Phishing
par Editeur | Jan 5, 2022 | Cybersécurité et télétravail, Filtrage web, Malwares, Phishing, Ransomware, Sécurité des données, Sécurité des emails, Sécurité Internet
La formation à la sécurité informatique suffit-elle à éviter la fuite des données ?
Les principes de la sensibilisation à la sécurité informatique se sont répandus au cours des dix dernières années. En conséquence, de nombreuses entreprises à travers le monde ont pris des mesures sérieuses visant à initier leurs employés dans le domaine et à investir dans la « culture de la sécurité » prônée par ce mouvement.
Toutefois, il semble que cette formation à la sécurité informatique ne suffit pas à parer aux assauts constants des cyberattaques. Dans ce cas, comment les entreprises peuvent-elles se protéger contre la menace pirate ?
Quels sont les résultats de la sensibilisation à la sécurité informatique sur l’hameçonnage ?
La sensibilisation à la sécurité informatique couvre un vaste champ de problèmes à envisager : la cyber-hygiène, la fin du partage des mots de passe, la conscience des risques encourus et l’importance de la conformité, etc. La formation comporte généralement des exercices de confrontation à l’hameçonnage permettant aux employés d’identifier des emails frauduleux. Il est important de signaler que la recherche a démontré l’efficacité de cette formation : les cyberattaques ont en effet été amoindries. Toutefois, bien qu’on admette globalement l’importance de la sensibilisation à la cyber-sécurité, l’hameçonnage demeure le grand problème auquel sont confrontées les entreprises.
D’après les statistiques, l’hameçonnage continue à faire des ravages parmi les organisations à travers le monde : le FBI a découvert 241 324 attaques en 2020, soit le double comparé à l’enregistrement précédent. De son côté, l’unité de cybercriminalité Internet Crime Report unit (abrégé IC3) a reçu 12 fois plus de rapports d’hameçonnage en 2020 qu’en 2016. Cette méthode de piratage demeure la favorite des cyber-pirates ; le rapport d’enquête de la fuite des données de Verizon (DBIR) a révélé que 43% des fuites de données sont causées par hameçonnage. En plus des emails et autres vecteurs d’hameçonnage, les cybercriminels se sont surpassés en 2020, créant un nombre phénoménal de sites internet hameçons : Google à lui seul en répertoria plus de 2 millions au cours de l’année.
Si la sensibilisation à la sécurité informatique est une réponse efficace à de nombreuses fuites de données accidentelles et à de mauvaises configurations de matériel, force est de constater qu’elle est insuffisante.
Une approche à 360 degrés de la sécurité
La recherche a démontré que les employés sont directement visés par les cyberattaques : ils constituent 90% des cibles. La sensibilisation à la sécurité informatique consiste à changer le comportement des utilisateurs. Ce n’est pas difficile, mais cela demande du temps : les êtres humains sont conditionnés de manière à cliquer sur les liens et les interactions humain-ordinateur ont été pensées tout spécialement en favorisant le système d’obtention de résultat en un clic. La modification d’un tel comportement sur le long terme requiert des efforts et du temps – pendant lequel les cybercriminels adaptent leurs tactiques pour contourner les ajustements de comportement des utilisateurs. En conséquence, les assauts par hameçonnage sont devenus bien plus sophistiqués : on observe à présent des attaques par harponnage contre les individus à travers les réseaux sociaux et par le biais de comptes vérifiés invitant au téléchargement furtif en exploitant les points faibles de leurs victimes.
En conclusion, la formation à la sécurité informatique ne suffit pas à gagner la guerre de la cybercriminalité : il faut la renforcer par une stratégie permettant de « l’étouffer dans l’œuf » grâce aux technologies actuelles les plus avancées capables d’empêcher les mails hameçons d’entrer dans les boîtes de réception des employés et d’arrêter ces derniers avant qu’ils ne puissent naviguer sur des sites internet piratés. Cette technologie doit être suffisamment élaborée pour s’ajuster au terrain en permanente évolution de la cyber-sécurité et ses nouvelles tactiques. Une approche complète à 360 degrés est indispensable, ainsi que le souligne un récent rapport de Datto sur l’état actuel du rançongiciel. Cette étude en décrit l’impact sur les petites et moyennes entreprises administrées par des prestataires de services. Les chiffres sont alarmants :
70% des prestataires de services informatiques considèrent le rançongiciel comme la menace principale envers les PME, l’hameçonnage et les menaces internet étant les vecteurs principaux de contamination de ces logiciels espions. Une fois infectés, les compagnies nord-américaines doivent s’acquitter de frais de temps d’arrêt d’un montant moyen de 308 900 dollars. Le rapport a mis en lumière le problème qu’engendre la minimisation du rançongiciel, insistant sur une approche globale comprenant :
- Le filtrage mail et le scan du contenu URL,
- L’isolement du navigateur,
- Le système « Endpoint Detection and Response » pour détecter les activités suspectes,
- La gestion des correctifs,
- La gestion des « endpoints ».
Datto conclut qu’en plus de la formation en sécurité informatique, ces mesures étaient indispensables pour répondre à toutes les failles potentielles, surtout celles où les employés sont victimes d’hameçonnage et/ou sont amenés à naviguer sur des sites frauduleux.
