Le botnet Emotet a pris ses vacances de Noël, mais il est à nouveau opérationnel. Les campagnes massives de phishing et de spam ont également repris. Ces campagnes, qui impliquent des millions de spams, utilisent divers leurres pour inciter les gens à ouvrir une pièce jointe et à activer un contenu.
Le contenu en question comprend une macro qui exécute une commande PowerShell qui, à son tour, télécharge et exécute le cheval de Troie Emotet.
Qu’est-ce que le cheval de troie Emotet ?
Le cheval de Troie Emotet est une mauvaise nouvelle. Emotet n’était autrefois qu’un cheval de Troie bancaire dont le but était de voler des références bancaires en ligne. Il le fait toujours, et bien plus encore. Désormais, Emotet vole aussi les informations d’identification des applications et des navigateurs installés. Il peut se propager automatiquement et envoie des copies de lui-même par email aux contacts de la victime.
Comme si cela ne suffisait pas, Emotet a une autre astuce dans sa manche. Il est également un téléchargeur d’autres variantes de malwares tels que le cheval de Troie TrickBot et le ransomware Ryuk. Ces charges utiles supplémentaires permettent de voler et de vendre des données à des fins lucratives, de chiffrer des fichiers sur le réseau et d’émettre des demandes de rançon. Emotet a également livré des mineurs de crypto-monnaie dans le passé et pourrait livrer n’importe quelle autre charge utile de malwares.
L’ampleur du réseau de botnets est stupéfiante. Au premier trimestre 2019, Emotet était responsable de 6 charges utiles malveillantes sur 10 livrées par la messagerie électronique. Mais même si les acteurs à l’origine des menaces du botnet ont cessé leurs activités pendant près de la moitié de l’année 2019, Emotet reste la principale menace de malwares de l’année.
Des attaques dans le secteur de la santé
Emotet est revenu à la vie le 13 janvier 2020 avec des attaques ciblées sur l’industrie pharmaceutique en Amérique du Nord, mais il n’a pas fallu longtemps pour que les attaques se répandent encore plus loin. Aujourd’hui, plus de 80 pays sont attaqués et en plus de l’anglais, des campagnes ont été détectées en italien, polonais, allemand, espagnol, japonais et chinois.
Les leurres utilisés pour tromper les utilisateurs finaux et pour les inciter à ouvrir les pièces jointes aux emails sont très variés et changent souvent. Des leurres éprouvés tels que les fausses factures, commandes, relevés, accords, avis de paiement, reçus et avis de livraison sont souvent utilisés dans les attaques contre les entreprises, qui sont les principales cibles.
Avant que les attaques de botnets aient fait un répit en décembre, des emails sur le thème de Greta Thunberg étaient utilisés avec des invitations à une fête de Noël.
Les thèmes des emails peuvent changer, mais les messages ont un point commun. Ils demandent à l’utilisateur final d’agir. Il s’agit généralement d’ouvrir un document, une feuille de calcul ou un autre fichier. Il peut également s’agir d’un clic sur un lien hypertexte intégré dans un email. Une fois l’action entreprise, Emotet sera téléchargé en silence.
Comment se protéger des attaques Emotet ?
Il existe deux moyens principaux de bloquer les attaques cybercriminelles et ils sont tous deux nécessaires. le premier consiste à s’assurer que le système de messagerie électronique est sécurisé, ce qui implique la mise en place d’un filtre anti-spam efficace.
Les entreprises qui utilisent Office 365 bénéficient d’un minimum de protection via Exchange Online Protection (EOP), une solution qui est incluse dans les abonnements Office 365. Cependant, elles ne devraient pas compter uniquement sur l’EOP. Comme autre solution, des défenses à plusieurs niveaux sont donc nécessaires.
SpamTitan est un puissant filtre anti-spam qui améliorera la protection contre les menaces de malwares tels qu’Emotet. Il peut être superposé à Office 365 pour assurer une meilleure protection et empêcher les malwares de parvenir aux boîtes de réception de vos employés.
