Blog

Crackonosh : le malware injecté dans les logiciels piratés

Crackonosh : le malware injecté dans les logiciels piratés

Depuis plusieurs mois, les cryptomonnaies sont en plein essor. Les prix ont grimpé en flèche, ce qui signifie qu’elles ont de plus en plus de valeur pour les utilisateurs légitimes et les pirates informatiques.

Pour gagner de l’argent sur leurs exploits, les pirates ont ajouté des malwares aux jeux piratés. Le malware, nommé Crackonosh, utilise les ressources de l’ordinateur d’un utilisateur pour générer de la cryptomonnaie pour l’attaquant.

On recommande toujours aux utilisateurs de ne pas utiliser des logiciels piratés, mais beaucoup d’entre eux ne tiennent pas compte des avertissements et téléchargent des logiciels piratés sans penser que cela pourrait impliquer des risques élevés.

Des jeux populaires trafiqués minent du Monero

Lorsque les attaquants ajoutent leurs propres malwares, ils prennent souvent des jeux légitimes et enveloppent l’installation de leur propre code. Le programme d’installation ajoute le logiciel légitime, mais aussi un malware qui fonctionne en arrière-plan.

Avec Crackonosh, le programme d’installation ajoute une application de minage nommée XMRig. L’application minière est légitime, mais la méthode pour l’utiliser ne l’est pas.

L’application XMRig utilise les ressources de l’ordinateur pour extraire la cryptomonnaie populaire Monero. Elle est cachée dans des jeux populaires tels que Grand Theft Auto V, NBA 2K19 et Pro Evolution Soccer 2018. Les chercheurs ont constaté que le malware a été téléchargé principalement à partir de sites de forums, mais il peut être hébergé n’importe où sur Internet.

L’extraction de millions de cryptomonnaies nécessite plus d’un ordinateur, c’est pourquoi les attaquants ont diffusé les fichiers exécutables malveillants à autant d’utilisateurs que possible. On estime que 222 000 appareils sont infectés en décembre 2020, et les attaquants ont récolté un peu plus de 2 millions de dollars en cryptomonnaie Monero.

Les régions les plus touchées sont les Phillippines, le Brésil, l’Inde, la Pologne, les États-Unis et le Royaume-Uni.

Mode d’infection et désactivation de l’antivirus

Les malwares distribués selon cette méthode commencent généralement par ce qui ressemble à un programme d’installation légitime. Avec Crackonosh, le programme d’installation pointe vers un fichier nommé maintenance.vbs ; un script personnalisé qui lance le programme d’installation qui, à son tour, exécute le fichier serviceinstaller.exe.

Le logiciel XMRig s’installe en utilisant l’exécutable final serviceinstaller.exe en le téléchargeant sur Internet.

Comme la plupart des malwares, Crackonosh présente différentes variantes pour éviter d’être détecté par les logiciels antivirus, mais il tente également de désactiver les applications antivirus exécutées sur l’appareil. Si l’appareil fonctionne sous Windows, le malware tente de désactiver Windows Defender, qui est l’application antimalware incluse dans le système d’exploitation.

Crackonosh ne se contente pas de désactiver l’antivirus et Windows Defender, il crée et stocke une icône dans la barre d’état du système Windows pour faire croire aux utilisateurs que leur système antivirus est toujours en cours d’exécution. Il désactive également toute mise à jour automatique afin que le système antimalware ne puisse pas être réactivé.

Prévention de Crackonosh sur votre ordinateur

Bien que Crackonosh se propage principalement sur les forums Internet, il peut être diffusé de différentes manières par un attaquant qui peut inciter les utilisateurs à exécuter le faux programme d’installation. Il peut être envoyé dans un courrier électronique malveillant, inclus dans des macros de documents et lié à d’autres messages.

Comme le malware est caché dans du contenu piraté, il se propage principalement sur les forums qui proposent des liens vers des logiciels piratés distribués.

Crackonosh utilise des ressources, qu’il s’agisse d’un appareil privé ou professionnel. Les particuliers pourraient voir leur facture d’électricité augmenter lorsque XMRig fonctionne en permanence sur les appareils de la maison, mais ce sont les entreprises qui pourraient en souffrir le plus si plusieurs machines sont victimes du malware.

