Le secteur de l’énergie connaissait des problèmes avant la pandémie mondiale, mais la propagation du COVID-19 n’a fait qu’exaspérer les industriels.
Les compagnies pétrolières ont toujours été une cible logique pour les pirates informatiques. Lorsque les temps sont favorables, ces entreprises disposent de liquidités et les attaques de ransomwares sont ainsi très rentables.
La structure de l’industrie augmente également sa vulnérabilité. En effet, le secteur de l’énergie est un réseau complexe de sites, d’entrepreneurs et de sous-traitants qui partagent des réseaux. Les travailleurs sont habitués à travailler avec des étrangers et sont donc moins protégés.
Une main-d’œuvre très dynamique et fluctuante rend également la formation à la cybersécurité presque impossible. De plus, la dépendance énergétique du monde entier donne aux pirates informatiques la possibilité de créer d’énormes perturbations à l’échelle mondiale avec leurs attaques.
Les cyberattaques ne sont pas toujours motivées par l’argent
Bien sûr, les compagnies pétrolières ne sont pas les seules à risquer d’être en manque de liquidités.
Un grand nombre d’entre elles voient leurs réserves de liquidités diminuer en raison de la conjoncture économique. Mais si les attaques de ransomwares sont en baisse, avec autant d’entreprises qui n’ont pas la capacité de payer, cela ne signifie pas que les cyberattaques ont cessé.
Depuis le mois de septembre 2019, le nombre d’attaques visant le secteur de l’énergie a augmenté chaque mois, avec plus de 13 000 signalements enregistrés jusqu’à ce jour.
Les pirates informatiques frappent le secteur lorsqu’ils sont à terre, non pas pour l’argent, mais pour l’espionnage. Le 1er avril 2020, une compagnie pétrolière basée en Algérie a été victime d’un groupe de ransomware qui a volé 500 Mo de documents confidentiels liés aux budgets, aux stratégies de l’entreprise, aux quantités de production et à d’autres informations sensibles et exclusives.
Plus tôt cette année, une organisation de piratage informatique parrainée par un État-nation a également ciblé un certain nombre de sociétés pétrolières et gazières dans le cadre d’une attaque à grande échelle.
Ces incidents et d’autres semblent être commandités par un État-Nation, car les pays se tournent actuellement vers le cyberespionnage pour atteindre leurs objectifs politiques, économiques et de sécurité nationale.
Ironiquement, certaines des compagnies pétrolières elles-mêmes pourraient être à l’origine de ces attaques dans le but d’obtenir des informations pouvant être utilisées dans les négociations à fort enjeu de l’OPEP.
Utiliser le cheval de Troie notoire « Agent Tesla » pour voler des informations
La plupart des attaques récentes contre les industries pétrolières et gazières utilisent des techniques de phishing et de spear phishing. Dans de nombreux cas, l’objectif est de tromper les utilisateurs en leur faisant cliquer sur un lien ou un document qui lance ensuite un cheval de Troie appelé Agent Tesla.
Agent Tesla est un logiciel espion (spyware) actif qui collecte et vole des informations personnelles sur la machine de la victime en capturant les frappes au clavier, en faisant des captures d’écran et en supprimant les mots de passe des navigateurs. Une fois capturées, les informations sont renvoyées à un serveur SMTP hébergé par les attaquants. Les experts en cybersécurité ont constaté une forte augmentation de son utilisation tout au long de la crise du COVID-19.
Le spyware se cache à la vue de tous depuis des années. Brian Krebs l’a signalé en 2014.
Selon Krebs, « … le site web de l’Agent Tesla et son canal d’assistance technique 24/7 (offert via Discord) est rempli de cas où le personnel d’assistance donne des instructions aux utilisateurs sur les moyens d’échapper à la détection des logiciels antivirus, d’utiliser les vulnérabilités des logiciels pour déployer la charge malveillante, et de regrouper secrètement le programme dans d’autres types de fichiers, tels que des images, du texte, de l’audio et même des fichiers Microsoft Office. »
Les attaques de phishing font preuve d’une grande attention aux détails
Comme nous le savons, les escroqueries de phishing sont de plus en plus sophistiquées. De nombreuses attaques ne sont plus caractérisées par une orthographe et une grammaire incorrectes. Les motifs de ces types d’arnaques sont beaucoup plus réalistes et séduisants également.