Des moteurs anti-virus sont également incorporés à la solution pour détecter les menaces connues. De plus, SpamTitan comprend une sandbox qui permet d’identifier les menaces que les mécanismes de détection basés sur les signatures ne peuvent pas détecter.
De nombreuses entreprises déploient diverses solutions de sécurité, mais ne préparent pas leurs employés à une éventuelle attaque. Si les emails malveillants passent outre les solutions de sécurité et sont livrés dans les boîtes de réception de vos employés, il suffit que l’un d’entre eux n’arrive pas à repérer la menace et réponde au message pour qu’Emotet, et éventuellement un ransomware, soit installé. Il est donc important d’organiser régulièrement des formations de sensibilisation à la sécurité pour tous les employés de l’entreprise, du PDG jusqu’au personnel d’encadrement. Si vous n’apprenez pas à vos employés comment identifier les emails malveillants, n’attendez pas à ce qu’ils soient capables de repérer les menaces et signalent les messages malveillants à l’équipe de sécurité.
Heureusement, grâce à une combinaison de solutions de sécurité des emails et de formation de sensibilisation à la sécurité, la menace d’Emotet peut être neutralisée. Pour plus d’informations sur la sécurisation des emails, appelez TitanHQ dès aujourd’hui.
L’attaque de ransomware contre la société de change britannique Travelex, qui a débuté aux alentours du 31 décembre 2019, est l’une des récentes attaques de cyber-rançon où les acteurs de la menace ont augmenté la mise en menaçant de publier les données volées aux victimes avant le déploiement du ransomware.
Une nouvelle tendance dans les attaques de ransomware
Pour la plupart des attaques de ransomware – en particulier celles menées par des affiliés utilisant des ransomware-as-a-service – le ransomware est déployé instantanément.
Un employé reçoit une pièce jointe malveillante par e-mail. Une fois qu’il ouvre la pièce jointe, le processus de chiffrement est lancé. Aujourd’hui, plusieurs acteurs de la menace ont pris des mesures pour augmenter la probabilité que leur demande de rançon soit payée.
L’Agence de la cybersécurité et de la sécurité des infrastructures du ministère américain de la sécurité intérieure a récemment émis des avertissements sur l’évolution des tactiques de demande de rançon. Elles impliquent désormais le vol de données avant le chiffrement des fichiers. Cette tactique n’est pas nouvelle, car plusieurs groupes de cybercriminels mènent ce type d’attaque depuis un certain temps, et le nombre d’attaques ne fait qu’augmenter.
Dès que les pirates accèdent au réseau de votre entreprise, ils se déplacent latéralement et accèdent au plus grand nombre de dispositifs possible. Ils peuvent voler des données puis déployer des ransomwares. Dans ce type d’attaques, le délai entre la compromission initiale et le déploiement des ransomwares peut généralement prendre plusieurs mois.
Les données peuvent être volées et vendues en ligne avec le ransomware déployé comme un coup de grâce après un compromis à long terme pour extorquer de l’argent à l’entreprise. Aujourd’hui, il est de plus en plus fréquent qu’une menace soit émise en même temps que la demande de rançon et que les données volées soient publiées ou vendues si la rançon n’est pas payée.
Cette tactique a été adoptée par les pirates derrière le ransomware Maze. Ils sont allés de l’avant, en menaçant de publier les données volées au cas où la rançon ne serait pas payée. Les cybercriminels qui utilisent les logiciels MegaCortex et LockerGoga ont également émis des menaces similaires.
Aujourd’hui, le groupe de pirates derrière le ransomware Sodinikibi (REvil) a également changé de tactique et a commencé à menacer leurs victimes de publier les données qu’ils ont volées, et il l’a fait récemment. Il a attaqué Artech Information Systems, l’une des plus grandes sociétés de recrutement de personnel informatique aux États-Unis.
