Sécurité Internet

Les attaques par hameçonnage au nom de HMRC en hausse de 87% au cours des 12 derniers mois

Les cybercriminels se font souvent passer pour des organismes reconnus lorsqu’ils attaquent les internautes par hameçonnage. Tandis que Microsoft arrive en tête des compagnies les plus imitées par ces pirates, les mails hameçons se faisant passer pour des courriers légitimes venant du service des impôts sont aussi monnaie courante. Au Royaume-Uni, le département légalement chargé de collecter l’impôt se nomme « Her Majesty’s Revenue and Customs », abrégé « HMRC » ; les cyber-pirates utilisent souvent ce nom en signature des mails frauduleux qu’ils envoient en hameçonnage, et c’est de plus en plus fréquent. Durant les douze derniers mois, en effet, le hameçonnage signé HMRC a augmenté son activité de 87%.

Le nombre des attaques par hameçonnage HMRC a bondi de 572 029 occurrences en 2019-2020 à 1 069 522 attaques en 2020-2021, selon les chiffres recensés par l’entreprise Lanop Outsourcing dans le cadre d’une enquête légitimée par le droit à l’information.

Le hameçonnage peut revêtir de nombreuses formes, mais ce sont les emails qui sont les plus fréquemment utilisés. Aussi, le nombre d’attaques par hameçonnage HMRC par email a enregistré une hausse de 109% avec 630 193 arnaques en 2020-2021. Les leurres les plus communs de ces campagnes frauduleuses consistent en une notification à l’utilisateur lui indiquant qu’il a droit à une remise et un remboursement sur son imposition pour l’année en cours : on en dénombre 90% année après année. Il y a également une forte hausse des cyberattaques par SMiShing (hameçonnage par SMS) s’élevant à 52% ainsi qu’une hausse des arnaques par Vishing (hameçonnage par message vocal) enregistrée à 66%.

Il y a une augmentation encore plus importante des messages frauduleux se faisant passer pour le service délivrant les permis de conduire (le « Driver and Vehicle Licensing Agency » au Royaume-Uni, abrégé « DVLA ») : en 2019-2020, le HMRC recevait 5 549 plaintes pour hameçonnage signé par un faux DVLA, tandis qu’en 2020-2021 on en dénombrait 42 233, soit une hausse de 661%.

Les attaques par hameçonnage au nom de faux HMRC et DVLA ciblent des individus, mais ils sont aussi très dangereux pour les entreprises : le but de ces arnaques est l’obtention de données sensibles comme les mots de passe, qu’ils peuvent ensuite réutiliser contre lesdites entreprises. Le hameçonnage permet aussi l’implantation de logiciels malveillants : une fois téléchargés sur le réseau de l’entreprise, ces logiciels espions collectent les données d’accès que les pirates n’ont plus qu’à utiliser pour s’infiltrer dans tout le réseau et le compromettre.

La protection contre le hameçonnage nécessite une défense comportant une approche du problème en profondeur, qui doit commencer par la formation des utilisateurs du système en réseau car ce sont eux qui sont visés par les cyber-pirates. Les employés doivent savoir identifier les mails frauduleux et savoir quoi faire lorsqu’ils reçoivent un mail suspect. C’est encore plus important à une époque où les employés télé-travaillent depuis chez eux, ce qui suppose que le département d’informatique ne peut plus avoir la même visibilité sur leur matériel et les protéger au besoin.

Même avec de l’entraînement, les employés commettent encore des erreurs : une étude menée sur le télétravail a révélé que de nombreux employés travaillant depuis leur domicile avaient négligé de prendre des mesures de sécurité requises, ce qui a créé des facteurs de risque pour l’entreprise qui les emploie. Il est donc primordial d’installer un système de protection technique qui garantira que les spams et le hameçonnage n’atteindront pas leurs boîtes mails.

