu leurs revenus mensuels diminuer en raison de la pandémie du coronavirus et de ses retombées économiques.
29 % des MSP ont vu leurs comptes clients augmenter. Malheureusement, ce n’est pas une bonne chose, car cela indique que les clients retardent leurs paiements contractuels.
Faut-il offrir des services basiques ou spécialisés ?
Le débat sur la question de savoir s’il faut offrir un éventail de services plus général ou se spécialiser est un sujet de discussion constant pour les MSP.
Jusqu’à présent, ceux qui se concentrent sur un secteur spécifique ont connu un revenu légèrement plus élevé que ceux qui offrent des services plus généraux, soit 79 % contre 75 %, respectivement.
Les MSP qui ciblent des industries spécifiques étaient plus susceptibles de réaliser un bénéfice de l’ordre de 20 % ou plus. Les quatre industries les plus rentables sont les suivantes :
Service légal (43 %)
Gouvernement (40 %)
Finances (39 %)
Services professionnels (38 %)
Si les généralistes sont plus vulnérables face à la concurrence, notamment à cause de la réduction des prix des services, il y a de plus grands risques inhérents à une trop grande spécialisation dans une technologie ou une industrie donnée.
Principales préoccupations pour l’avenir
L’enquête a été menée en deux parties, la première a été réalisée avant la pandémie et la seconde consistait en un suivi.
Cette dernière a été effectuée en mai dans le but de comparer les appréhensions des MSP avant et pendant la crise actuelle. Les principales préoccupations pré-pandémiques étaient les suivantes :
La principale préoccupation était la crainte de ne pas pouvoir mener à bien les projets ouverts et prévus.
54 % des MSP ont déclaré leur incapacité à trouver des employés techniquement compétents.
32 % des personnes interrogées étaient préoccupées par la nécessité d’apprendre et de mettre en œuvre de nouvelles technologies.
27 % ont affirmé le manque de partage d’informations.
Lors de l’enquête de suivi, au maximum, 20 % des personnes interrogées ont mentionné ces préoccupations.
La préoccupation dominante (74 %) était la crainte de futurs blocages dus à une deuxième vague de COVID-19 qui ajouterait un stress supplémentaire à leur entreprise.
36 % des personnes interrogées ont indiqué que la perte de clientèle était leur deuxième préoccupation.
29 % étaient préoccupés par le niveau croissant de leurs créances à cause de la pandémie du Covid-19.
Le problème de l’augmentation des créances est que les MSP concernés sont essentiellement transformés en une institution de prêt sans intérêt.
Ils doivent ainsi tenter d’accélérer le recouvrement sans mettre à mal la relation avec leurs clients. Bien entendu, ils sont également contraints de retarder les paiements de leurs fournisseurs.
Les MSP comparés au reste de l’économie
Toutes les industries ont été touchées par la crise du COVID-19. Étant donné que de nombreux MSP offrent des services aux PME, il est bon d’utiliser les petites entreprises au sens large comme comparaison.
Selon l’Institut Brookings, la localisation d’une entreprise a un impact important sur les revenus. Aux États-Unis, l’impact négatif varie selon les États, avec un écart de 20 à 80 % entre les revenus négatifs.
Une enquête menée par le Bureau américain du recensement, qui a porté sur plus de 100 000 petites entreprises, a révélé ce qui suit :
51 % ont réalisé des revenus négatifs et prévoient une période de récupération de six mois.
Le secteur des services de restauration a été le plus touché, puisque 83 % d’entre elles ont connu une baisse de leurs revenus.
41 % des entreprises ont dû fermer leurs portes pendant au moins un jour durant la pandémie, ce chiffre dépassant 70 % pour les entreprises des secteurs de l’éducation, des arts, du divertissement et des loisirs. Même 62 % des entreprises du secteur de la santé ont dû fermer dans une certaine mesure.
Quoi qu’il en soit, les MSP se portent mieux que la plupart des industries qu’ils servent actuellement. Cela montre l’importance cruciale de la technologie aujourd’hui et comment elle est devenue le moteur de l’innovation et de la compétitivité pour presque toutes les industries.
Chez TitanHQ, nous pensons toujours à nos partenaires MSP, en particulier ceux qui participent à notre programme TitanShield MSP, car notre succès dépend de leur réussite.
Dans notre prochain blog, nous proposerons aux MSP quelques idées pour faire face à l’environnement économique actuel et nous allons vous expliquer comment certains d’entre eux ont su en tirer le meilleur parti.