Bénéficier de la meilleure sécurité via un prestataire de services
Le téléchargement des documents de travail vers le Cloud et l’usage qu’en font les employés a non seulement ouvert une brèche pour les cybercriminels, mais aussi créé un espace pour les prestataires de services désireux d’offrir la meilleure sécurité possible : les voici désormais en première ligne pour fournir les composants essentiels de lutte contre la cybercriminalité, ce qui inclut la protection contre les logiciels malveillants.
La menace internet se propage rapidement, surtout par le biais des mails, ce qui diminue l’efficacité des exercices de simulation contre l’hameçonnage : les attaques sont en effet de plus en plus sophistiquées. Une analyse effectuée par Microsoft sur les dangers de la toile révèle que les cybercriminels emploient actuellement des stratégies les rendant à la fois difficiles à localiser et capables de tromper les utilisateurs les plus avertis.
En étudiant les moyens d’attaque des cybercriminels, on constate une multitude d’opérations : 65% des fraudes ont lieu par harponnage et par attaque de point d’eau sur des sites internet légitimes. Un prestataire de services informatiques est tout indiqué pour fournir une solution basée sur le cloud capable de résoudre les problèmes occasionnés par le travail à domicile durant la pandémie de Covid-19. La combinaison des application basées dans le cloud et du travail à distance additionnée aux cyberattaques de plus en plus sophistiquées a donné lieu à une offre de sécurité multi-niveaux, renforçant la sensibilisation à la sécurité informatique des employés. Aujourd’hui plus que jamais, les prestataires de services informatiques doivent prodiguer une solide stratégie de sécurité à leurs clients, leur permettant de sauvegarder leurs opérations et de protéger leurs données.
Ce n’est qu’en adoptant un angle de vue de la situation plus large qu’une entreprise peut contrecarrer tout l’arsenal des cybercriminels. Un prestataire de services informatiques peut se servir de ses capacités en tant que fournisseur SaaS pour garantir aux compagnies un accès au meilleur logiciel de protection contre le piratage disponible, quels que soient leur taille et leur secteur d’activité.
Un prestataire de services informatiques offrant une protection contre les cyber-crimes d’un tel niveau bénéficiera d’un avantage concurrentiel certain, aujourd’hui comme dans l’avenir.
Une approche dynamique et responsable de la cyber-sécurité
Donner trop de responsabilités à vos employés peut s’avérer contre-productif ; il est essentiel de préserver l’équilibre entre la sensibilisation à la sécurité informatique et la mise en place de puissantes mesures technologiques pour répondre à la menace sophistiquée que l’on observe aujourd’hui dans le paysage cybercriminel. Une entreprise ne peut pas simplement compter sur son équipe technique pour éviter une cyberattaque, surtout lorsque l’on sait que nous avons tous été formés à cliquer avant de réfléchir… Une approche dynamique de la cyber-sécurité suppose que les employés sont avertis, mais aussi que la structure informatique est prête à contrer une tentative de piratage et une fuite des données.
Parfois, les prestataires de services informatiques doivent prendre leurs distances
Les prestataires de services informatiques les plus renommés refusent parfois certaines missions : il n’est en effet pas rare de les voir demander à leurs clients de mettre eux-mêmes à jour leur système d’exploitation, ou d’acheter un équipement sous garantie afin de gérer convenablement leurs ressources de réseaux. C’est la même chose en matière de sécurité : ils éviteront par exemple un client potentiel insistant pour conserver des mots de passe trop faibles ou refusant de payer pour un pack de sécurité complet…
Les clients rendus vulnérables par leur propre négligence ou leur propre ignorance risquent d’exposer le réseau et les autres clients des prestataires de services informatiques au danger cybercriminel s’ils sont attaqués ou infectés. Il faut donc que ces derniers adoptent une politique de « nous sommes tous dans le même bateau » afin de garantir la sécurité globale. Ils ne souhaitent en effet pas s’exposer à des pénalités judiciaires causées par un client qui ne se conformerait pas aux règles.
par Editeur | Déc 22, 2021 | Cybersécurité et télétravail, Filtrage web, Malwares, Phishing, Ransomware, Sécurité des données, Sécurité des emails, Sécurité Internet, Sécurité réseau
Voulez-vous aider vos employés à identifier les mails frauduleux afin qu’ils cessent de divulguer leurs identifiants avec leurs mots de passe sur des sites d’hameçonnage et de télécharger par inadvertance des logiciels malveillants sur leurs ordinateurs ? Dans cet article, nous vous présenterons quelques signes caractéristiques des mails frauduleux opérant par hameçonnage que tout le monde devrait savoir identifier pour qu’à l’ouverture de chaque mail, vos employés soient capables de déterminer si son contenu est légitime ou s’il est dangereux, s’il vient d’un pirate se faisant passer pour un membre de l’entreprise ou s’il présente une menace de sécurité pour le réseau informatique.
Quelles sont les menaces envoyées par mail ?