Lorsque la demande de rançon n’a pas été payée, 337 Mo de données volées ont été publiées sur un forum russe de piratage et de malwares. L’attaque de ransomware contre Travelex est l’une des dernières attaques du logiciel Sodinokibi, et les pirates ont également menacé de publier les données volées.
Focus sur l’attaque de ransomware contre Travelex
La veille du Nouvel An, Travelex a mis ses systèmes hors ligne pour contenir l’infection et limiter les dégâts causés. Plus de deux semaines plus tard, les systèmes de Travelex étaient toujours hors ligne, même si la société a commencé à restaurer certains de ses systèmes. Le nombre d’agences touchées par l’attaque – à l’instar des banques et d’autres entreprises qui dépendent de ses services de change – fait de cette attaque l’une des plus graves et des plus dommageables jamais menées.
Étant donné que ses systèmes étaient hors ligne, Travelex n’a pas été en mesure de fournir ses services de change à des banques telles que HSBC, Royal Bank of Scotland, NatWest, First Direct, Barclays et Lloyds, qui dépendent toutes de Travelex pour la fourniture de leurs services de change.
De nombreuses autres entreprises, telles que les chaînes de supermarchés Sainsbury’s et Tesco, ont également dû cesser de fournir des services de change en ligne à leurs clients. Travelex a été contraint de fournir des services manuellement, à l’aide de stylos et de papiers, pour les échanges de devises de gré à gré dans ses succursales. Plus de 70 pays dans lesquels Travelex opère ont été touchés par l’attaque.
Travelex n’a diffusé qu’une quantité limitée d’informations sur l’attaque, mais les pirates ont été en contact avec plusieurs médias. Selon les premiers rapports, les pirates ont reclamé plus de 2,7 millions d’euros contre les clés de déchiffrement des fichiers, mais la demande a doublé pour atteindre plus de 5,4 millions d’euros lorsque la société n’a pas payé la rançon dans les 2 jours prévus. Les pirates ont également menacé de publier les données volées lors de l’attaque si le paiement n’était pas effectué dans les 7 jours.
Travelex a publié une déclaration affirmant qu’aucune donnée client n’avait été violée et que l’infection était contenue. La situation a été maitrisée, même si les pirates derrière Sodinokibi ont menacé de publier les données clients.
Le pirates qui ont lancé l’attaque via Sodinokibi, par l’intermédiaire d’un porte-parole, a déclaré qu’ils avaient volé 5 Go de données clients. Ces informations comprenaient les noms des clients, leurs dates de naissance, les données relatives aux cartes de crédit, les numéros de sécurité sociale et les numéros d’assurance nationale.
Les pirates ont affirmé que toutes les données volées seraient effacées et ne seraient pas utilisées si la demande de rançon était payée. Par contre, les données seraient vendues si la rançon n’était pas payée. Ils ont également déclaré avoir accès aux systèmes informatiques de Travelex 6 mois avant le déploiement du ransomware.
Comment Travelex a-t-il été attaqué ?
On ne sait pas encore exactement comment le ransomware a été installé sur le réseau de la société, mais plusieurs chercheurs en sécurité ont fourni quelques indices. Selon BleepingComputer, Travelex utilisait des services non sécurisés avant l’attaque.
Le chercheur en sécurité Kevin Beaumont a découvert que Travelex avait des serveurs AWS Windows qui n’avaient pas l’authentification au niveau du réseau activée, ce qui aurait pu donner aux attaquants la possibilité de lancer une attaque.
Une vulnérabilité critique dans la solution d’entreprise Pulse Secure VPN pour les communications sécurisées – CVE-2019-11510 – a été identifiée et a été corrigée par Pulse Secure le 24 avril 2019. Le fait est que de nombreuses entreprises ont tardé à appliquer le correctif, malgré les multiples avertissements de Pulse Secure.