Par exemple, nombre des attaques lancées contre le secteur de l’énergie sont liées aux possibilités de rabais dont les entreprises peuvent profiter en ces temps de difficultés financières, comme le préachat de fournitures.
C’est ce souci du détail et des spécificités du secteur qui préoccupe les professionnels de la cybersécurité. Une des campagnes de spear phishing qui a incorporé l’Agent Tesla a eu lieu entre le 31 mars et le 12 avril. L’expéditeur présumé a invité les destinataires à soumettre des propositions d’offres pour des équipements et du matériel dans le cadre d’un véritable projet de gazoduc détenu à moitié par une compagnie pétrolière nationale égyptienne.
L’e-mail a été envoyé à plus de 150 sociétés gazières et pétrolières, situées pour la plupart en Malaisie, aux États-Unis, en Afrique du Sud et en Iran.
Au mois d’avril dernier, une autre campagne de phishing semblait provenir d’une compagnie maritime qui a utilisé des informations légitimes concernant un projet gazier aux Philippines.
Seule une personne connaissant bien l’industrie pétrolière aurait été capable de rédiger ces e-mails et de porter une attention particulière aux détails, ce qui a convaincu certains destinataires de cliquer sur le document joint, lequel se faisait passer pour une proposition d’offre officielle.
Leçons à tirer de ces attaques cybercriminelles
La fréquence et la sophistication croissantes des attaques de phishing constituent une menace réelle pour les organisations de tous les secteurs industriels. Les pirates utilisent des techniques très complexes qui ne peuvent pas être facilement identifiées par les utilisateurs lambda.
En outre, l’augmentation du nombre d’employés travaillant à distance accroît la vulnérabilité de ce genre d’utilisateurs qui sont contraints de s’isoler. Alors, comment pouvez-vous lutter contre ces menaces récentes ? Voici quelques mesures que vous pouvez adopter :
La sophistication croissante des attaques de phishing exige un système de sécurité des e-mails plus sophistiqué comme SpamTitan, qui comprend des outils avancés tels que la double protection antivirus et le sandboxing. SpamTitan Cloud est également une couche de sécurité supplémentaire essentielle pour protéger Office 365 contre les malwares et les attaques de type « zero day ».
Comme les cyberattaques ont souvent une composante courriel et web, une solution de filtrage web puissante basée sur le DNS comme WebTitan fournira une protection complète contre les menaces en ligne telles que les virus, les malwares, les ransomwares, le phishing et un filtrage complet du contenu.
La formation à la cybersécurité pour vos employés est plus importante que jamais, car les utilisateurs se retrouvent désormais seuls à travailler depuis des espaces de travail distants.
En raison de l’évolution de la structure de l’industrie d’aujourd’hui, des systèmes de sécurité basés dans le cloud sont nécessaires afin d’adapter instantanément les mesures de sécurité aux nouvelles menaces cybercriminelles.
Il fait la lumière sur les leurres de phishing les plus courants actuellement utilisés et qui sont efficaces contre les employés. KnowBe4 a révélé qu’au cours du premier trimestre 2020, le leurre de phishing le plus courant était une notification informant le destinataire qu’il devait immédiatement effectuer une vérification de son mot de passe.
Un nouveau rapport sur le phishing a été publié.
Ce leurre a représenté 45 % de tous les e-mails de phishing signalés au cours du trimestre. Le leurre est simple, mais efficace. Un hyperlien est inclus dans un e-mail qui dirige l’utilisateur vers une page web usurpée où il doit entrer son mot de passe pour Office 365.
La crise du COVID-19 a fourni aux attaquants de nouvelles opportunités de voler des mots de passe et de distribuer des malwares. Chez TitanHQ, nous avons vu une grande variété d’e-mails de phishing sur le thème du COVID-19, dont beaucoup usurpent les autorités intervenant dans le domaine du coronavirus, telles que l’Organisation mondiale de la santé (OMS) et les Centers for Disease Control and Prevention (CDC).