C’est par les mails que les cybercriminels font le plus de dégâts dans la cyber-sécurité de l’entreprise : on estime que 91% des cyberattaques commencent avec un mail d’hameçonnage. L’hameçonnage (ou le « phishing », en anglais) est le nom qu’on donne à une tentative d’obtention des données sensibles par le biais d’une imposture : un cyber-pirate se fera ainsi passer pour une compagnie fiable afin d’obtenir les données qui l’intéressent. L’hameçonnage peut s’opérer par téléphone, par SMS, par le biais des réseaux sociaux ou par message instantané, mais le plus souvent, c’est par mail. L’hameçonnage consiste alors à appeler l’utilisateur à télécharger sur son ordinateur des dossiers malicieux contenant un logiciel malveillant ou un rançongiciel. Une réponse à l’hameçonnage suffit pour que le cybercriminel obtienne les codes d’accès aux comptes de messageries et aux services du cloud, lui permettant de télécharger toutes les données sensibles qu’il désire ainsi que la mainmise sur le réseau de l’entreprise, ce qui lui permettra de le compromettre largement.
Si vous avez installé une puissante protection de sécurisation email, la plupart des mails d’hameçonnage et des autres menaces par courriel seront bloquées, mais aucun programme de sécurité email ne vous offrira une protection complète. Il est donc essentiel que chaque utilisateur apprenne à identifier les mails frauduleux et comment réagir en cas de réception d’un tel mail.
Les employés doivent recevoir une formation en sécurité informatique
Dans certaines entreprises, la formation en sécurité informatique est obligatoire : il faut que les employés soient capables d’identifier les mails frauduleux. Aux États-Unis, par exemple, il est rendu obligatoire de suivre une formation en sécurité informatique régulièrement par la Health Insurance Portability Act (ou « HIPAA » : la loi votée par le Congrès des États-Unis en 1996 concernant la santé et l’assurance maladie). Tous les organismes de santé doivent s’assurer que leurs employés ont appris à reconnaître un mail d’hameçonnage.
Il est fortement recommandé aux compagnies qui n’y sont pas contraintes par la loi de penser à la formation en sécurité informatique : on ne peut en effet pas s’attendre à ce que les employés sachent faire la différence entre un mail fiable et un mail frauduleux s’ils ne connaissent pas les signes distinctifs. En instaurant régulièrement une formation en sécurité informatique en entreprise, vous vous assurez que vos employés ne tomberont pas dans le piège des cybercriminels, ce qui vous protégera de la violation des données.
Comment identifier les mails frauduleux ?
Les cybercriminels changent régulièrement de tactique pour contourner les systèmes de sécurité et tromper les utilisateurs afin d’obtenir de leur part des données personnelles ou l’installation d’un logiciel malveillant sur leur système. L’aspect des mails frauduleux et le leurre de l’hameçonnage change régulièrement, mais il y a des points communs dans ces arnaques, que nous vous détaillons ci-après. Notez qu’un mail frauduleux peut utiliser plusieurs de ces techniques dans le même message.
Gardez à l’esprit que ce n’est pas parce qu’il semble avoir été envoyé par une source fiable, une personne de confiance ou une entreprise célèbre avec le logo correspondant que le mail est authentique. Vous devez malgré tout contrôler soigneusement le message avant d’y répondre ou de passer à l’action qu’il vous demande.
Urgence
Les mails frauduleux et l’hameçonnage vous alertent la plupart du temps sur une situation urgente. Les cybercriminels veulent que vous agissiez rapidement, sans réfléchir, car plus vous vous posez de questions, plus vous vous avez de chances de vous rendre compte que le mail vous mène à une arnaque.
Menaces
Les mails frauduleux et l’hameçonnage vous menacent de terribles conséquences si vous ne faites rien : votre compte sera clôturé, vous perdrez l’accès à un service, vous devrez payer des frais, vous serez arrêté par la police… voilà autant de menaces récurrentes vous poussant à agir vite selon les instructions données dans le mail frauduleux.
Récompenses
Les cybercriminels parlent régulièrement d’occasions uniques, de prix défiant toute concurrence ou de récompenses pour encourager leurs cibles à les recontacter ou à visiter leur site internet. Une offre trop belle pour être honnête comme la promesse d’un iPhone neuf pour 100€ ou un prix dans un jeu auquel vous n’avez jamais participé est une ruse courante incitant les utilisateurs à cliquer sur un lien malveillant.
Demande d’informations personnelles
Le moyen le plus facile permettant d’obtenir des informations sensibles est encore de les demander ! Si cela vous arrive, vous devez prendre un moment pour réfléchir et déterminer si la demande de communiquer vos informations personnelles par mail est justifiée. Assurez-vous notamment que l’adresse mail – et pas simplement le nom de l’expéditeur indiqué en tête du mail – est valide, et essayez de lui téléphoner pour qu’il confirme que c’est bien lui qui a besoin de vos informations ou que vous changiez votre moyen de paiement. Attention ! N’utilisez surtout pas le numéro de téléphone inscrit dans l’email !
Lien hypertexte ou hyperlien
Les hyperliens sont souvent utilisés par les cybercriminels pour franchir les défenses de sécurité du système et rediriger les utilisateurs vers des sites frauduleux. L’adresse URL est la plupart du temps dissimulée par un texte alléchant, mais si vous placez le curseur de votre souris sur le lien (sans cliquer), vous pourrez voir apparaître l’adresse vers laquelle vous serez redirigé. Les raccourcis URL permettent de dissimuler la véritable destination de l’adresse URL hameçon. Il est aussi fort probable que vous passiez par plusieurs pages avant d’arriver sur le site internet frauduleux. Assurez-vous que l’adresse internet des sites que vous visitez est authentique ; en cas de doute, ne cliquez pas sur les hyperliens que vous lisez dans les mails suspects.