Troy Mursch, directeur de recherche chez Bad Packets, a découvert que Travelex n’avait pas appliqué le correctif au moment où un kit d’exploitation de la vulnérabilité a été publié. Les pirates derrière Sodinokibi ont déclaré avoir compromis le système informatique de Travelex 6 mois avant le déploiement du ransomware.
La reprise est maintenant bien engagée
Le 13 janvier 2020, plus de deux semaines après l’attaque de ransomware, Travelex a publié une déclaration confirmant que le processus de récupération était bien engagé, bien que le site web de l’entreprise soit toujours hors ligne.
La société avait commencé à rétablir ses services de change auprès des banques et de son propre réseau. Le traitement interne des commandes a été rétabli et les systèmes de contact avec la clientèle ont été lentement remis en ligne.
Ce que Travelex n’a pas confirmé, c’est si la société a payé ou non la rançon. Aucune donnée de Travelex ne semble avoir été publiée en ligne, il est donc possible qu’un paiement de rançon ait été négocié avec les attaquants.
Coût de l’attaque de ransomware contre Travelex
Le montant de la rançon était considérable, mais cela ne représente qu’une partie du préjudice si on considère les coûts d’arrêt et de perturbation des services subis par la société.
Aucune donnée client ne semble avoir été mal utilisée, mais Travelex pourrait encore faire face à une avalanche de poursuites de la part de clients, du commissaire à l’information et à la protection de la vie privée et d’autres autorités de protection des données. Travelex a subi d’énormes préjudices, non seulement pour la violation des données de leurs clients, mais aussi pour l’exposition des données ou encore pour le défaut de déclaration dans le cadre du RGPD.
Le RGPD exige que les violations de données soient signalées aux autorités compétentes dans un délai de 72 heures, mais il semble que cela n’ait pas été fait. La sanction financière maximale pour une violation de données selon le RGPD est de 20 millions d’euros ou de 4% du chiffre d’affaires annuel global d’une entreprise, le montant le plus élevé étant retenu.
En 2018, le chiffre d’affaires annuel mondial de Travelex s’élevait à plus de 859 millions d’euros. Une amende de plus de 171 millions d’euros pourrait donc être infligée à la société.
Il convient de noter que même si les données n’ont pas été volées par les attaquants et qu’elles ont simplement été rendues inaccessibles, cela peut être considéré comme une violation de données à signaler dans le cadre du RGPD.
Un paiement de plus de 54,4 millions d’euros ne représenterait qu’une infime partie des pertes totales dues aux temps d’arrêt, aux pertes d’activité, aux poursuites judiciaires et aux amendes réglementaires subis par la société.
Un nouveau ransomware dénommé Ako est apparue. Ce dernier cible les réseaux commerciaux et est distribué via le spam. Il est proposé aux affiliés selon le modèle « Ransomware as a Service ».
Le but des attaquants est clair : maximiser la probabilité de paiement de la rançon en rendant la récupération des données et des fichiers chiffrés plus difficile et en volant des données avant leur chiffrement pour garantir que l’attaque est toujours rentable même si la rançon n’est pas payée.
Le fait que les pirates possèdent les données de la victime pourrait également la convaincre de payer, comme nous l’avons vu dans les récentes attaques impliquant les ransomwares Maze et Sodinokibi, où les pirates menaçaient de publier des données volées si la rançon n’était pas payée.
Comment fonctionne le ransomware Ako ?
Les développeurs du ransomware Ako semblent opter pour des paiements de rançon importantes, car ils ne ciblent pas les postes de travail individuels, mais l’ensemble d’un réseau.
Le ransomware analyse les réseaux locaux à la recherche d’autres appareils et chiffre les partages réseau. Puis il supprime les clichés instantanés qui sont enregistrés sur le système et les sauvegardes récentes. Il désactive également les anciens points de restauration Windows pour rendre la récupération plus difficile si la victime ne paye pas la rançon.