Ces e-mails prétendent offrir des informations importantes sur le coronavirus et des mises à jour sur les cas.
SpamTitan a bloqué des niveaux croissants de ces e-mails sur le coronavirus au cours des dernières semaines. Il n’est donc pas surprenant de voir un leurre de phishing COVID-19 en deuxième position. Ce dernier avait pour objet de faire passer le message suivant : Réseau d’alerte sanitaire du CDC : Coronavirus Outbreak Cases (cas d’éclosion du coronavirus).
Parmi les autres e-mails de phishing courants sur le thème du COVID-19, on trouve des messages concernant des réunions reportées en raison de la pandémie, des remboursements d’impôts relatifs à la COVID-19, des informations du département informatique sur le travail à domicile et des offres d’informations confidentielles sur le COVID-19. Le rapport indique qu’il y a eu une augmentation de 600 % des leurres de phishing portant sur le coronavirus au premier trimestre 2020.
Le COVID-19 avait été adoptée par les cybercriminels et utilisée dans des campagnes de phishing parce que les e-mails attirent généralement des clics. Les gens sont naturellement inquiets de la pandémie et ont besoin d’informations qu’ils peuvent utiliser pour se protéger et pour protéger leurs familles.
Les campagnes s’appuient sur la peur d’être infecté par la maladie et font appel à l’urgence pour inciter les destinataires à cliquer des liens intégrés à un e-mail sans remettre en cause la légitimité du message.
Les utilisateurs de SpamTitan et de WebTitan sont bien protégés contre ces menaces de phishing. Au début de l’année, seule une poignée de sites web malveillants de phishing portant sur le COVID-19 étaient utilisés pour le phishing et la distribution de malwares.
Aujourd’hui, SpamTitan et WebTitan bloquent des dizaines de milliers de sites web sur le thème du COVID-19 et qui sont utilisés pour diffuser des malwares ou pour voler des informations sensibles.
SpamTitan intègre deux antivirus qui peuvent bloquer les menaces de malwares connues, et un système de sandboxing pour offrir une protection contre les variantes de malwares qui n’ont pas encore été identifiées. Les pièces jointes suspectes qui n’ont pas été détectées comme malveillantes par nos deux antivirus sont envoyées dans le sandbox pour une analyse approfondie, en toute sécurité.
SpamTitan intègre également les protocoles SPF et DMARC pour bloquer les attaques d’usurpation d’identité par e-mail. En outre, une foule de mesures sont utilisées pour évaluer la légitimité des e-mails et des hyperliens qui y sont intégrés.
La clé d’une bonne cybersécurité est de mettre en place plusieurs niveaux de sécurité. En plus d’une solution avancée de filtrage du spam telle que SpamTitan, vous devriez envisager de mettre en œuvre une solution de filtrage du web basée sur le DNS telle que WebTitan pour bloquer les attaques de phishing lancées via le web.
WebTitan est une solution de filtrage web complet. Il ne permet pas aux employés de bureau et aux travailleurs à distance de naviguer sur les sites web utilisés pour le phishing et pour la distribution de malwares.
Si vous voulez vous assurer que vos employés, leurs appareils et votre réseau sont protégés contre les malwares, les ransomwares et les attaques de phishing, appelez-nous dès aujourd’hui.
SpamTitan et WebTitan peuvent être mis en œuvre et configurés en quelques minutes et assurent une protection contre les menaces liées au courrier électronique et au web.
Une nouvelle attaque de phishing a été identifiée.
Elle permet d’accéder à des informations sur les comptes Office 365 sans obtenir de noms d’utilisateur ni de mots de passe. La campagne parvient également à contourner les contrôles d’authentification multifacteur (AMF) qui ont été mis en place pour empêcher que des informations d’identification volées soient utilisées pour accéder à distance à des comptes de messagerie électronique à partir de lieux ou de dispositifs inconnus.