L’antivirus étant désactivé, les administrateurs ne se rendront pas compte que l’appareil est compromis.

Les administrateurs peuvent bloquer les exécutables malveillants susceptibles de contenir Crackonosh de deux manières : bloquer l’accès au contenu en se basant sur les recherches de DNS et de domaines, et filtrer les e-mails suspects à l’aide de filtres de cybersécurité.

Les filtres de cybersécurité sont le meilleur moyen de bloquer les messages électroniques malveillants. Ces systèmes détectent de nombreuses attaques telles que le phishing, les en-têtes usurpés, les liens vers des sites contrôlés par des attaquants et les pièces jointes malveillantes.

Les filtres de contenu aident également à lutter contre les malwares. Les filtres de contenu basés sur les consultations DNS empêchent les navigateurs des utilisateurs d’accéder à des sites malveillants.

Si un attaquant contourne les filtres de messagerie, les filtres de contenu Web interdisent l’accès à un site malveillant si l’utilisateur se laisse prendre au piège et clique sur un lien vers un forum hébergeant le malware Crackonosh ou tout autre programme malveillant susceptible d’endommager un appareil local.

Les deux défenses de cybersécurité fonctionnent bien ensemble pour empêcher l’accès des programmes malveillants aux appareils des utilisateurs.

Bien entendu, ces derniers doivent toujours être formés pour éviter les sites de téléchargement de logiciels piratés, mais l’utilisation des défenses de cybersécurité pour bloquer les e-mails et les sites Web malveillants ajoute une couche de protection aux appareils des utilisateurs finaux et à l’ensemble de votre environnement réseau.

La formation des utilisateurs est toujours nécessaire, mais la cybersécurité des e-mails et du contenu Web est indispensable pour éviter les erreurs humaines. Vous ne pouvez pas réduire complètement tous les risques, mais vous pouvez ajouter des couches de cybersécurité qui aideront à protéger vos appareils.

Prenez de l’avance sur le paysage des menaces en constante évolution et soyez à l’abri des attaques cybercriminelles grâce à la sécurité multicouche de TitanHQ.

Le filtre DNS WebTitan élimine le contenu malveillant à la source, tandis que la protection des e-mails, SpamTitan, bloque : 99,9 % :

  • Des spams,
  • Des attaques de phishing,
  • Des attaques de spoofing,
  • Des attaques de malwares,
  • Des attaques de ransomwares,
  • D’autres menaces lancées via la messagerie électronique.

Commencez votre essai gratuit dès aujourd’hui et découvrez l’efficacité de nos filtres web en moins d’une heure.

Hausse du phishing liées aux cryptomonnaies

Hausse du phishing liées aux cryptomonnaies

Selon la Federal Trade Commission, une agence indépendante du gouvernement des États-Unis, les escroqueries de phishing liées aux cryptomonnaies ont augmenté de plus de 1 000 % depuis octobre dernier. C’était un titre récent de CBS News. En 2020, on estime à 400 000 le nombre d’escroqueries impliquant des cryptomonnaies.

Il s’avère que les cryptomonnaies ne sont pas seulement populaires parmi les investisseurs spéculatifs. Les escrocs et les cybercriminels sont également très actifs dans cette nouvelle monnaie.

Les Américains ont perdu plus de 68 millions d’euros pendant cette période. Ces pertes résultent des escroqueries à l’investissement, des vols de portefeuilles numériques et des attaques de phishing.

Selon le FBI, les attaques par compromission des e-mails professionnels (Business Email Compromise ou BEC) liées aux cryptomonnaies ont considérablement augmenté au cours des deux dernières années, les entreprises perdant environ 8.5 millions d’euros en 2020.

Dans un exemple d’attaque, les escrocs ont pu s’en tirer en volant plus de 12.5 millions d’euros à une entreprise. Souvent, les victimes ne savent même pas que leurs fonds sont convertis en monnaie numérique.

Un certain nombre de raisons expliquent pourquoi les cryptomonnaies jouent un rôle aussi important dans les escroqueries en général. La technologie des monnaies numériques étant très récente, la plupart des gens ne savent pas comment elle fonctionne.