Les fichiers chiffrés reçoivent une extension de fichier générée de manière aléatoire et conservent leurs noms de fichier d’origine. Le montant de la rançon n’est pas indiqué dans la notification de rançon. Les victimes doivent contacter les attaquants pour savoir combien ils devront payer pour obtenir les clés permettant de déchiffrer leurs fichiers.
De quel type d’email faut-il se méfier ?
L’un des e-mails interceptés, et qui ont été utilisés pour distribuer le ransomware, utilise un fichier zip protégé par mot de passe en tant que pièce jointe. L’e-mail semble être un accord commercial que le destinataire est invité à vérifier.
Le mot de passe pour ouvrir et extraire le fichier est inclus dans le corps du message. Le fichier zip attaché, nommé agreement.zip, contient un fichier exécutable qui installera le ransomware Ako une fois qu’il sera exécuté. Le fichier malveillant est appelé agreement.scr.
Comment récupérer ses données suite à une attaque d’Ako ?
Il n’y a pas de déchiffreur gratuit pour le ransomware Ako. La victime ne pourra pas récupérer leurs données si elle ne paye pas la rançon, sauf si celle-ci dispose des sauvegardes viables, c’est-à-dire des données qui n’ont pas été chiffrées par les pirates.
Il est donc important de s’assurer que les sauvegardes sont effectuées régulièrement et qu’au moins une copie de la sauvegarde est stockée sur un appareil non connecté au réseau pour éviter qu’elle ne soit également chiffrée par le ransomware. Les sauvegardes doivent également être testées pour s’assurer que la récupération de fichiers soit possible en cas d’incident.
Comment se protéger contre le ransomware Ako ?
Étant donné que le ransomware Ako est distribué via le spam, cela donne aux entreprises la possibilité de bloquer une attaque. Une solution de filtrage anti-spam avancée doit être implémentée pour analyser tous les messages entrants à l’aide de divers mécanismes de détection.
La solution doit également permettre d’identifier les menaces de malware et de ransomware. Par ailleurs, il faut utiliser un Sandbox, une fonctionnalité importante qui permettra d’analyser en toute sécurité les pièces jointes des e-mails pour détecter toute activité malveillante. Cette fonctionnalité améliorera les taux de détection des menaces du type « zero day ».
La formation des utilisateurs est aussi importante pour garantir que les employés n’ouvrent aucun fichier potentiellement malveillant qu’ils reçoivent par e-mail. La formation devrait obliger les employés à ne jamais ouvrir les pièces jointes dans les e-mails non sollicités provenant d’expéditeurs inconnus. Comme le montre cette campagne, tout fichier protégé par mot de passe envoyé dans un e-mail non sollicité doit être considéré comme une menace importante. En général, c’est la manière la plus courante que les pirates utilisent pour distribuer des ransomwares et des malwares, tout en évitant la détection par des solutions antivirus et des filtres anti-spam.
Les solutions anti-spam et les logiciels antivirus ne pourront pas détecter directement la menace si des fichiers malveillants sont envoyés dans des archives protégées par mot de passe. Les règles doivent donc être définies pour mettre en quarantaine les fichiers protégés par mot de passe, lesquels ne devraient être libérés qu’après avoir été vérifiés manuellement par un administrateur. Avec SpamTitan, ces règles sont faciles à définir.
Le ransomware Ako est l’une des nombreuses nouvelles menaces de ransomware publiées ces derniers mois. Si on compte les attaques de grande envergure contre des entreprises, comme celle menées contre Travelex, qui voient des demandes massives de rançon émises et qui sont dans la plupart des cas payées, les pirates réalisent des gains importants.
Les développeurs de ransomwares continueront de développer de nouvelles attaques tant que celles-ci resteront rentables, et il est peu probable que les affiliés soient prêts à lancer des campagnes de spam pour obtenir leur part d’argent sur les rançons.
Face à l’augmentation des attaques cybercriminelles, il est essentiel que vous disposiez de défenses solides, capables de détecter et de bloquer les malwares, les ransomwares et les menaces de phishing. C’est un domaine où TitanHQ peut vous aider.