La campagne tire profit des protocoles OAuth2 et OpenID Connect
Ces deux protocoles sont utilisés pour authentifier les utilisateurs d’Office 365.
Les e-mails de phishing comprennent un lien SharePoint malveillant qui est utilisé pour tromper les destinataires de l’e-mail et leur faire accorder des autorisations d’application qui leur permettent d’accéder aux données des utilisateurs sans nom d’utilisateur ni mot de passe.
Les e-mails de phishing sont typiques de plusieurs autres campagnes qui abusent de SharePoint. Ils informent le destinataire qu’un fichier a été partagé avec lui et qu’il doit cliquer sur un lien pour visualiser le fichier. Dans ce cas, le fichier partagé apparaît comme un document PDF.
Le document comprend le texte « q1.bonus » qui suggère que l’utilisateur se voit offrir de l’argent supplémentaire. Cette escroquerie est particulièrement efficace si le nom de l’expéditeur a été usurpé pour faire croire que l’e-mail a été envoyé en interne par le service des ressources humaines ou par un responsable.
En cliquant sur le lien contenu dans un e-mail, un utilisateur avisé est dirigé vers une véritable URL Microsoft Online où il se verra présenter l’invite de connexion familière de Microsoft. Comme le domaine commence par login.microsoftonline.com, l’utilisateur peut croire qu’il atterrit sur un véritable site Microsoft (et c’est le cas) et qu’il est sûr de saisir ses identifiants de connexion (ce qui n’est pas le cas).
La raison pour laquelle il n’est pas sûr peut être vue dans le reste de l’URL (c’est-à-dire l’insertion des lettres « online »). Mais pour de nombreux utilisateurs non vigilants, il ne sera pas clair qu’il s’agit d’une escroquerie.
Comment les pirates utilisent-ils les protocoles OAuth2 et OpenID Connect pour contourner l’AMF ?
En réalité, la saisie du nom d’utilisateur et du mot de passe ne fournit pas les informations d’identification à un attaquant. En faisant cela, il s’authentifiera seulement auprès de Microsoft et obtiendra un jeton d’accès de la plate-forme d’identité Microsoft.
OAuth2 et OpenID Connect sont des protocoles utilisés par un grand nombre d’utilisateurs d’Internet. Ils leur permettent de s’authentifier sur différents services web via l’identité qu’ils possèdent sur une plate-forme web comme Google, Facebook et Yahoo.
Par exemple, Google Connect et Facebook Connect peuvent être utilisés par de nombreux sites Internet pour authentifier de façon transparente les utilisateurs de ces sites.
Pour notre cas, OAuth2 a été utilisé pour authentifier l’utilisateur, tandis qu’OpenID Connect servait d’outil pour déléguer l’autorisation à une application malveillante, ce qui signifie que l’application se verra accorder l’accès aux données de l’utilisateur sans jamais recevoir de justificatifs d’identité, et les données d’authentification ont été envoyées à un domaine hébergé en Bulgarie.
L’utilisateur est tenu de saisir à nouveau ses identifiants de connexion et l’application malveillante reçoit les mêmes autorisations qu’une application légitime. L’application pourrait alors être utilisée pour accéder aux fichiers stockés dans le compte Office 365 et pourrait également accéder à la liste de contacts de l’utilisateur, ce qui permettrait à l’attaquant de mener d’autres attaques contre l’organisation et les contacts professionnels de l’utilisateur.
L’objectif des pirates était de contourner l’AMF
La campagne de phishing a été identifiée par des chercheurs de Cofense. Ces derniers ont déjà averti que l’accès ne doit être accordé qu’une seule fois. Les jetons d’accès ont une date d’expiration, mais cette méthode d’attaque permet aux attaquants de rafraîchir les jetons, ce qui leur donne potentiellement accès aux documents et aux fichiers du compte Office 365 pour une durée indéterminée.
Grâce à l’AMF, les entreprises peuvent se sentir immunisées contre les attaques de phishing.
Comment fonctionne l’AMF ?