Une campagne de phishing qui diffuse un cheval de Troie d’accès à distance (RAT) appelé Hupigon — identifié pour la première fois en 2010 — vise les établissements d’enseignement supérieur aux États-Unis.
Le RAT Hupigon a été précédemment déployé par des groupes de menace persistante (APT ou Advanced Persistent Threats) avancés de Chine.
On pense que cette campagne n’a pas été menée par des groupes APT. Ce qui est certain, c’est que Hupigon a été reconverti par des pirates informatiques.
De nombreuses industries ont été ciblées dans le cadre de cette campagne. Il faut toutefois noter que près de la moitié des attaques ont été menées contre des lycées et des universités.
Le RAT Hupigon permet aux pirates d’installer des malwares, de voler des mots de passe et d’obtenir l’accès au microphone et à la webcam d’un appareil informatique. Ils pourraient ainsi prendre en charge la gestion complète de l’appareil infecté.
La campagne utilise des leurres de rencontres en ligne pour tromper les utilisateurs afin qu’ils puissent installer le cheval de Troie. Des e-mails ont été envoyés aux personnes cibles, montrant deux profils de rencontres d’utilisateurs supposés de la plateforme.
Le destinataire de l’e-mail est invité à sélectionner celui(celle) qu’il trouve le(la) plus séduisant(e). Lorsque l’utilisateur fait son choix, il est redirigé vers un site web où un fichier exécutable devrait être téléchargé pour pouvoir entrer en contact avec la personne qu’il a choisie. En faisant cela, il installe le RAT Hupigon.
Le choix du leurre pour cette campagne est sans doute influencé par l’énorme augmentation de la popularité des applications de rencontres en ligne pendant la pandémie du COVID-19.
Bien qu’il n’y ait pas beaucoup de rendez-vous réels en raison des mesures de confinement et de distanciation sociale qui sont actuellement adoptées dans le monde, les gens ont beaucoup de temps libre. Cette situation, associée à l’isolement social de nombreuses personnes célibataires, a entraîné une augmentation de l’utilisation des applications de rencontres en ligne.
La plupart des utilisateurs se tournent actuellement vers Zoom et FaceTime pour obtenir des rendez-vous virtuels, mais de nombreuses autres applications de rencontres populaires ont également connu une hausse d’utilisation pendant la pandémie du COVID-19.
Par exemple, selon un rapport de Tinder, l’utilisation de cette plate-forme a considérablement augmenté ces derniers temps. Lors de sa journée la plus chargée, son nombre d’abonnés est passé à 3 milliards.
Les sujets liés au COVID-19 ont été récemment très prisés par les pirates pour servir de leurres pour les attaques de phishing. Lorsqu’un événement ou une nouvelle particulière concernant la pandémie suscite de l’intérêt, les pirates informatiques en profitent.
Avec la popularité croissante des applications de rencontre en ligne, nous pouvons donc nous attendre à une augmentation du nombre de leurres sur ce thème pour duper les utilisateurs.
Le conseil aux établissements d’enseignement supérieur et aux entreprises est de s’assurer qu’une solution avancée de filtrage du spam est en place pour prévenir les messages malveillants et pour les empêcher d’arriver dans les boîtes de réception des utilisateurs finaux. Il est également crucial de dispenser des formations de sensibilisation à la sécurité pour les employés qui travaillent encore au bureau, les étudiants et les employés distants afin de leur apprendre à repérer les signes de phishing et les autres menaces lancées via la messagerie électronique.
TitanHQ peut vous aider. Si vous souhaitez mieux protéger vos employés, vos étudiants, et garder vos boîtes de réception à l’abri des menaces en un rien de temps, appelez l’équipe du TitanHQ dès aujourd’hui.
Un nouveau module tente de compromettre les comptes de bureau à distance afin d’accéder aux ressources des entreprises. En réalité, le malware TrickBot a ajouté une nouvelle fonctionnalité, un module appelé rdpScanDll, conçu pour forcer les comptes RDP (REMOTE DESKTOP PROTOCOL).
Selon BitDefender, ce module a déjà été utilisé dans plusieurs campagnes qui ciblent plusieurs secteurs comme la télécommunication, la finance, l’éducation, notamment à Hong Kong et aux États-Unis.
Le protocole RDP de Microsoft permet l’accès à distance à un autre serveur ou ordinateur. Il est souvent utilisé par les équipes techniques pour le service de dépannage ou par les travailleurs distants.