Pour en savoir plus sur la façon dont vous pouvez améliorer vos défenses contre les e-mails malveillants et sur les menaces web, appelez l’équipe TitanHQ dès aujourd’hui.
De nouveaux chiffres ont été publiés par le Financial Crimes Enforcement Network (FinCEN) des États-Unis sur les attaques de la messagerie d’entreprise (BEC) en 2018. Le dernier rapport du FinCEN a souligné l’omniprésence de la menace et la possibilité que ces attaques entraînent de graves préjudices financiers.
Les attaques BEC visent à obtenir l’accès à un compte de messagerie professionnelle et à utiliser ce compte pour envoyer des messages à d’autres personnes dans une organisation et aux contacts professionnels de la personne ciblée.
Bien que les comptes de messagerie compromis puissent être utilisés à diverses fins, avec le BEC, l’objectif principal est de convaincre un employé d’effectuer un virement bancaire frauduleux ou d’envoyer des informations sensibles telles que les formulaires W-2 (relevé de salaires et d’impôts) de l’employé.
Des techniques d’ingénierie sociale sont utilisées pour obtenir les références d’un cadre supérieur et convaincre un employé d’effectuer un transfert frauduleux. Bien qu’à première vue, ces escroqueries semblent simplistes, étant donné qu’elles consistent à envoyer un e-mail demandant la réalisation d’un virement bancaire, elles sont souvent très sophistiquées.
Plus de 280 millions d’euros par mois ont été perdus à cause des attaques BEC en 2018
Le rapport du FinCEN montre pourquoi ces attaques en valent la peine pour les pirates. L’année dernière, la valeur moyenne des transactions frauduleuses était d’environ 113 000 euros et plus de 280 millions d’euros par mois ont été perdus à cause des fraudes BEC.
En 2018, le FinCEN a reçu environ 1100 déclarations d’activités suspectes et qui sont attribuables aux attaques BEC. Si on considère le fait que de nombreuses entreprises n’ont pas signalé les atteintes à la sécurité telles que les attaques BEC, les pertes totales pourraient donc être encore plus élevées.
Les attaques BEC sont beaucoup plus fréquentes et les pertes dues à de telles escroqueries ont grimpé en flèche. Le rapport du FinCEN de 2016 avait indiqué qu’au moins 99 millions d’euros ont été perdus à cause des attaques BEC et les pertes liés à de telles escroqueries ont augmenté de 172 % en deux ans seulement.
Au cours des deux dernières années, il y a eu un changement marquant dans les tactiques utilisées par les pirates pour les attaques BEC, ce qui a contribué à augmenter le montant en dollars de chaque transaction frauduleuse. Comme nous l’avons déjà mentionné, l’arnaque consiste à compromettre des comptes de messagerie, qui étaient généralement ceux du chef de la direction ou du chef des finances. Les comptes étaient ensuite utilisés pour envoyer des demandes de virement bancaire. La valeur moyenne des transactions était de 45 000 euros.
Les chiffres de 2018 montrent qu’il y a eu un glissement des attaques à travers lesquelles les pirates se font passer pour le PDG vers des attaques via lesquelles ils se font passer pour des entrepreneurs et d’autres fournisseurs.
Si le compte de messagerie d’un fournisseur est compromis, de fausses factures peuvent être envoyées à toutes les entreprises avec lesquelles il fait affaire.
De plus, le montant typique d’une facture de fournisseur est considérablement plus élevé que le montant de transfert habituellement demandé par les PDG.
Les chiffres du FinCEN montrent que la valeur moyenne des transactions de fausses factures était d’environ 113 000 euros pour les fausses factures des entrepreneurs, ce qui représente environ 67 800 euros de plus que la demande de virement typique d’un PDG.