Lorsque vous utilisez ce système d’authentification, les utilisateurs doivent au moins utiliser des identifiants qui proviennent d’au moins deux parmi trois catégories de facteurs qui leur seront demandées successivement. Dans ce cas, on parle d’authentification à deux facteurs. Le système peut également exiger un troisième facteur ou plus pour permettre à un utilisateur d’accéder aux ressources dont ils ont besoin. Ainsi, on parle d’authentification multi facteur.
L’exemple du premier facteur le plus couramment utilisé est le mot de passe. Mais il peut aussi prendre d’autres formes telles qu’une phrase secrète, un code PIN, etc. Le problème avec ces informations personnelles est qu’elles peuvent souvent être dévoilées ou volées via de simples recherches, des tactiques d’ingénierie sociale ou des attaques de phishing. Il est donc peu recommandé de les utiliser en tant que méthode d’authentification, car elles sont peu fiables. Le mieux serait d’utiliser quelque chose que l’utilisateur connaît, quelque chose lié à sa personne ou quelque chose qu’il possède.
Les limites de l’AMF
Des milliards tentatives de piratage sont lancées chaque jour sur le web. En 2018, en l’espace de seulement trois mois, 765 millions d’utilisateurs ont été victimes de cybermenaces, notamment des attaques de ransomware et de malware.
L’AMF est une technique importante qui permet d’atténuer ces risques, car elle empêche l’utilisation d’identifiants volés pour accéder à des comptes d’utilisateurs d’Office 365. Malheureusement, elle n’est pas infaillible.
De nombreuses personnes sont encore réticentes à l’idée d’adopter cette technologie pour protéger leurs comptes ou leurs applications. L’une des principales raisons est l’effort nécessaire pour sa mise en œuvre.
De l’autre côté, il y a la question de procédure, c’est-à-dire que les utilisateurs doivent passer plusieurs étapes supplémentaires chaque fois qu’ils souhaitent accéder à leurs comptes ou à une application (saisie d’un mot de passe ou d’un code, sélection d’images pour compléter un captcha, etc.).
À ceux-ci s’ajoute le fait que certains utilisateurs pourraient être tentés de désactiver complètement l’AMF s’ils en ont la possibilité, juste pour éviter d’entrer un code à usage unique ou de produire une clé physique lors du processus de connexion.
De plus, la mise en œuvre de cette technologie peut s’avérer trop coûteuse pour certaines entreprises/utilisateurs, alors qu’elle ne garantit pas une protection à 100 % contre les cybermenaces.
Selon des chercheurs, même si l’AMF offre plus de sécurité aux comptes des utilisateurs, de certaines applications courantes ne la prennent pas en charge, notamment lorsque vous utilisez les systèmes d’authentification modernes. Parmi ces applications, on compte le système de messagerie des versions antérieures à iOS 10.
Enfin, d’autres protocoles de messagerie hérités tels que SMTP, IMAP et POP ne prennent pas en charge cette technologie. Ceci signifie que les attaquants peuvent contourner facilement votre système d’authentification multifacteur en utilisant ces applications héritées.
Cette campagne souligne l’importance de disposer d’une solution de sécurité de la messagerie électronique qui utilise une technologie prédictive pour identifier les nouvelles escroqueries de phishing qui n’ont jamais été vues auparavant et qui ne comportent pas de pièces jointes malveillantes.
Les attaques de phishing de ce type sont susceptibles de contourner les protections antispam d’Office 365 et d’être envoyées dans les boîtes de réception, et la nature inhabituelle de cette campagne peut tromper les utilisateurs en leur permettant involontairement d’autoriser des pirates à accéder à leurs comptes Office 365.
Office 365 est une cible pour de nombreuses attaques cybercriminelles
L’environnement Office 365 est un atout important pour la plupart des employés qui l’utilisent, notamment lorsqu’ils adoptent le travail à distance. En fait, ce système d’exploitation facilite grandement la communication et la collaboration en ligne.