Pièces jointes
Les pièces jointes portent généralement une double extension pour sembler légitimes (.doc.exe par exemple). La simple ouverture de ces pièces jointes suffit à installer un logiciel malveillant sur l’ordinateur. Les cybercriminels emploient souvent des macros contenant certains codes qui téléchargeront eux aussi des logiciels malveillants. Pensez à scanner avec un antivirus les pièces jointes avant de les ouvrir et n’utilisez pas leur contenu à moins d’être 100% sûr qu’il est fiable. Considérez toujours comme suspects des pièces jointes au format étrange ou inhabituel avec une extension suspecte (comme les .zip, .scr, .js, .exe, .vbs, .bat, .com, .msi, .jse, .lnk, .vb etc.).
Adresses mails étranges ou noms de domaines bizarres
Dans les mails frauduleux, les noms affichés et les adresses mails leur correspondant sont souvent très différents : vérifiez scrupuleusement l’adresse mail utilisée. Les entreprises ne se servent pas de domaines de messagerie publique (la partie écrite après le @) comme Gmail. Assurez-vous que le domaine est bien celui utilisé par la compagnie (par exemple : paypal.com est authentique, mais pay-pal.com ne l’est pas !). Vérifiez aussi que le nom de domaine est orthographié correctement, sans lettre manquante ou supplémentaire. Recherchez une substitution potentielle de caractère comme un « rn » à la place d’un « m », un zéro à la place d’un « o » ou encore un « 1 » à la place d’un « I ».
Orthographe et grammaire incorrectes
Les cyber-pirates sont bons en piratage, mais pas toujours en orthographe ! La plupart ne parlent pas français couramment, alors ils font souvent des fautes d’orthographe ou des erreurs de grammaire. Ces fautes sont parfois délibérées, leur permettant de s’assurer que seules les personnes susceptibles de se faire duper à la prochaine étape vont répondre à leur mail d’hameçonnage.
Requêtes étranges
Les mails frauduleux tentent souvent de pousser leurs cibles de à une action ordinaire, comme aider un collègue ou le patron en achetant une carte cadeau. Mais toutes les requêtes s’inscrivant hors du cadre strict du travail comme celle-ci doivent faire l’objet d’une vérification avec la personne concernée, simplement via un rapide coup de téléphone. Attention à ne pas appeler le numéro figurant dans l’email frauduleux !
Salutations et tons de message inhabituels
La manière dont le message est adressé est révélateur de son authenticité : la plupart des emails d’entreprise s’adressent à leur destinataire par leur nom. Si Netflix vous envoie un mail en vous appelant « cher client », vous pouvez être sûr que ce sera de l’hameçonnage. Les cybercriminels ne connaissent sans doute pas le ton des mails habituellement envoyés quand ils imitent les mails professionnels des grandes entreprises : ils peuvent écrire de manière trop familière, ou à l’inverse, trop formelle.
Bloquez davantage de menaces par mail avec un système de protection de messagerie avancé
La plupart des mails frauduleux ou mails d’hameçonnage sont très élaborés et très difficiles à distinguer des mails authentiques, même par les employés entraînés à faire la différence ; les messages peuvent être envoyés par des comptes de messagerie fiables qui ont été compromis, des fils de discussions qui ont été piratés et comporter des logos d’entreprises usurpés. Entraîner les employés à identifier les mails frauduleux est important, mais vous aurez aussi besoin d’installer une solution de filtrage anti-spam avancée pour vous assurer que la majorité de ces mails indésirables sont bloqués et n’atteignent pas les boîtes de réception.
Si vous voulez renforcer vos défenses contre ces cyber-attaques par email, contactez l’équipe de TitanHQ et demandez-leur des renseignements sur SpamTitan, une puissante solution de protection des emails contre l’hameçonnage, simple à utiliser et garantie zéro menace. De plus, SpamTitan offre l’un des meilleurs rapports qualité-prix sur le marché pour tous les types d’entreprise.
par Editeur | Déc 20, 2021 | Cybersécurité et télétravail, Phishing, Ransomware, Sécurité des données, Sécurité des emails, Sécurité Internet
Suite à différentes attaques des infrastructures primordiales aux États-Unis par rançongiciels, plusieurs opérations de piratage RAAS ont cessé de faire parler d’elles : leurs offensives avaient attiré l’attention de nombreux gangs de cyber-pirates dont certains ont répondu soit par l’installation de nouvelles restrictions sur le type de mécanismes que leurs logiciels malveillants pouvaient cibler, soit par une cessation d’activité définitive et le rendu des clefs de chiffrement permettant à leurs victimes de retrouver leurs données, soit encore en disparaissant tout simplement d’internet.
Après avoir lancé une cyberattaque par rançongiciel contre Colonial Pipeline en mai 2021, le groupe de pirates DarkSide a ainsi disparu de la toile. Le gang très actif qui opérait dans le même genre, REvil, s’est lui aussi volatilisé sans un mot ; il s’était fait connaître pour sa cyberattaque de JBS Foods, qui avait provoqué la fermeture temporaire de deux usines de préparation de viande aux États-Unis, et plus récemment pour son offensive contre Kaseya et 60 de ses clients, la plupart fournisseurs de services, ce qui entraîna des dommages pour les 1500 entreprises affiliées en aval. Peu après ces attaques, le groupe a disparu sans laisser de trace.