Qui est TrickBot ?
TrickBot, également connu sous le nom de TrickLoader, est un cheval de Troie bancaire complexe qui a été identifié pour la première fois en 2016. Il s’agit d’une plate-forme de distribution de longue date pour des développeurs de ransomware comme Ryuk. TrickBot reste une menace importante malgré le démantèlement de ses serveurs.
Selon Microsoft, ce cheval de Troie a infecté plus d’un million d’appareils informatiques dans le monde depuis fin 2016. Bien que l’identité exacte des escrocs derrière ce malware soit inconnue, les recherches suggèrent qu’il pourrait s’agir d’États-nations et de réseaux criminels ayant des objectifs variés.
Le malware a évolué pour envoyer des spams aux listes d’emails des victimes ; pour adopter de nouvelles méthodes d’évasion de détection et pour servir de moyen de distribution d’autres malwares tel qu’Emotet. Plus récemment, les pirates informatiques à l’origine du malware ont modifié leurs méthodes de lutte contre la détection.
TrickBot n’était au départ qu’un simple voleur d’informations dédié au vol des identifiants bancaires en ligne et à l’utilisation des sessions de navigation en vue d’effectuer des transferts frauduleux directement à partir des dispositifs des victimes. Il a massivement évolué au cours des quatre dernières années, et plusieurs modules ont été ajoutés, fournissant une foule d’autres fonctionnalités malveillantes.
Il est considéré comme le successeur du cheval de Troie Dyreza, lui-même issu de l’opération GameOver Zeus et du groupe cybercriminel Business Club qui en est à l’origine.
L’essor des chevaux de Troie bancaires au cours de la dernière décennie a donné naissance au modèle de logiciel criminel en tant que service qui alimente l’économie cybercriminelle actuelle. Le malware TrickBot est un excellent exemple de cette évolution.
Ce sont les chercheurs de la société antivirus ESET qui ont suivi ce malware depuis ses débuts. Ils ont vu plus de 28 plug-ins différents conçus pour lui. Rien qu’en 2020, les chercheurs d’ESET ont analysé plus de 125 000 échantillons malveillants. Ils ont également téléchargé et déchiffré plus de 40 000 fichiers de configuration utilisés par les différents modules du malware.
Comment TrickBot est-t-il distribué ?
En général, les campagnes TrickBot commencent par l’envoi d’e-mails malveillants contenant des pièces jointes Microsoft Office qui permettent de télécharger la charge utile principale. Ces messages utilisent des thèmes communs, comme des factures ou des notifications liées à une activité professionnelle particulière.
Traditionnellement, les attaques de TrickBot ciblaient des victimes en Amérique du Nord et en Europe. Les cibles étaient généralement des particuliers et des organisations dans le monde entier dans de multiples secteurs. Ces attaques auraient permis aux pirates d’infecter plus d’un million de dispositifs depuis leur découverte.
Symptômes
L’utilisateur du dispositif ciblé ne remarquera aucun symptôme d’une infection par le malware. Par contre, un administrateur réseau pourrait constater des changements dans le trafic ou des tentatives d’atteindre des IP et des domaines qui figurent sur une liste noire, car TrickBot communiquera avec son infrastructure de commande et de contrôle pour exfiltrer des données et recevoir des tâches. Le malware peut gagner en persistance en créant une tâche programmée.
Même si, en général, TrickBot se propage via des campagnes de spam et se propager latéralement en utilisant l’exploit EternalBlue, il peut aussi utiliser d’autres méthodes. Il peut par exemple utiliser des URL intégrées et des pièces jointes infectées. Le cheval de Troie peut également utiliser Emotet pour mener une infection secondaire.
Conséquences
En raison de la manière dont le malware utilise la vulnérabilité EternalBlue pour se propager sur votre réseau d’entreprise, toute machine infectée sur votre réseau peut réinfecter les machines ayant été précédemment nettoyées lorsqu’elles se connecteront de nouveau au réseau.
Pour éviter la propagation de ce cheval de Troie, les équipes informatiques doivent isoler le réseau et les dispositifs ; appliquer les mises à jour dès qu’elles sont disponibles et réparer chaque dispositif infecté, un par un.
Le problème est que ce processus est long et fastidieux.
Pour éliminer le malware, il faut par exemple suivre les étapes suivantes :
Identifier la ou les machines infectées ;
Déconnecter les machines infectées du réseau ;
Appliquer un correctif pour éviter l’infection par EternalBlue ;
Désactiver les partages administratifs ;
Supprimer TrickBot ;
Modifier les informations d’identification du compte ;
Etc.