On compte actuellement plus d’un million d’entreprises qui utilisent cette application. Vers la fin 2019, le géant Microsoft a enregistré 200 millions d’utilisateurs actifs par mois, et ce nombre ne cesse d’augmenter à raison d’environ 3 millions d’utilisateurs mensuels.
Malgré sa popularité, Office 365 constitue également un vecteur d’attaques cybercriminelles potentielles.
À cause de la pandémie du COVID-19, les entreprises ont par exemple dû pousser leurs employés à travailler chez eux. Cela a également accéléré la migration des outils de collaboration vers le cloud ainsi que la transformation numérique.
Une étude menée par le fournisseur de solutions de cybersécurité Vectra a révélé une tendance troublante. En fait, 71 % des systèmes Microsoft Office 365 déployés dans les moyennes et grandes entreprises ont fait l’objet d’environ sept prises de contrôle de comptes légitimes, à un moment où les employés distants étaient plus dépendants que jamais de ce logiciel pour mener à bien leur tâche au quotidien.
Les chercheurs ont constaté une augmentation des campagnes de phishing capables de contourner la MFA, dont le principal but est de compromettre les e-mails professionnels. Trend Micro a également constaté une augmentation de la compromission d’emails ciblant les comptes Office 365 des cadres.
De nombreux utilisateurs ont déjà signalé que la sécurité de Microsoft Office 365 présente des failles, et ils sont loin d’être les seuls. En mars 2018, le géant historique de l’informatique a constaté 23 millions de tentatives de connexion à haut risque et qui sont essentiellement basées sur le phishing.
En avril de la même année, environ 350 000 comptes ont également été compromis via la technique de pulvérisation de mots de passe. Lors de telles attaques, au lieu d’utiliser la technique de piratage courante – qui consiste à essayer plusieurs mots de passe différents sur quelques comptes – les escrocs ont opté pour la méthode inverse, en utilisant seulement quelques mots de passe pour accéder à de nombreux noms de compte différents.
Quelques mesures à adopter pour sécuriser vos comptes Office 365
Microsoft s’efforce d’apporter des améliorations à la sécurité de son logiciel. Il dépasse même certains fournisseurs d’antivirus et d’antispam, mais les cybercriminels ont également évolué en conséquence.
Si vous êtes responsable de la sécurité du système d’information de votre entreprise, la première erreur que vous pourrez faire est de croire que Microsoft est le seul responsable de la sécurisation de votre réseau et de vos données stockées dans son cloud.
Dans ce qui suit, nous allons vous donner d’autres conseils qui vous aideront à mieux protéger votre système informatique.
Adapter les paramètres de sécurité de Microsoft 365 à votre entreprise
Par défaut, Microsoft proposait des solutions de sécurité axées vers la facilité d’utilisation et les performances. À cause de la pandémie du COVID-19, et suite aux fortes demandes de la part de ses utilisateurs, la marque a amélioré et optimisé davantage ses solutions de sécurité en développant Microsoft Teams et Microsoft Azure.
Comme susmentionné, il est important de configurer correctement votre environnement et de modifier les paramètres par défaut pour faire face aux attaques cybercriminelles qui menacent votre organisation. Vous devez également vous tenir informés des nouvelles options proposées par Microsoft qui changent généralement toutes les semaines.
Sachez par exemple que vous pouvez utiliser Microsoft Secure Score pour évaluer le niveau de sécurité de votre entreprise sur la base de plusieurs critères comme l’identité, les périphériques, les données et le comportement des utilisateurs finaux. Vous pouvez utiliser cet outil pour sensibiliser vos clients, mettre en place un plan de sécurité à long terme et gérer les risques cybercriminels.
Renforcer la sécurité du travail à distance
À cause de la crise du Covid-19, les entreprises ont été contraintes d’adopter rapidement le travail à distance auquel les employés ne sont pas habitués. Elles ont eu peu de temps pour résoudre une myriade de problèmes – pour ne citer que le besoin de former les télétravailleurs et d’adopter de nouvelles solutions de sécurité – afin de rendre le travail à distance productif et sûr.