Puis il y eut Avaddon, un autre groupe cyber-pirate très prolifique : après la cyberattaque de Colonial Pipeline par DarkSide, les gérants d’Avaddon et de REvil ont annoncé qu’ils ne s’en prendraient plus aux infrastructures essentielles ni aux services de soin. Avaddon donna ainsi les clefs de chiffrement permettant à 2 934 victimes de se rétablir avant de, semble-t-il, se retirer du monde des malfrats au rançongiciel. Les forums de cyber-pirates populaires ont annoncé leur décision de s’éloigner du rançongiciel, allant jusqu’à bannir leurs auteurs desdits forums.
Après ces assauts sur les infrastructures primordiales, le gouvernement des États-Unis a pris plusieurs mesures visant à démanteler les gangs au rançongiciel de manière plus efficace et a demandé à la Russie d’agir de son côté pour arrêter les cybercriminels opérant sur son territoire. Le torchon brûle, et les opérations RAAS sont maintenant sous étroite surveillance.
L’intervention des agences gouvernementales dans le démantèlement de ces opérations RAAS a fait l’objet d’importantes spéculations, aucune n’ayant déclaré officiellement son implication dans le processus ; il n’y a donc aucun moyen de savoir si le gouvernement a pris ou non des mesures en ce sens. Il est possible que ce soit fait dans le plus grand secret.
S’il serait rassurant de considérer comme définitives ces cessations d’activité des gangs au rançongiciels, il faut pourtant dire que c’est très improbable : il est en effet fréquent pour ces cybercriminels RAAS de se faire oublier pour un temps après des attaques d’une telle ampleur, surtout maintenant que les gouvernements concentrent toute leur attention à combattre les rançongiciels. On peut donc penser que ces cyber-pirates se contentent que faire une pause avant un grand retour ; ce serait encore plus vrai pour les cyber-pirates champions du RAAS. Il est d’ailleurs possible qu’ils aient déjà recommencé leurs activités.
Deux nouveaux groupes RAAS ont fait leur apparition ce mois-ci : Haron et BlackMatter, que les compagnies enquêtant contre la cybercriminalité ont déjà dans le collimateur. Plusieurs ont d’ailleurs rapporté cette semaine avoir identifié des connexions avec des opérations RAAS qui s’étaient fait oublier ces derniers temps : Avaddon, REvil et DarkSide.
Si aucune preuve tangible n’a été apportée quant à situation exacte, on a observé de nombreuses similarités laissant à penser que soit les groupes Avaddon, REvil et DarkSide se sont reformés, soit les filiales de ces cyber-pirates ont pris leur indépendance et passent à l’action, soit quelques membres des opérations RAAS en cessation d’activité ont rejoint Haron et BlackMatter à plus ou moins forte implication.
Malgré l’interdiction des forums de faire la promotion des opérations RAAS, BlackMatter a fait sa publicité sur des forums cybercriminels de langue russe, contournant la règle en ne mentionnant jamais le terme d’opération RAAS. Un utilisateur nommé « BlackMatter » a créé un compte le 19 juillet sur deux forums cybercriminels, XXS et Exploit, pour demander de l’aide : il cherchait à accéder aux réseaux d’entreprises américaines, britanniques, australiennes ou canadiennes générant plus de 100 millions de dollars de revenu annuel. Ils ont aussi mentionné qu’ils n’achèteraient pas d’accès aux institutions nationales ni au secteur de la santé, ce qu’avaient déclaré REvil et Avaddon après la cyberattaque de Colonial Pipeline.
Le cyber-pirate BlackMatter a aussi créé un compte Escrow (utilisé normalement en cas de litige lié à un paiement) et y a déposé 120 000 dollars, une somme non négligeable. Le groupe offre entre 3 000 et 100 000 dollars en échange d’un code d’accès ou d’une part de rançon générée en échange d’un accès. Les agents BlackMatter déclarent que leurs opérations incluent les meilleurs éléments de DarkSide, REvil et LockBit, trois filiales qui, selon les estimations, auraient agi depuis la Russie.
Les entreprises spécialisées en cyber-sécurité ont observé des points communs entre BlackMatter, REvil et DarkSide : Recorded Future a ainsi déclaré que BlackMatter succédait à DarkSide et REvil, mais sans preuve solide. Par exemple, BlackMatter ressemble beaucoup à BlackLivesMatter, nom figurant dans la base de registre Windows et réutilisé frauduleusement par REvil. Mandiant rapporte avoir trouvé la preuve établissant qu’au moins un membre de l’opération DarkSide était impliqué dans BlackMatter, même s’il est possible que cet individu soit un simple adhérant ayant quitté le navire quand BlackMatter s’est fait oublier.
S2W Lab a découvert des similarités entre les rançongiciels Haron et Avaddon, en particulier dans un texte copié-collé à de nombreuses reprises, reprenant les mêmes termes dans la forme et le fond sur divers sites commerçants, les mêmes structures de violation des données et des segments JavaScript identiques dans les espaces de chat. Toutefois, si le cyber-groupe Avaddon a développé son propre rançongiciel, Haron opère en se basant sur le rançongiciel Thanos.