Les capacités de vol d’informations de TrickBot ont été considérablement améliorées
En plus des références bancaires, il peut désormais voler des données de systèmes et de réseaux, des identifiants des comptes de messagerie électronique, des données fiscales et de la propriété intellectuelle. TrickBot est capable de se déplacer latéralement et d’infecter silencieusement d’autres ordinateurs sur le réseau en utilisant d’authentiques utilitaires Windows et le kit d’exploitation EternalRomance pour la vulnérabilité SMBv1.
Le malware peut également créer une porte dérobée pour un accès persistant et faire office d’installateur de malwares. En outre, il peut télécharger d’autres charges utiles malveillantes, comme le ransomware Ryuk.
Le cheval de Troie est souvent mis à jour et de nouvelles variantes apparaissent régulièrement. Son infrastructure de commandement et de contrôle est également en constante évolution. Selon une étude de Bitdefender, plus de 100 nouvelles adresses IP sont ajoutées à son infrastructure C&C chaque mois, chacun ayant une durée de vie d’environ 16 jours.
Le malware et son infrastructure sont très complexes et, bien que des mesures aient été prises pour démanteler l’opération, les pirates informatiques parviennent à garder une longueur d’avance.
TrickBot est principalement partagé par le biais de spams via le réseau de botnets Emotet. L’infection par Emotet entraîne le téléchargement de TrickBot, et l’infection par TrickBot entraîne l’ajout d’un ordinateur au réseau de botnets Emotet.
Une fois que toutes les données utiles ont été obtenues d’un système infecté, le bâton est passé aux opérateurs du ransomware Ryuk, leur donnant ainsi l’accès au mot de passe du réseau de la victime.
Un examen récent d’une variante capturée par Bitdefender le 30 janvier 2020 a montré qu’une autre méthode de distribution a été ajoutée à son arsenal. Le cheval de Troie dispose maintenant d’un module pour les attaques par la force brute sur les connexions RDP (Remote Desktop Connexion).
Ces attaques sont principalement menées contre des organisations intervenant dans les secteurs financiers, de l’éducation et des télécommunications. Elles visent actuellement les organisations aux États-Unis et à Hong Kong, bien qu’il soit probable que les attaques se répandent région par région au cours des prochaines semaines. Elles sont menées pour voler la propriété intellectuelle et les données financières.
TrickBot peut désactiver Windows Defender
Selon Bleeping Computer, TrickBot ne cesse d’évoluer et de cibler les logiciels de sécurité. Il a par exemple jeté son dévolu sur Windows Defender qui est un produit antimalware du système d’exploitation Microsoft Windows.
Outre le fait de cibler les banques internationales, TrickBot peut récolter des emails, des informations d’identification, etc., et voler des portefeuilles de cryptomonnaies.
La version la plus récente du malware ne se contente plus de cibler et d’éluder un réseau particulier, mais aussi de désactiver la protection de Windows Defender.
Selon encore Bleeping Computer, les pirates derrière TrickBot ont ajouté une douzaine de fonctionnalités à son arsenal d’attaque. Les méthodes utilisées incluent les paramètres de registre et de commande PowerShell Set-MpPreference, ce qui permet aux escrocs de définir les préférences de Windows Defender.
Le processus de désactivation de TrickBot
Une fois que TrickBot est exécuté sur un dispositif, il démarre un chargeur qui a pour rôle de préparer le système. Pour ce faire, le malware désactive les services Windows associés aux logiciels de sécurité en vue d’obtenir des privilèges système plus élevés. Ceci étant fait, il charge le composant central grâce à l’injection d’une DLL. Celui-ci va à son tour télécharger les modules qui permettront de voler les informations ciblées.
Avant cette version, le chargeur TrickBot ne pouvait qu’effectuer un ciblage basique de Windows Defender, comme la désactivation du service WinDefend, l’arrêt des processus liés à Windows Defender, la désactivation des notifications de sécurité et la protection en temps réel. Mais les développeurs de TrickBot ont ajouté d’autres étapes qui leur ont permis d’empêcher Windows Defender de protéger les utilisateurs contre ce malware.
TrickBot est un cheval de Troie modulaire
Cela signifie qu’il peut toujours être mis à jour avec de nouvelles fonctionnalités.