De leur côté, les pirates cherchent constamment de nouvelles tactiques pour mener des attaques de phishing et de ransomware. Ils exploitent les craintes et les besoins d’informations concernant le Coronavirus, et leurs actes vont certainement perdurer, même après la disparition de la pandémie.
Là encore, l’utilisation du MFA est l’une des bonnes pratiques qui pourraient sécuriser le télétravail de vos collaborateurs, mais elle doit être associée à d’autres stratégies.
Sécuriser l’accès aux applications de travail
Pour ce faire, vous pouvez contrôler les employés qui ont accès aux applications Microsoft Office, tout comme l’endroit ou le moment où l’accès a eu lieu.
En utilisant Microsoft Azure Active Directory, vous pouvez protéger les utilisateurs finaux contre la perte ou le vol de mots de passe perdus grâce à l’AMF. Mais vous pouvez aussi autoriser les employés à accéder à certaines applications sans ouvrir un large accès à votre réseau. Utilisez donc cette solution pour vous protéger contre d’autres cybermenaces.
Activer l’accès au bureau à distance
Vos employés distants peuvent utiliser plusieurs plateformes et appareils différents pour mener à bien leur travail, comme Windows, Mac, Android, iOS ou HTML 5. S’ils peuvent utiliser Windows Virtual Desktop, ils pourront même accéder à leurs applications et à leurs fichiers de manière sécurisée, quelle que soit la plateforme utilisée. De plus, ils apprécieront l’environnement de travail familier que vous leur proposez.
Journaliser et surveiller l’environnement Microsoft
Microsoft 365 propose déjà des solutions de sécurisation de son infrastructure et de ses services cloud. Les clients, quant à eux, doivent être conscients de leurs responsabilités, notamment la sécurisation de leurs données.
Dans le contexte de la journalisation et de la surveillance de l’environnement Microsoft, les utilisateurs finaux doivent analyser les données des journaux en temps quasi réel. Ils doivent alerter le personnel compétent et répondre par des contre-mesures en cas d’évènement suspect (tentatives d’accès à plusieurs comptes Microsoft 365, déchiffrement d’un mot de passe, connexion provenant d’une adresse IP dangereuse, etc.).
Utiliser un filtre de contenus web
Les administrateurs réseau devraient également ajouter une autre couche de sécurité à leur ligne de défense en mettant en place un système de filtrage des URL et de sécurité DNS.
Sur ce point, sachez que Microsoft fournit une option de filtrage web appelée Microsoft Defender. Elle permet à vos administrateurs système de suivre et de contrôler l’accès aux sites web en fonction de leurs catégories de contenu. Le fait est qu’il existe d’autres menaces récentes qui ne sont pas détectées par cette solution, mais qui peuvent être bloquées par des solutions de cyberprotection tierces plus avancées et plus efficaces.
Les administrateurs peuvent configurer ces solutions tierces dans votre environnement Office 365 de façon à ce qu’un point d’extrémité puisse transmettre toutes les demandes web au service de filtrage.
Le service de filtrage de TitanHQ est un des nombreux outils efficaces que vous pouvez utiliser dans ce domaine pour empêcher les pirates d’infiltrer votre réseau.
Filtrer les e-mails entrants et sortants
Comme l’e-mail est le moyen le plus utilisé par les pirates informatiques pour mener leurs attaques, Microsoft 365 a été doté d’un service pouvant bloquer certaines pièces jointes dangereuses et les spams.
Selon une étude menée par Osterman Research, les mécanismes de détection basés sur les signatures de Microsoft peuvent bloquer jusqu’à 100 % des menaces de malwares connus. Cependant, il existe un domaine dans lequel ce logiciel suscite des critiques. En fait, le volume d’e-mails de phishing et de spams qui contournent son filtre antispam et qui arrivent dans les boîtes de réception des utilisateurs finaux n’est pas négligeable.
Pour protéger votre entreprise contre les attaques récentes, il vous faut donc des mécanismes antispam et antiphishing avancés tels que SpamTitan et WebTitan.