La blockchain est un concept d’avant-garde et constitue donc un nouveau territoire pour la plupart d’entre nous. Les cybercriminels sont alors en mesure de tirer parti du faible niveau de compréhension que les gens ont de ce concept.

Un autre facteur qui contribue à l’augmentation du nombre d’attaques cybercriminelles est le nombre de monnaies numériques. Il y a actuellement plus de 5 000 cryptomonnaies en circulation dans le monde, et de nouvelles sont créées à un rythme effréné.

Il est donc facile pour les attaquants de changer continuellement de monnaie. Ils créent également plusieurs portefeuilles de cryptomonnaies pour un usage unique. Une fois que la victime a payé, le portefeuille est abandonné.

Les pirates profitent également des documents d’identification de tiers qu’ils collectent lors d’attaques d’exfiltration de données. Ils ouvrent ensuite des portefeuilles de cryptomonnaies en utilisant ces informations personnelles saisies. De plus, les cryptomonnaies ont une qualité d’anonymat héritée.

Si les blockchains qui les soutiennent fournissent un enregistrement de la transaction financière réelle, la plupart d’entre elles ne divulguent pas d’informations personnelles concernant ces transactions. Il est donc difficile pour les autorités d’établir tout type de schéma financier susceptible de faciliter leurs enquêtes. Il s’avère que les cryptomonnaies sont un paradis pour les criminels.

Attaques BEC liées aux cryptomonnaies

De nos jours, de nombreuses attaques BEC sont bien pensées et coordonnées. Les attaquants se sont souvent renseignés sur l’organisation ciblée et sur les principaux dirigeants. Ils ont souvent compromis le système de messagerie de l’entreprise des semaines, voire des mois avant l’attaque initiale, afin de s’habituer aux protocoles et à la culture de l’organisation.

L’attaque elle-même implique généralement l’usurpation de l’identité d’un dirigeant clé, tel que le PDG ou le directeur financier d’une entreprise. Un employé de niveau inférieur ayant accès au système de paiement de l’entreprise est invité à transférer des fonds pour une raison précise comme une transaction importante ou un achat.

L’employé reçoit des instructions qui incluent un compte bancaire pour la transaction où l’échange de cryptomonnaies du pirate maintient un compte de dépôt. Une fois que les fonds sont virés sur le compte du pirate, la banque convertit automatiquement l’argent en cryptomonnaie.

Les attaques de phishing liées aux cryptomonnaies les plus courantes

Bien entendu, la plupart des attaques de phishing liées aux cryptomonnaies sont lancées dans le but d’obtenir un gain rapide de la confiance des utilisateurs peu méfiants. Il y a les escroqueries habituelles qui font la promotion de faux prix, de cadeaux et de tirage au sort impliquant d’une manière ou d’une autre des cryptomonnaies.

Les exemples les plus marquants d’escroqueries liées à la cryptomonnaie concernent les systèmes d’investissement. Il s’agit souvent de fausses approbations par des célébrités ou des défenseurs bien connus des cryptomonnaies, comme Elon Musk.

Les attaques par typosquattage – une technique basée sur les fautes de frappe et d’orthographe commises un internaute au moment de saisir une adresse web dans un navigateur — sont également populaires. Pour duper leurs victimes, les cybercriminels achètent des noms de domaine qui ressemblent beaucoup à ceux de sites d’échange de cryptomonnaies bien connus.

Recommandations du FBI

En plus de l’alerte publiée plus tôt cette année, le FBI a fourni une liste de mesures spécifiques que les entreprises et les particuliers devraient adapter afin d’éviter d’être la cible d’une escroquerie liée aux cryptomonnaies. Il s’agit notamment des mesures suivantes :

  • Augmentez vos processus d’authentification avec une solution d’authentification multifactorielle (AMF). La méthode la plus populaire consiste à transmettre un code PIN par SMS ou par e-mail après que l’utilisateur a saisi ses identifiants de connexion pour pouvoir l’authentifier. Les applications d’authentification sur Smartphone sont également de plus en plus populaires.
  • Les services informatiques doivent s’assurer que les applications de messagerie de leurs employés sont configurées de manière à permettre aux utilisateurs d’afficher les extensions complètes des e-mails qu’ils reçoivent.
  • Les particuliers sont encouragés à surveiller régulièrement leurs comptes bancaires pour détecter les indiscrétions et les transactions non reconnues.
  • Le FBI insiste fortement sur le fait que la meilleure protection contre le phishing est une solution antiphishing moderne. Une excellente option est SpamTitan, qui intègre un double antivirus, une protection contre les fuites de données, des listes noires en temps réel (RBL), un filtrage du contenu des e-mails ainsi qu’une analyse heuristique bayésienne intégrant l’apprentissage automatique.