Une protection par filtrage de spams avancé est une nécessité : un filtre spam est la plus importante mesure technique à installer pour bloquer le hameçonnage. Là où les filtres spams standards sont efficaces pour bloquer le hameçonnage venant d’adresses IP connues et enregistrées comme étant malveillantes, les filtres spams avancés comme SpamTitan ont un niveau de détection de piratage supérieur et permettent d’identifier les attaques par hameçonnage encore non répertoriées. SpamTitan utilise une technologie de prévention et l’intelligence artificielle pour repérer les adresses IP malveillantes encore inconnues. La fonction bac à sable protège le système contre les logiciels malveillants qui n’ont pas encore de signature répertoriée par les antivirus et le DMARC permet de bloquer les mails des cybercriminels se faisant passer pour des organisations légitimes comme le HMRC.

Le hameçonnage consiste à envoyer un leurre par email à un utilisateur, mais la récolte des données s’opère sur un site internet contrôlé par le cyber-pirate. Les liens de redirection vers ces sites web frauduleux fournis dans l’email hameçon seront bloqués et la protection grandement améliorée par l’utilisation d’un filtre internet, qui permettra aussi de bloquer les tentatives de visites de ces sites web malveillants via des messages smishing ou encore la navigation web, ainsi que le blocage des téléchargements d’éléments dans lesquels se cachent les logiciels malveillants.

Si vous voulez protéger votre entreprise des attaques par hameçonnage, des logiciels malveillants, des rançongiciels et éviter la fuite de vos données sensibles, contactez l’équipe de TitanHQ et découvrez comment vous pouvez renforcer votre système de sécurité en bloquant davantage d’emails et autres menaces internet.

Le Nouveau Logiciel Malveillant MosaicLoader Distribué via les Publicités en Ligne pour les Logiciels Piratés

 

Un nouveau variant de logiciel malveillant (ou « malware ») est apparu : il se propage via des publicités malignes apparaissant en tête de liste des moteurs de recherche lorsque l’on tape les mots-clefs pour « cracker » – ou pirater un logiciel. Ce nouveau malware a été surnommé « MosaicLoader » par les chercheurs en sécurité de Bitdefender, qui ont noté une hausse significative du nombre de logiciels malveillants au cours des dernières semaines.

Comme son nom le laisse supposer, MosaicLoader est un outil de téléchargement de malwares. Il a été développé pour implanter un piratage financier dans les appareils connectés de ses victimes, avec la notion de « Mosaic » de son nom révélant bien sa structure interne très complexe, élaborée pour empêcher les chercheurs en sécurité d’analyser et d’inverser son ingénierie frauduleuse.

Ce logiciel malveillant tient sa complexité de l’utilisation de toute une gamme de méthodes lui permettant d’échapper à la détection et de brouiller la compréhension de qui s’y risquerait grâce à un code de cryptage morcelé, disséminant l’exécution des tâches en une structure ressemblant à une mosaïque. Comme si cela ne suffisait pas, ce malware reprend également les informations fichiers des autres logiciels fiables pour se rendre crédible.

Actuellement, la campagne de diffusion de MosaicLoader cible des internautes à la recherche de logiciels crackés en les attirant avec des publicités frauduleuses sur les moteurs de recherche répondant à plusieurs mots de passe relatifs au piratage informatique ; une fois que l’on clique dessus, on télécharge un élément de MosaicLoader qui s’installe simplement, comme le ferait un logiciel fiable, comprenant en métadonnées le nom et la description d’une entreprise informatique connue avec son icône et ses informations fichiers.

Les éléments de MosaicLoader initialement téléchargés emploient des noms comme mirc-7-64-keygen-plus-crack-fully-version-free-download, officefix-professional6-122-crack-full-version-latest-2021, et setup-starter_v2.3.1. Il y a en a aussi un imitant le processeur NVIDIA, même si sa signature n’est en réalité pas rattachée à NVIDIA. Une fois que les utilisateurs installent ces éléments dans leur système, ils déclenchent une infection de virus en chaîne, qui opérera en tâche de fond sans qu’ils ne s’en rendent compte, aucune fenêtre ne s’ouvrant pour la leur signaler.