Ces similitudes ne sont peut-être qu’une coïncidence ; il est aussi possible que les cyber-pirates aient gagné du temps en volant le contenu et la codification qui ont été créés par d’autres. Il y a des différences notables entre les deux rançongiciels sur plusieurs points, et aucune preuve n’atteste à ce jour qu’Avaddon et Haron sont le même cybercriminel.
Les enquêteurs poursuivent leurs investigations sur les nouveaux groupes, mais qu’importe l’identité du cyber-pirate, le but semble être toujours le même : les deux rançongiciels ciblent les compagnies à très gros budget, et si les opérations RAAS qui ont cessé de faire parler d’elles ne refont pas surface, il y aura de nombreuses filiales en quête d’une nouvelle opération RAAS à rejoindre.
Ces deux opérations RAAS pourraient donc totalement combler le vide laissé par tous les gangs d’escrocs dans le style d’Avaddon, REvil et DarkSide, et les attaques par rançongiciel se poursuivraient au niveau de celles menées en mai 2021. Ce qui est certain, c’est que la menace du rançongiciel est loin de disparaître.
par Editeur | Déc 13, 2021 | Cybersécurité et télétravail, Filtrage web, Malwares, Phishing, Ransomware, Sécurité des données, Sécurité des emails, Sécurité Internet, Sécurité réseau
En avril 2021, les cyber-pirates ont accédé au réseau de Colonial Pipeline et y ont déployé un rançongiciel qui a provoqué une coupure dans le système des pipelines délivrant le carburant sur la Côte Est des États-Unis. Cette menace planant sur les provisions de fuel a généré la panique chez les habitants de la région, qui se sont précipités pour en acheter de peur d’en manquer, ce qui a conduit à la pénurie. En conséquence, les prix de l’essence ont atteint un montant record sur les six années précédentes, et les réserves de carburant ont chuté de 4,6 millions de barils.
On a tenu pour responsable de ce piratage le RAAS DarkSide, qui a depuis cessé son activité ; peu avant cela, Colonial Pipeline avait payé une rançon de 4,4 millions de dollars pour la clef de déchiffrement de leurs fichiers dérobés et cryptés par ces cyber-pirates. La décision de payer la rançon fut prise à cause de la menace de manquer d’essence. Colonial Pipeline avait en effet fourni 45% de carburant à la Côte Est, et si payer ces cybercriminels fut un choix difficile, la compagnie s’y résigna devant la menace de manquer d’approvisionnement et surtout l’estimation de tout le temps qu’il lui faudrait pour remettre son système en ordre sans la clef de chiffrement de ses fichiers cryptés.
Une attaque aussi importante d’une compagnie à l’infrastructure essentielle aurait dû être extrêmement difficile à lancer ; toutefois, une enquête menée sur cette cyberattaque a révélé que l’accès au système informatique de Colonial Pipeline n’aurait pas pu être plus simple. Les cyber-pirates ont en effet utilisé un mot de passe compromis pour y accéder à distance, ce compte n’étant pas protégé par une authentification à facteurs multiples.
D’après Charles Carmakal, vice-président de l’entreprise de cyber-sécurité Mandiant chargée de cette enquête, le mot de passe était celui d’un compte en réseau privé virtuel. Ce compte n’était pas en service, mais il restait malgré tout possible de s’y connecter pour accéder au réseau professionnel de Colonial Pipeline.
Personne ne sait comment les cyber-pirates ont obtenu le mot de passe de ce compte ; il a depuis été retrouvé dans une base de données de mots de passe violés qui a fuité sur le Dark Web. Il est possible qu’un individu ait utilisé un mot de passe pour ce compte qui était déjà choisi pour protéger un autre compte où il aurait été violé. Il est très courant que les mots de passe collectés par violation des données soient utilisés de force au cours d’une cyberattaque sur un système ciblé ; ils peuvent aussi être dérobés au cours d’une attaque par hameçonnage email.
L’entreprise Mandiant a cherché des éléments de preuve sur la manière dont les cybercriminels ont obtenu ce mot de passe. Les enquêteurs n’ont trouvé aucun signe d’attaque avant le 29 avril 2021, pas plus que de trace de hameçonnage. Il est possible qu’on ne découvre jamais comment ce mot de passe et le compte associé ont été ciblés.
Ce qui est certain, en revanche, c’est que la cyberattaque aurait facilement pu être évitée si les mesures de sécurités informatiques recommandées avaient été respectées, comme la vérification des comptes utilisateurs et la fermeture de ceux qui n’étaient plus en service, la mise en place de mots de passe uniques et complexes pour chacun de ces comptes, l’implémentation d’une authentification à multi-facteurs pour empêcher l’utilisation des mots de passe corrompus et le choix d’une solution anti-spam efficace pour bloquer les tentatives de hameçonnage par email.
par Editeur | Déc 11, 2021 | Cybersécurité et télétravail, Filtrage web, Malwares, Phishing, Ransomware, Sécurité des données, Sécurité Internet, Sécurité Web
Les cybercriminels se font souvent passer pour des organismes reconnus lorsqu’ils attaquent les internautes par hameçonnage. Tandis que Microsoft arrive en tête des compagnies les plus imitées par ces pirates, les mails hameçons se faisant passer pour des courriers légitimes venant du service des impôts sont aussi monnaie courante. Au Royaume-Uni, le département légalement chargé de collecter l’impôt se nomme « Her Majesty’s Revenue and Customs », abrégé « HMRC » ; les cyber-pirates utilisent souvent ce nom en signature des mails frauduleux qu’ils envoient en hameçonnage, et c’est de plus en plus fréquent. Durant les douze derniers mois, en effet, le hameçonnage signé HMRC a augmenté son activité de 87%.