De nombreux investisseurs traditionnels ont choisi de rester sur la touche et de se contenter d’observer les rendements frénétiques des cryptomonnaies. Mais sachez que, lorsqu’il s’agit de se protéger des escroqueries liées aux cryptomonnaies, aucun d’entre nous ne peut se permettre de ne par réagir face aux menaces cybercriminelles actuelles.

Protégez-vous et votre entreprise contre les attaques de phishing liées aux cryptomonnaies avec la solution antispam SpamTitan. SpamTitan est une solution de sécurité de la messagerie capable d’anticiper les nouvelles attaques grâce à une technologie d’Intelligence artificielle prédictive. Nous vous invitons à découvrir la démonstration de SpamTitan dès aujourd’hui.

Protégez votre entreprise de la compromission d’emails professionnels

Protégez votre entreprise de la compromission d’emails professionnels

La récente enquête réalisée par TitanHQ et Osterman Research, menée auprès des professionnels de la sécurité informatique, a montré que les incidents de sécurité les plus fréquents subis par les entreprises étaient les attaques par compromission des emails professionnels (BEC).

Qu’est-ce qu’une attaque de compromission d’emails professionnels, ou Business Email Compromise ?

Une attaque de type BEC consiste pour un cybercriminel à usurper la confiance d’un contact ou d’une entreprise, généralement pour inciter un employé à effectuer un virement frauduleux, à envoyer des données sensibles via la messagerie électronique ou à obtenir de l’argent par d’autres moyens.

Lors d’une attaque de type BEC, l’attaquant usurpe généralement un compte de messagerie ou un site web. Il peut aussi utiliser un compte de messagerie authentique et fiable qui a déjà été compromis dans une attaque de phishing.

Si un compte de messagerie compromis n’est pas utilisé, une personne est généralement usurpée en modifiant le nom d’affichage pour faire croire que l’email a été envoyé par un contact authentique, souvent le PDG, le directeur financier ou un fournisseur.

Il est également fréquent que des domaines similaires soient utilisés dans les attaques de type BEC. L’attaquant découvre le format des comptes de messagerie de l’entreprise usurpée et copie ce format en utilisant un domaine qui ressemble beaucoup au domaine authentique utilisé par cette entreprise. À première vue, le domaine usurpé semble parfaitement légitime.

Les attaques de type BEC sont généralement très ciblées. Un email est soigneusement conçu pour cibler une personne au sein d’une organisation ou une personne ayant un rôle particulier.

Étant donné que de nombreuses attaques visent à inciter les employés à effectuer des virements électroniques frauduleux. Les personnes du département financier sont le plus souvent visées, bien que les auteurs des attaques de type BEC ciblent également le département des ressources humaines, le département marketing, le département informatique et les cadres.

Comme les demandes contenues dans les emails sont plausibles et que le format du message, les signatures et la marque sont souvent copiés de emails authentiques, les emails BEC peuvent être très convaincants.

Il n’est pas rare non plus que les attaques impliquent des conversations qui s’étendent sur plusieurs messages avant que l’attaquant ne fasse une demande.

Si les attaques de phishing sont courantes, les pertes dues aux attaques de type BEC sont bien plus importantes. Selon les chiffres du FBI, les attaques de type BEC sont la première cause de pertes dues à la cybercriminalité.

Comment protégez votre entreprise de la compromission d’emails professionnels ?

La défense contre les attaques de type BEC nécessite une combinaison de mesures. Naturellement, comme ces attaques visent les employés, il est important de les sensibiliser à la menace et de leur apprendre à identifier une telle attaque.