Les chiffres du FinCEN pour 2017 indiquent que 33 % des attaques BEC impliquaient l’usurpation d’identité du PDG, mais ce pourcentage était tombé à seulement 12 % en 2018. 39 % de toutes les attaques BEC en 2018 impliquaient l’usurpation d’identité d’une entité externe telle qu’un associé d’affaires, un entrepreneur ou un fournisseur.
Comment améliorer les défenses contre les attaques BEC ?
Face à l’augmentation du nombre d’attaques BEC et aux pertes considérables qui y sont liées, les entreprises doivent prendre des mesures pour pouvoir s’en protéger. Pour ce faire, elles doivent améliorer la sécurité de leur système de messagerie et offrir une formation complémentaire à leurs employés.
Les employés doivent être sensibilisés quant au risque que représentent les attaques BEC. Ils doivent également être informés des dernières menaces et apprendre à identifier un e-mail frauduleux. Par ailleurs, il faudrait élaborer et mettre en œuvre des politiques exigeant la vérification de toutes les demandes de virement et de changement de compte bancaire envoyées via les e-mails.
La formation et les politiques de sécurité devraient servir de dernière ligne de défense solide, mais en amont, il est important de bloquer les e-mails frauduleux et de s’assurer qu’ils n’arrivent pas dans les boites de réception des utilisateurs finaux.
Cela nécessite une solution antispam et antiphishing puissante telle que SpamTitan. SpamTitan peut bloquer plus de 99,97 % de tous les spams et e-mails malveillants, ce qui permet de réduire considérablement les menaces lancées via la messagerie électronique.
Pour plus d’informations sur SpamTitan et les autres protections de cybersécurité visant à réduire le risque d’attaques BEC et de phishing, contactez TitanHQ dès aujourd’hui.
Les cyberattaques contre les fournisseurs de services managés (MSP) ont augmenté au cours des derniers mois et ils sont maintenant une cible clé pour les pirates informatiques. Si un pirate parvient à accéder aux systèmes d’un MSP, ses outils d’administration à distance peuvent être utilisés pour lancer des attaques contre ses clients.
Plusieurs cyberattaques majeures ont été lancées contre les MSP au cours des dernières semaines. Des groupes de pirates soutenus par un État-nation ont pris pour cible les MSP au service des grandes organisations, tandis que d’autres cybercriminels s’attaquaient aux MSP qui desservent les petites et moyennes entreprises (PME) avec des ransomwares.
Trois cyberattaques majeures contre des MSP au service des organismes de santé aux États-Unis ont été signalées au cours des deux derniers mois. Toutes trois ont touché plus de 100 clients du secteur de la santé, dont l’une en a même touché 400.
Fin novembre, le MSP Virtual Care Provider Inc. du Milwaukie a été attaqué avec le ransomware Ryuk. L’attaque a débuté le 17 novembre 2019 et a affecté toutes les données de ses clients. Environ 110 maisons de retraite et établissements de soins aigus n’ont pas pu accéder aux dossiers médicaux de leurs patients.
Les conséquences pour les clients ont été désastreuses. Les centres de retraite et les maisons de soins ne pouvaient pas facturer Medicaid, ce qui signifie que le financement essentiel pour le bon fonctionnement de ces établissements n’a pas pu être fourni et que les maisons de soins ne pouvaient pas commander des médicaments essentiels pour leurs patients.
Virtual Care Provider a reçu une demande de rançon de plus de 12,6 millions d’euros, mais l’entreprise n’avait pas les moyens de payer. 20% des services de l’entreprise ont dû être affectés. Il a également été contraint de reconstruire une centaine de serveurs.
Le ransomware appelé TrickBot a été téléchargé en tant que charge utile secondaire. Il avait été installé sur le réseau du MSP Virtual Care Provider Inc. quatorze mois auparavant par le biais d’une pièce malveillante jointe à un email.