Parmi les modules utilisés par TrickBot, on peut citer aDll qui vole la base de données Active Directory (AD) ; cookiesDll qui vole les données des cookies des navigateurs Web ; MailClient qui vole les données des clients de messagerie Web et mailsearcher qui recherche des fichiers d’un type spécifique.
Résumé
TrickBot est :
Distribué par la fonction Malware-as-a-Service d’Emotet dans le cadre d’une infection secondaire ;
Indétectable par l’utilisateur et gagne en persistance grâce à la création d’une tâche programmée ;
Profite des redirections ouvertes et des injections côté serveur dans le but de voler les informations de connexion de la session de l’utilisateur ciblé ;
Vole les données de l’utilisateur (état de connexion, préférences du site Web, contenus personnalisés, etc.) ;
Vole les informations d’identification des applications de bureau à distance, les informations d’identification du navigateur Internet et les informations d’identification du courrier électronique ;
Vole les données informatiques comme les informations sur le système d’exploitation, les comptes d’utilisateurs, les programmes installés, les services installés, etc.
Désactive Windows Defender et diminue la sécurité des dispositifs infectés.
L’évolution constante du malware et son succès signifient qu’il continuera à être une menace pendant un certain temps. Heureusement, il est possible de prévenir les infections en pratiquant une bonne cyberhygiène.
Le spam reste le principal mode de diffusion du cheval de Troie Emotet et de TrickBot, c’est pourquoi un filtre antispam avancé est indispensable. Comme de nouvelles variantes apparaissent constamment, les méthodes de détection basées sur les signatures ne suffisent pas à elles seules.
SpamTitan intègre un sandbox alimenté par Bitdefender pour analyser les pièces jointes suspectes des e-mails afin de détecter les activités malveillantes. Cela permet d’identifier l’activité malveillante de toute nouvelle variante de malware et de mettre les e-mails malveillants en quarantaine avant qu’ils ne puissent causer des dommages.
Si vous n’avez pas besoin du RDP, assurez-vous qu’il est désactivé. Dans le cas contraire, assurez-vous que l’accès est restreint et que des mots de passe forts sont établis.
Utilisez le système de blocage en raison d’actions à fréquence trop élevée (rate restricting) pour bloquer les tentatives de connexion après un nombre déterminé d’échecs. Enfin, assurez-vous qu’une authentification multifactorielle est mise en œuvre pour empêcher l’utilisation des identifiants de connexion volés.
Pour plus de détails sur SpamTitan Email Security et pour savoir comment vous pouvez améliorer vos défenses contre les attaques lancées via la messagerie électronique et via le web, contactez l’équipe du TitanHQ dès maintenant.
Dans cet article, nous allons expliquer certains des avantages importants d’un service d’archivage des e-mails. Si vous n’êtes pas encore en train d’archiver vos e-mails, nous vous expliquerons comment un petit investissement peut vous faire économiser beaucoup d’argent sur le long terme.
L’une des raisons les plus importantes de la mise en place d’une archive des e-mails est la réduction du coût de stockage à long terme des messages. En envoyant une copie de vos e-mails à une archive, vous pouvez réduire considérablement les coûts de gestion du serveur de messagerie.
Les entreprises qui utilisent ArcTitan pour le stockage des e-mails économisent généralement jusqu’à 75 % d’espace de stockage. Elles n’ont plus besoin de limiter le nombre de boîtes aux lettres et améliorent considérablement les performances de leurs serveurs de messagerie. Tous les e-mails envoyés et reçus par les employés sont automatiquement envoyés aux archives, ce qui signifie que les messages ne seront jamais perdus ou supprimés accidentellement.
Toutes les entreprises doivent se conformer à la réglementation concernant le stockage des données, et l’archivage des e-mails contribuera à garantir le respect de cette réglementation. Même si vous ne faites pas partie d’un secteur réglementé, il est important de conserver les e-mails à des fins légales.
Une archive est un dépôt inviolable pour tous les courriers électroniques. En cas d’audit réglementaire, de demande d’eDiscovery ou de litige avec un client, vous pourrez trouver rapidement tous les e-mails pertinents.
On estime qu’environ 80 % des entreprises américaines sont actuellement engagées dans des actions en justice. Les courriers électroniques font partie du dossier de l’entreprise et ils doivent être produits en cas d’action en justice. Vous devrez également récupérer les e-mails dans le cadre de tout litige en matière de ressources humaines.