Il convient également de mettre en place des politiques et des procédures exigeant que toute demande par courrier électronique de modifications des coordonnées bancaires ou des méthodes de paiement, ou de modification des informations de dépôt direct pour la paie, soit vérifiée à l’aide de coordonnées de confiance. Un appel téléphonique rapide pourrait facilement déjouer une attaque.

Bien que ces mesures soient importantes, la meilleure défense consiste à empêcher les emails BEC d’atteindre les boîtes de réception des utilisateurs finaux, car cela élimine le risque d’erreur humaine.

Pour ce faire, vous devez disposer d’une solide sécurité du courrier électronique. Une bonne solution de sécurité des emails bloquera les tentatives de vol d’identifiants qui sont les précurseurs de nombreuses attaques de type BEC.

Une solution avancée de filtrage du spam qui intègre des techniques d’apprentissage automatique peut détecter et bloquer les attaques de type « zero day » via des messages personnalisés, souvent uniques et utilisés par les attaquants pour cibler des cibles particulières.

Les solutions qui intègrent les protocoles DMARC et SPF permettront de détecter les emails provenant de personnes non autorisées à envoyer des messages depuis un domaine particulier. Il s’agit d’une protection vitale contre les attaques de type BEC.

Optez pour SpamTitan contre la compromission d’emails professionnels

SpamTitan intègre toutes ces mesures — et bien d’autres encore — pour protéger les entreprises. Associé à la formation des utilisateurs finaux et à des mesures administratives, les entreprises peuvent améliorer considérablement leurs défenses contre les attaques de type BEC.

Pour plus d’informations sur la façon dont SpamTitan peut protéger votre entreprise contre toute une série d’attaques par email, appelez l’équipe de TitanHQ dès aujourd’hui.

Découvrez également d’autres mesures que vous pouvez mettre en œuvre pour bloquer les attaques de phishing et de ransomware lors de notre webinaire qui s’est déroulé le 30 juin 2021.

Dans ce webinaire — organisé par TitanHQ et Osterman Research —, vous découvrirez les résultats de la dernière enquête TitanHQ auprès des professionnels de la sécurité et vous obtiendrez de précieuses indications sur la manière dont vous pouvez améliorer votre posture de cybersécurité.

Colonial Pipeline : une attaque  à cause d’un mot de passe non protégé

Colonial Pipeline : une attaque à cause d’un mot de passe non protégé

En avril 2021, des pirates ont accédé au réseau de Colonial Pipeline et ont déployé un ransomware qui a forcé l’arrêt d’un système de pipelines de carburant desservant la côte est des États-Unis. L’approvisionnement en carburant étant menacé, les Américains de la côte est ont acheté du carburant en panique, ce qui a entraîné des pénuries locales.

Le prix de l’essence a atteint son niveau le plus élevé depuis plus de six ans et les stocks d’essence de la côte est ont diminué de 4,6 millions de barils.

L’attaque a été attribuée à l’opération d’un « ransomware-as-a-service (RaaS) » appelé DarkSide, qui a depuis cessé ses activités. Avant la fermeture, Colonial Pipeline a payé une rançon de plus de 3.7 millions d’euros pour obtenir les clés permettant de déverrouiller les fichiers chiffrés.

La décision de payer la rançon a été prise en raison de la menace qui pesait sur l’approvisionnement en carburant.

Colonial Pipeline fournit 45 % du carburant à la côte est, et bien que la décision de payer les attaquants ait été difficile à prendre, le paiement a été effectué en raison de la menace pour l’approvisionnement en carburant, étant donné le temps qu’il aurait fallu pour récupérer sans les clés de déchiffrement fournies par les attaquants.

Une attaque d’une telle ampleur contre une entreprise d’infrastructure critique aurait dû être difficile. Cependant, une enquête sur la cyberattaque a révélé que l’accès au système informatique de l’entreprise n’aurait pas pu être plus simple.

L’origine de l’attaque de ransomware provient d’un mot de passe non protégé

En fait, les attaquants ont utilisé un mot de passe compromis pour accéder à distance aux systèmes de Colonial Pipeline, et ce compte n’était pas protégé par une authentification multifactorielle.