Le nombre des attaques par hameçonnage HMRC a bondi de 572 029 occurrences en 2019-2020 à 1 069 522 attaques en 2020-2021, selon les chiffres recensés par l’entreprise Lanop Outsourcing dans le cadre d’une enquête légitimée par le droit à l’information.
Le hameçonnage peut revêtir de nombreuses formes, mais ce sont les emails qui sont les plus fréquemment utilisés. Aussi, le nombre d’attaques par hameçonnage HMRC par email a enregistré une hausse de 109% avec 630 193 arnaques en 2020-2021. Les leurres les plus communs de ces campagnes frauduleuses consistent en une notification à l’utilisateur lui indiquant qu’il a droit à une remise et un remboursement sur son imposition pour l’année en cours : on en dénombre 90% année après année. Il y a également une forte hausse des cyberattaques par SMiShing (hameçonnage par SMS) s’élevant à 52% ainsi qu’une hausse des arnaques par Vishing (hameçonnage par message vocal) enregistrée à 66%.
Il y a une augmentation encore plus importante des messages frauduleux se faisant passer pour le service délivrant les permis de conduire (le « Driver and Vehicle Licensing Agency » au Royaume-Uni, abrégé « DVLA ») : en 2019-2020, le HMRC recevait 5 549 plaintes pour hameçonnage signé par un faux DVLA, tandis qu’en 2020-2021 on en dénombrait 42 233, soit une hausse de 661%.
Les attaques par hameçonnage au nom de faux HMRC et DVLA ciblent des individus, mais ils sont aussi très dangereux pour les entreprises : le but de ces arnaques est l’obtention de données sensibles comme les mots de passe, qu’ils peuvent ensuite réutiliser contre lesdites entreprises. Le hameçonnage permet aussi l’implantation de logiciels malveillants : une fois téléchargés sur le réseau de l’entreprise, ces logiciels espions collectent les données d’accès que les pirates n’ont plus qu’à utiliser pour s’infiltrer dans tout le réseau et le compromettre.
La protection contre le hameçonnage nécessite une défense comportant une approche du problème en profondeur, qui doit commencer par la formation des utilisateurs du système en réseau car ce sont eux qui sont visés par les cyber-pirates. Les employés doivent savoir identifier les mails frauduleux et savoir quoi faire lorsqu’ils reçoivent un mail suspect. C’est encore plus important à une époque où les employés télé-travaillent depuis chez eux, ce qui suppose que le département d’informatique ne peut plus avoir la même visibilité sur leur matériel et les protéger au besoin.
Même avec de l’entraînement, les employés commettent encore des erreurs : une étude menée sur le télétravail a révélé que de nombreux employés travaillant depuis leur domicile avaient négligé de prendre des mesures de sécurité requises, ce qui a créé des facteurs de risque pour l’entreprise qui les emploie. Il est donc primordial d’installer un système de protection technique qui garantira que les spams et le hameçonnage n’atteindront pas leurs boîtes mails.
Une protection par filtrage de spams avancé est une nécessité : un filtre spam est la plus importante mesure technique à installer pour bloquer le hameçonnage. Là où les filtres spams standards sont efficaces pour bloquer le hameçonnage venant d’adresses IP connues et enregistrées comme étant malveillantes, les filtres spams avancés comme SpamTitan ont un niveau de détection de piratage supérieur et permettent d’identifier les attaques par hameçonnage encore non répertoriées. SpamTitan utilise une technologie de prévention et l’intelligence artificielle pour repérer les adresses IP malveillantes encore inconnues. La fonction bac à sable protège le système contre les logiciels malveillants qui n’ont pas encore de signature répertoriée par les antivirus et le DMARC permet de bloquer les mails des cybercriminels se faisant passer pour des organisations légitimes comme le HMRC.
Le hameçonnage consiste à envoyer un leurre par email à un utilisateur, mais la récolte des données s’opère sur un site internet contrôlé par le cyber-pirate. Les liens de redirection vers ces sites web frauduleux fournis dans l’email hameçon seront bloqués et la protection grandement améliorée par l’utilisation d’un filtre internet, qui permettra aussi de bloquer les tentatives de visites de ces sites web malveillants via des messages smishing ou encore la navigation web, ainsi que le blocage des téléchargements d’éléments dans lesquels se cachent les logiciels malveillants.
Si vous voulez protéger votre entreprise des attaques par hameçonnage, des logiciels malveillants, des rançongiciels et éviter la fuite de vos données sensibles, contactez l’équipe de TitanHQ et découvrez comment vous pouvez renforcer votre système de sécurité en bloquant davantage d’emails et autres menaces internet.
par Editeur | Déc 1, 2021 | Cybersécurité et télétravail, Filtrage web, Malwares, Phishing, Ransomware, Sécurité des données, Sécurité Internet, Sécurité réseau
Suite à une hausse notable depuis 2020, les attaques de logiciels malveillants ont explosé en 2021 pour atteindre un nombre stupéfiant. Il y a en effet eu davantage de campagnes de piratage au cours des six premiers mois de 2021 que dans toute l’année 2020, d’après une étude.