Quelques semaines plus tard, Complete Technology Solutions, un MSP du Colorado qui dessert des cabinets dentaires, a été attaqué par un ransomware appelé Sodinokibi. Le MSP a d’abord été attaqué, puis ses outils d’administration à distance ont été utilisés pour déployer le ransomware sur ses réseaux constitué de plus d’une centaine de cabinets dentaires.
Une demande de rançon de plus de 631 000€ a été émise, mais le MSP a refusé de payer. Ses clients doivent maintenant payer les pirates pour obtenir les clés permettant de déchiffreur leurs fichiers. Seuls quelques-uns qui avaient des sauvegardes stockées hors du réseau ont pu les récupérer sans payer la rançon.
C’est la deuxième attaque de ce type et qui touche une entreprise au service de l’industrie dentaire. L’autre exemple est celui de PerCSoft. Ce MSP a également été attaqué par le ransomware Sodinokibi. Cette attaque a touché environ 400 cabinets dentaires. C’est aussi le cas du MSP CyrusOne, qui a été attaquée par Sodinokibi. Son département de services gérés et six de ses clients ont été touchés.
Les ransomwares ne sont pas les seuls vecteurs d’attaques pouvant être utilisés par les cybercriminels. Des groupes de pirates soutenus par un État-nation, tels qu’APT10, visaient également les MSP, mais leurs objectifs étaient différents. En effet, les attaques ont été menées pour avoir accès à la propriété intellectuelle des entreprises clientes des MSP.
Comme les cyberattaques contre les MSP se multiplient, ils doivent s’assurer qu’ils disposent de défenses adéquates pour tenir les pirates à distance. C’est un domaine dans lequel TitanHQ peut apporter son aide. TitanHQ est le principal fournisseur de solutions de sécurité de la messagerie électronique et du web. Il propose des solutions basées dans le cloud pour les MSP qui desservent les PME.
TitanHQ propose un trio de solutions pour les MSP dans le cadre du programme TitanShield :
SpamTitan, la solution de sécurité de la messagerie électronique basée dans le cloud est très puissante. Elle maintient les boîtes de réception de vos clients à l’abri des spams ; des emails de phishing et des malwares. SpamTitan intègre l’authentification DMARC et la vérification de noms de domaine (SPF) pour contrer les attaques d’usurpation d’identité par emails.
Elle utilise également deux moteurs antivirus pour détecter les menaces de malwares connues.
À ceux-ci s’ajoutent les analyses heuristiques et le sandboxing qui permettent d’identifier et de bloquer les menaces du type « zero day ».
WebTitan Cloud est une solution de filtrage DNS 100 % basée dans le cloud.
Elle fonctionne de manière transparente avec SpamTitan pour bloquer les attaques de phishing sur le web et les téléchargements de malwares. La solution vous permet de surveiller et d’identifier les menaces malveillantes en temps réel.
Elle comprend également une protection basée sur l’Intelligence artificielle pour bloquer les URL de phishing actives et émergentes, y compris les menaces du type « zero day ».
La troisième solution est ArcTitan. Il s’agit d’une solution d’archivage des emails dans le cloud. Elle offre une protection contre la perte de données et aide les MSP et leurs clients à respecter leurs obligations de conformité.
ArcTitan fonctionne comme un enregistreur de vol d’un avion lorsqu’il effectue la sauvegarde des emails de votre entreprise.
Ces trois solutions sont non seulement idéales pour améliorer la sécurité des emails de vos clients, en tant que MSP, mais elles peuvent aussi contribuer à garantir la protection de vos systèmes contre les attaques.
Toutes les solutions de TitanHQ sont rapides et faciles à mettre en œuvre. Elles sont faciles à gérer et sont pilotées par des API, ce qui permet de les intégrer facilement à vos systèmes de gestion et de surveillance à distance.
Pour en savoir plus sur le programme TitanShield pour les MSP et pour découvrir comment les solutions de cybersécurité de TitanHQ peuvent améliorer votre sécurité et celle de vos clients, appelez l’équipe de TitanHQ dès aujourd’hui.