C’est parce qu’il peut être utilisé pour voler n’importe quelle somme d’argent dans le système de l’utilisateur que MosaicLoader particulièrement dangereux : il possède en effet une grande variété d’outils, comme les Chevaux de Troie à distance, les virus, les « portes dérobées » (ou « backdoors »), les voleurs de cookies et les mineurs de crypto-monnaie. D’après l’activité de vol pécuniaire observé, il semblerait qu’à l’origine MosaicLoader ait été dirigé par un groupe de cyber-pirates, mais il pourrait également être utilisé comme modèle type de malware-as-a-service opérant par mails frauduleux et spams.

En théorie, se protéger de MosaicLoader est simple : il suffit que les utilisateurs s’abstiennent de télécharger des logiciels crackés. Non seulement c’est illégal, mais ils courent aussi le risque en faisant cela d’installer des malwares comme MosaicLoader, des logiciels espions, des publiciels et de nombreux autres programmes indésirables (ou PUPs). Il est essentiel d’avoir une bonne protection contre les logiciels malveillants et un antivirus installé dans le système informatique, le tout régulièrement mis à jour.

Les employés sont toujours à la recherche d’un moyen de simplifier leur quotidien et il est fréquent qu’ils essaient d’y parvenir en installant un logiciel non autorisé : c’est ce que l’on appelle le Rogue IT (ou Shadow IT). Mais s’il peut fournir un gain de temps à l’employé durant son temps de travail au bureau, le Rogue IT comporte des risques, notamment celui d’installer un logiciel piraté. Ce risque s’est encore accru durant la pandémie de COVID 19, la plupart des employés télé-travaillant depuis chez eux.

Les entreprises peuvent renforcer leur protection contre MosaicLoader et les autres logiciels malveillants en contrôlant soigneusement les sites internet auxquels les employés ont accès sur leurs ordinateurs et téléphones de fonction ainsi que leur matériel personnel. Les filtres de contenu, comme WebTitan, peuvent être configurés pour restreindre l’accès aux sites internet sans rapport avec le travail ou encore bloquer certaines catégories de sites, connues aussi comme étant des URLs malveillantes.

Les filtres internet peuvent aussi être configurés pour bloquer les téléchargements de fichiers spécifiques, comme les installateurs de logiciels et autres fichiers pouvant servir à installer des malwares. Il est également très important d’expliquer fermement à l’équipe que le téléchargement des logiciels non approuvés est strictement interdit, et que l’installation de logiciels crackés est illégale.

Pour plus d’informations sur le filtrage de contenu avec un filtre DNS et les autres mesures de cyber-sécurité que vous pouvez envisager pour vous protéger des logiciels malveillants, contactez TitanHQ dès aujourd’hui. Vous pourrez bénéficier d’un essai gratuit sur le filtre internet WebTitan ; il s’installe en quelques minutes et vous donnera d’excellents résultats en moins d’une heure.

Le logiciel malveillant « OnePercent » livré par hameçonnage email

Suite à une hausse notable depuis 2020, les attaques de logiciels malveillants ont explosé en 2021 pour atteindre un nombre stupéfiant. Il y a en effet eu davantage de campagnes de piratage au cours des six premiers mois de 2021 que dans toute l’année 2020, d’après une étude.

Les opérations de « Ransomware-as-a-service » (abrégé RaaS : c’est un service commercial fournissant à toute personne, prête à y mettre le prix, un service complet d’outils de piratage, permettant même aux débutants de s’y essayer) actives tout au long de 2020 ont augmenté le nombre de leurs attaques, et bien que certains Raas aient été fermés, on ne constate aucune diminution du nombre des cyber-attaques. Il y a même une nouvelle cyber-menace contre laquelle il va falloir se protéger : le FBI a lancé une alerte à propos d’un nouveau groupe de cyber-pirates opérant par logiciel malveillant particulièrement actif aux États-Unis. Le groupe, connu sous le nom de « OnePercent », a utilisé son système pirate pour attaquer les entreprises américaines depuis au moins novembre 2020, d’après une récente alerte éclair du FBI. Ce groupe est connu pour son utilisation frauduleuse de l’outil de tests d’intrusion légal Cobalt Strike dans ses attaques et l’exfiltration des données confidentielles de ses victimes avant d’utiliser son logiciel malveillant OnePercent pour crypter les fichiers ainsi obtenus. Une demande de rançon leur est alors envoyée contre la clef permettant de décrypter leurs fichiers volés et d’empêcher leur publication sur les sites de divulgation de données du groupe sur Tor ainsi que sur les sites internet standards accessibles à tout public.