Les opérations de « Ransomware-as-a-service » (abrégé RaaS : c’est un service commercial fournissant à toute personne, prête à y mettre le prix, un service complet d’outils de piratage, permettant même aux débutants de s’y essayer) actives tout au long de 2020 ont augmenté le nombre de leurs attaques, et bien que certains Raas aient été fermés, on ne constate aucune diminution du nombre des cyber-attaques. Il y a même une nouvelle cyber-menace contre laquelle il va falloir se protéger : le FBI a lancé une alerte à propos d’un nouveau groupe de cyber-pirates opérant par logiciel malveillant particulièrement actif aux États-Unis. Le groupe, connu sous le nom de « OnePercent », a utilisé son système pirate pour attaquer les entreprises américaines depuis au moins novembre 2020, d’après une récente alerte éclair du FBI. Ce groupe est connu pour son utilisation frauduleuse de l’outil de tests d’intrusion légal Cobalt Strike dans ses attaques et l’exfiltration des données confidentielles de ses victimes avant d’utiliser son logiciel malveillant OnePercent pour crypter les fichiers ainsi obtenus. Une demande de rançon leur est alors envoyée contre la clef permettant de décrypter leurs fichiers volés et d’empêcher leur publication sur les sites de divulgation de données du groupe sur Tor ainsi que sur les sites internet standards accessibles à tout public.
Comme de nombreux pirates informatiques, ce groupe attaque d’abord ses victimes via le hameçonnage par email : les mails hameçons envoyés aux entreprises ciblées contiennent une pièce jointe malicieuse au format .zip avec un document Word ou Excel corrompu contenant un Cheval de Troie, qui à l’ouverture installe Cobalt Strike sur les points d’accès du réseau informatique (les « endpoints ») permettant au pirate de s’y infiltrer littéralement et de voler tout le contenu qu’il souhaite prendre à sa victime. Le groupe s’est aussi fait connaître pour son utilisation de PowerShell, Mimikatz, SharpKatz, BetterSafetyKatz, SharpSploit et Rclone pour l’exfiltration des données.
Les pirates sont réputés prendre tout leur temps pour explorer le réseau qu’ils infiltrent, ce qui leur permet d’identifier et de voler des données d’une importance cruciale. Dans les attaques rapportées au FBI, le groupe a passé jusqu’à un mois entre la compromission initiale par fichier jusqu’au déploiement du logiciel espion OnePercent. Durant cette période, un nombre considérable de données a été exfiltré. Le logiciel malveillant crypte ensuite ces fichiers avec une extension de 8 caractères choisis au hasard.
Il n’y a aujourd’hui aucune limite légale à la demande de rançon des pirates informatiques. Les victimes doivent prendre contact avec eux pour obtenir une « assistance technique » leur permettant le recouvrement de leurs fichiers et la découverte du montant qu’il leur faudra débourser pour le décryptage ainsi que la garantie que leurs données ne seront pas conservées de manière frauduleuse. Si la rançon est payée, les pirates affirment qu’ils donneront la clef de décryptage sous 48 heures. Le groupe de malfaiteurs est aussi connu pour contacter ses victimes par téléphone en utilisant une ligne factice afin de faire pression sur elles par la menace de rendre publiques leurs précieuses données volées si elles refusent de payer ; il a aussi menacé de les vendre au groupe cybercriminel Sodinokibi qui les mettra alors sur sa liste de vente aux enchères.
Puisque ce groupe de cybercriminels se sert des emails comme technique d’attaque principale, la meilleure protection consiste à empêcher ces mails d’atteindre les boîtes de réception. Cela suppose une solution de filtrage de courrier avancée comme SpamTitan. Il est également recommandé de configurer ses mails de manière à ce qu’ils émettent une alerte lorsque leur expéditeur est une personne n’appartenant pas à l’entreprise.
Il est aussi très important de suivre les meilleures recommandations pratiques de cyber-sécurité quant à la segmentation du réseau, qui permet de limiter la possibilité de transfert latéral, de vérifier les comptes utilisateurs bénéficiant des privilèges d’administrateurs et de limiter leur domaine de compétence autant que possible, ainsi que de configurer les contrôles d’accès des utilisateurs de comptes invités. Les données d’importance cruciale doivent être sauvegardées hors ligne sur disque dur externe ou autre dispositif de stockage déconnecté du réseau. Les sauvegardes doivent subir des tests de vérification permettant de s’assurer que la récupération des données est possible en cas de besoin.
Même si les pirates du logiciel malveillant OnePercent ne sont pour l’instant connus que pour leur utilisation des emails hameçons comme vecteur d’attaque, il est tout à fait possible qu’ils adoptent d’autres stratégies dans l’avenir. Il est donc fortement recommandé de s’assurer que l’accès à distance et les ports RDP sont déconnectés si l’on ne s’en sert pas et de contrôler les connexions à ces éléments. Mieux vaut aussi mettre les ordinateurs et les logiciels à jour, installer les correctifs au plus tôt et vérifier que les mots de passe sont robustes, de préférence avec une authentification multifactorielle.