Le mot de passe correspondait à un compte de réseau privé virtuel, selon Charles Carmakal, vice-président senior de la société de cybersécurité Mandiant, qui a participé à l’enquête. Le compte n’était pas utilisé, mais il était toujours possible d’utiliser les identifiants de connexion pour accéder au réseau de Colonial Pipeline.

On ne sait pas comment les pirates ont obtenu le mot de passe. Il a été trouvé dans une base de données de mots de passe usurpée qui a été divulguée sur le darkweb. Il est possible qu’une personne ait défini un mot de passe pour le compte qui avait été utilisé pour un autre compte qui avait été piraté.

Il est fréquent que les mots de passe provenant de violations de données soient tentés dans des attaques par la force brute, car la réutilisation des mots de passe est courante. Les mots de passe sont également souvent obtenus lors des attaques de phishing.

Mandiant a cherché des preuves de la façon dont le mot de passe a été obtenu par les pirates. Les chercheurs n’ont trouvé aucun signe d’activité des attaquants avant le 29 avril 2021, ni aucune preuve de phishing. On ne saura peut-être jamais comment le mot de passe a été obtenu et le nom a été d’utilisateur déterminé.

Ce qui est clair, c’est que l’attaque aurait pu être facilement évitée si les meilleures pratiques en matière de cybersécurité avaient été suivies, comme :

  • La réalisation d’audits des comptes et la fermeture des comptes qui ne sont plus utilisés
  • La définition de mots de passe uniques et complexes pour chaque compte
  • La mise en œuvre d’une authentification multifactorielle pour empêcher l’utilisation de mots de passe compromis
  • La mise en œuvre d’une solution antispam efficace pour bloquer les e-mails de phishing.
Réduire les risques de phishing et de ransomware en entreprise

Réduire les risques de phishing et de ransomware en entreprise

L’introduction du travail à domicile et du confinement causé par la pandémie du Covid-19 ont déplacé l’attention des professionnels de la cybersécurité. En fait, les cybercriminels ont développé des moyens plus sophistiqués pour compromettre les systèmes des entreprises.

Un rapport sur les risques mondiaux indique que l’année 2021 sera axée sur de meilleures stratégies de cybersécurité pour détecter et arrêter le phishing et les attaques de ransomware. Ces deux méthodes d’attaque sont de plus en plus courantes et efficaces pour permettre aux escrocs de voler des données ou d’extorquer des millions d’euros aux entreprises ciblées.

Le paysage actuel des menaces

Selon Osterman Research, les trois principaux enjeux de la cybersécurité en 2021 sont :

  • La protection des points d’extrémité (par exemple, les appareils des utilisateurs ou les ordinateurs connectés à Internet) ;
  • La sensibilisation des utilisateurs aux ransomwares et le fait de les empêcher d’en être victimes ;
  • La protection des sauvegardes pour lutter contre les attaques de ransomwares.

Comme vous pouvez le constater, deux des trois priorités sont les ransomwares. Ils continuent de se positionner comme l’une des menaces les plus dommageables dans le paysage actuel de la cybersécurité.

Ces malwares chiffrent les données à l’aide d’un code cryptographique sécurisé, de sorte qu’il est techniquement impossible pour la victime de remédier au problème.

La seule façon de se remettre d’une attaque de ransomware est d’utiliser les sauvegardes pour restaurer les données ou de payer la rançon. Pour des raisons évidentes, la plupart des entreprises préfèrent utiliser les sauvegardes pour récupérer leurs données.

Comme les sauvegardes sont une solution de récupération pour les victimes, la troisième préoccupation doit être une priorité pour les organisations au cas où elles deviendraient une cible réussie.

Les développeurs des ransomwares programment leurs malwares pour rechercher les sauvegardes sur le réseau, ce qui réduit les chances de récupération pour les victimes ciblées. Sans la sauvegarde des données, la victime ciblée est obligée de payer la rançon, ce qui est l’objectif principal des escrocs.

Si l’entreprise victime ne paie pas la rançon, la stratégie finale des pirates informatiques consiste à menacer de divulguer les données privées de l’organisation. Ils menacent souvent de divulguer la violation des données au public, ce qui pourrait nuire à la réputation de la marque et entraîner des poursuites judiciaires et des sanctions de conformité supplémentaires.