Comme de nombreux pirates informatiques, ce groupe attaque d’abord ses victimes via le hameçonnage par email : les mails hameçons envoyés aux entreprises ciblées contiennent une pièce jointe malicieuse au format .zip avec un document Word ou Excel corrompu contenant un Cheval de Troie, qui à l’ouverture installe Cobalt Strike sur les points d’accès du réseau informatique (les « endpoints ») permettant au pirate de s’y infiltrer littéralement et de voler tout le contenu qu’il souhaite prendre à sa victime. Le groupe s’est aussi fait connaître pour son utilisation de PowerShell, Mimikatz, SharpKatz, BetterSafetyKatz, SharpSploit et Rclone pour l’exfiltration des données.

Les pirates sont réputés prendre tout leur temps pour explorer le réseau qu’ils infiltrent, ce qui leur permet d’identifier et de voler des données d’une importance cruciale. Dans les attaques rapportées au FBI, le groupe a passé jusqu’à un mois entre la compromission initiale par fichier jusqu’au déploiement du logiciel espion OnePercent. Durant cette période, un nombre considérable de données a été exfiltré. Le logiciel malveillant crypte ensuite ces fichiers avec une extension de 8 caractères choisis au hasard.

Il n’y a aujourd’hui aucune limite légale à la demande de rançon des pirates informatiques. Les victimes doivent prendre contact avec eux pour obtenir une « assistance technique » leur permettant le recouvrement de leurs fichiers et la découverte du montant qu’il leur faudra débourser pour le décryptage ainsi que la garantie que leurs données ne seront pas conservées de manière frauduleuse. Si la rançon est payée, les pirates affirment qu’ils donneront la clef de décryptage sous 48 heures. Le groupe de malfaiteurs est aussi connu pour contacter ses victimes par téléphone en utilisant une ligne factice afin de faire pression sur elles par la menace de rendre publiques leurs précieuses données volées si elles refusent de payer ; il a aussi menacé de les vendre au groupe cybercriminel Sodinokibi qui les mettra alors sur sa liste de vente aux enchères.

Puisque ce groupe de cybercriminels se sert des emails comme technique d’attaque principale, la meilleure protection consiste à empêcher ces mails d’atteindre les boîtes de réception. Cela suppose une solution de filtrage de courrier avancée comme SpamTitan. Il est également recommandé de configurer ses mails de manière à ce qu’ils émettent une alerte lorsque leur expéditeur est une personne n’appartenant pas à l’entreprise.

Il est aussi très important de suivre les meilleures recommandations pratiques de cyber-sécurité quant à la segmentation du réseau, qui permet de limiter la possibilité de transfert latéral, de vérifier les comptes utilisateurs bénéficiant des privilèges d’administrateurs et de limiter leur domaine de compétence autant que possible, ainsi que de configurer les contrôles d’accès des utilisateurs de comptes invités. Les données d’importance cruciale doivent être sauvegardées hors ligne sur disque dur externe ou autre dispositif de stockage déconnecté du réseau. Les sauvegardes doivent subir des tests de vérification permettant de s’assurer que la récupération des données est possible en cas de besoin.

Même si les pirates du logiciel malveillant OnePercent ne sont pour l’instant connus que pour leur utilisation des emails hameçons comme vecteur d’attaque, il est tout à fait possible qu’ils adoptent d’autres stratégies dans l’avenir. Il est donc fortement recommandé de s’assurer que l’accès à distance et les ports RDP sont déconnectés si l’on ne s’en sert pas et de contrôler les connexions à ces éléments. Mieux vaut aussi mettre les ordinateurs et les logiciels à jour, installer les correctifs au plus tôt et vérifier que les mots de passe sont robustes, de préférence avec une authentification multifactorielle.