Les sauvegardes des e-mails remplissent leur fonction, mais une archive permettra de récupérer tous les messages électroniques en cas de catastrophe, sans crainte de corruption des données.
L’un des avantages les plus importants d’un service d’archivage des e-mails est la récupération rapide des messages. Si vous devez par exemple récupérer des e-mails à partir d’une sauvegarde, cela peut prendre des jours, voire des semaines, pour trouver les messages dont vous avez besoin (les sauvegardes ne sont pas consultables).
Quant aux e-mails envoyés à une archive, ils sont indexés. Ceci signifie que vous pouvez rechercher dans l’archive, trouver et récupérer les e-mails en quelques secondes, quel que soit le nombre d’e-mails dans l’archive et la date d’envoi des messages concernés.
Avec les e-mails stockés dans une archive basée dans le cloud, vous aurez toujours accès aux e-mails, où que vous soyez. Vous pouvez simplement vous connecter à vos archives en utilisant une interface web accessible sur n’importe quel appareil connecté à Internet.
Création d’une politique d’archivage des e-mails
Lorsque vous créez votre politique d’archivage des e-mails, vous devez adopter deux approches principales.
La première consiste à définir votre politique concernant les types de message à envoyer aux archives, puis à laisser à vos employés le soin de suivre cette politique et d’archiver tous les e-mails qui doivent être conservés.
L’autre option consiste à automatiser le processus. Si la première option permet de réduire l’espace de stockage dont vous avez besoin, il s’agit d’une stratégie risquée.
Si un e-mail qui doit être conservé n’est pas envoyé aux archives, l’erreur pourrait s’avérer très coûteuse au cas où vous feriez l’objet d’un audit ou si vous recevez une demande d’eDiscovery et que vous ne pouvez pas produire l’e-mail.
Rappelons que l’autorité réglementaire du secteur financier (FINRA) a infligé à Scottrade une amende de 2,6 millions de dollars en 2015 pour avoir omis de conserver certaines catégories d’e-mails sortants.
La meilleure approche à adopter est de définir une politique d’archivage des e-mails et d’automatiser le processus. Ainsi, quoi qu’il arrive, vous serez toujours en mesure de récupérer vos e-mails à la demande. Cette option nécessitera plus d’espace de stockage, mais avec ArcTitan, l’espace est réduit au minimum.
ArcTitan utilise la déduplication, qui consiste à ne stocker qu’une seule copie d’un message. Si vous envoyez un e-mail à un groupe de distribution en interne, il n’est pas nécessaire de stocker chaque copie de ce message. ArcTitan ne conserve qu’une copie de chaque message unique et tous les messages sont compressés pour réduire encore l’espace de stockage.
Chaque fois qu’un e-mail doit être récupéré, ArcTitan effectue des recherches instantanément, et vous permet de faire une recherche rapide dans les types de pièces jointes les plus courants.
Vos employés peuvent même accéder à leurs e-mails archivés via leur application de messagerie telle qu’Outlook, ce qui signifie qu’ils n’auront pas besoin de déranger votre service informatique lorsqu’ils supprimeront accidentellement un e-mail de leur boîte de réception. Une recherche peut être effectuée, et le courrier électronique peut être récupéré instantanément à la demande.
Découvrez pourquoi tant d’entreprises utilisent ArcTitan
TitanHQ a développé ArcTitan pour faire de l’archivage des e-mails un processus sans effort. ArcTitan fonctionne de manière transparente avec presque tous les systèmes de messagerie d’entreprise et veille à ce que tous les e-mails soient stockés en toute sécurité dans le cloud où ils peuvent être consultés à la demande en quelques secondes.
ArcTitan prend en charge un archivage complet basé sur des politiques pour garantir que vous ne stockez que les e-mails qui doivent être conservés. Des politiques peuvent également être définies pour garantir que les e-mails sont automatiquement supprimés de manière sécurisée à la fin de leur période de conservation.
ArcTitan vous offre un maximum de flexibilité et de contrôle, une sécurité de classe mondiale, une résilience de niveau entreprise et une récupération rapide des messages lorsque vous en avez besoin.
Les utilisateurs bénéficient d’une interface utilisateur intuitive et d’une gamme importante de fonctionnalités qui ne sont pas présentes dans les offres d’archivage d’Exchange et d’Office 365.
Pour en savoir plus sur ArcTitan et pour programmer une démonstration du produit, appelez l’équipe de TitanHQ dès aujourd’hui et découvrez la différence qu’ArcTitan peut faire pour votre entreprise.