Si l’entreprise ne parvient pas à récupérer les sauvegardes, elle peut parfois négocier avec le propriétaire du ransomware.

Dans les attaques actuelles, le propriétaire du ransomware inclut un numéro de contact numérique (par exemple, WhatsApp ou Telegram) que les victimes peuvent utiliser si elles ont des questions. Par exemple, le district scolaire du comté de Broward a pu négocier avec les auteurs d’un ransomware pour que le paiement passe de 40 à 10 millions de dollars.

Le phishing et le ransomware fonctionnent ensemble lors d’une compromission

Pour installer un ransomware sur un système ciblé, l’attaquant a besoin d’un vecteur. Dans de nombreux cas, le début de la compromission est un courrier électronique. Le message électronique peut contenir un lien vers un site web malveillant.

Le pirate peut également joindre un document contenant une macro qui télécharge le malware sur l’appareil ciblé. La plupart des systèmes de messagerie bloquent les fichiers exécutables, mais les attaquants peuvent utiliser un fichier exécutable ou un script malveillant pour installer le ransomware.

Les utilisateurs doivent être formés pour identifier les emails suspects, mais l’erreur humaine est un problème majeur en matière de cybersécurité. Il suffit qu’un seul utilisateur tombe dans le piège d’un email de phishing pour que les attaquants réussissent à installer un ransomware, ce qui en fait une stratégie efficace.

Comme il suffit d’un seul email de phishing réussi, un attaquant peut en envoyer des centaines à des utilisateurs spécifiques au sein de l’organisation.

Lisez le rapport Osterman & TitanHQ : comment réduire le risque de phishing et de ransomware (en anglais)

La cybersécurité de la messagerie électronique est une défense primaire

La formation à la cybersécurité est souvent la première défense contre les ransomwares et le phishing, mais elle laisse l’organisation ouverte à l’erreur humaine. La seule façon d’empêcher l’erreur humaine est d’empêcher les messages malveillants d’atteindre la boîte de réception du destinataire.

La cybersécurité de la messagerie électronique — qui détecte et filtre les messages suspects — est la principale défense contre les ransomwares et les autres attaques qui commencent par une campagne de phishing.

Les ransomwares sont dommageables pour toute organisation, mais le phishing est également utilisé pour l’injection d’autres malwares. Il est également utilisé pour voler les informations d’identification des utilisateurs pour les comptes personnels ou l’accès au réseau de l’entreprise.

La cybersécurité de la messagerie électronique détecte tous ces messages malveillants et les met en quarantaine avant de permettre aux messages d’atteindre la boîte de réception de l’utilisateur.

Lorsque les défenses de cybersécurité mettent un email en quarantaine, les administrateurs peuvent examiner les messages. En permettant aux administrateurs d’examiner les messages au lieu de les supprimer purement et simplement, les administrateurs peuvent vérifier si les messages sont faussement positifs et envoyer au destinataire ceux qui devraient l’être.

Sans la méthode de mise en quarantaine, les utilisateurs pourraient perdre des messages importants contenant des pièces jointes essentielles. Les administrateurs peuvent également déterminer si une campagne de phishing ciblée est en cours afin de former et d’éduquer davantage les utilisateurs pour qu’ils soient plus vigilants en cas de faux négatifs.

Les ransomwares étant de plus en plus populaires, la cybersécurité des emails est plus importante que jamais. Les sauvegardes sont toujours nécessaires, mais la cybersécurité des emails est votre première défense contre ces attaques.

Le blocage des messages malveillants permet d’économiser de l’argent, du temps et des problèmes potentiels liés à une attaque réussie de ransomware et sert de stratégie pour protéger l’entreprise contre l’erreur humaine.

Nous aimerions vous inviter à découvrir les résultats de notre webinaire qui s’est déroulé le 30 juin lors de laquelle la nouvelle recherche d’Osterman Research a été dévoilée.

Cette étude a été menée auprès de 130 professionnels de la cybersécurité et porte spécifiquement sur les menaces croissantes du phishing et du ransomware, et sur la manière dont les risques de ces deux phénomènes peuvent être réduits.