SpamTitan offre une protection complète contre les attaques de phishing, de spear phishing, etc., tandis que WebTitan empêche vos employés d’accéder aux sites à risque et de bloquer les malwares avant qu’ils n’infiltrent les dispositifs qu’ils utilisent.
Améliorez la sécurité d’Office 365 avec les solutions de TitanHQ
La protection contre les attaques cybercriminelles associées à Office 365 requièrent une solution de sécurité à plusieurs niveaux.
Outre l’AMF, votre entreprise doit mettre en place des solutions permettant d’inspecter les e-mails et d’autres contenus partagés en vue de détecter les malwares, les contenus de phishing, les tentatives d’atteinte à la sécurité et l’intégrité de vos données, etc.
Il importe également de doter votre organisation d’une solution qui sécurise les appareils et logiciels des utilisateurs distants pour détecter tous les vecteurs d’attaques potentielles à n’importe quel stade de leur cycle de vie.
TitanHQ fournit une solution de sécurité basée dans le cloud qui vous aide à bloquer les vecteurs d’attaques liés à Microsoft Office 365. Pour en savoir plus sur ses capacités et sur la façon dont SpamTitan et WebTitan peuvent aider à protéger votre réseau et vos employés, nous vous invitons à les essayer gratuitement. Vous allez découvrir comment nos solutions peuvent améliorer vos défenses contre les attaques lancées via le web et la messagerie électronique.
Une campagne de phishing visant la Cour suprême des États-Unis a été détectée.
Elle utilise une fausse citation à comparaître devant le tribunal comme leurre pour obtenir des identifiants de connexion à Office 365.
Les e-mails sont personnalisés et sont adressés à la victime et prétendent être une assignation délivrée par la Cour suprême, exigeant que le destinataire assiste à une audience.
Il s’agit d’une campagne ciblée plutôt que d’une attaque du type de type « spray-and-pray » qui tente d’obtenir les identifiants des cibles de grande valeur telles que les cadres du niveau C.
Les e-mails comportent un lien sur lequel le destinataire est tenu de cliquer pour consulter l’assignation. En cliquant sur le lien dans l’e-mail, l’utilisateur est dirigé vers un site web malveillant où il doit entrer ses identifiants de connexion à Office 365 pour voir l’assignation.
Le domaine utilisé est tout nouveau et, en tant que tel, il n’est pas reconnu comme malveillant par de nombreuses solutions de sécurité, y compris les mesures anti-phishing par défaut d’Office 365. Les escrocs ont également utilisé de multiples redirections pour masquer l’URL de destination dans une autre tentative pour déjouer les défenses anti-phishing.
Avant que l’utilisateur ne soit dirigé vers la page de phishing, une page CAPTCHA lui est présentée. Le CAPTCHA est utilisé pour empêcher les visites sur le web par des robots, mais dans ce cas, il peut être utilisé pour ajouter de la légitimité au phishing afin que la requête paraisse authentique.
La page CAPTCHA est réelle, et l’utilisateur doit sélectionner correctement les images afin de poursuivre. La page comprend également le nom de l’utilisateur, ce qui ajoute encore plus de légitimité à l’escroquerie. En outre, le CAPTCHA peut constituer une tentative supplémentaire pour rendre difficile l’analyse de l’URL de destination par les solutions de sécurité.
Cette campagne de phishing est réaliste et utilise l’urgence pour amener l’utilisateur à agir rapidement, plutôt que de s’arrêter pour réfléchir à la demande.
Il y a des signes qu’il s’agit d’une escroquerie, comme le nom de domaine qui n’a manifestement rien à voir avec celui de la Cour suprême des États-Unis. L’e-mail renferme également quelques fautes de grammaire et d’orthographe que l’on ne s’attendrait pas à trouver dans une demande de la Cour suprême.
Cependant, le nom de l’expéditeur de l’e-mail a été usurpé pour faire croire qu’il a été envoyé par la Cour suprême. De cette manière, il est certain que la demande fasse peur à certains destinataires qui n’hésiteront donc à cliquer sur le lien. De plus, la page d’accueil est suffisamment réaliste pour tromper les employés occupés. Ces derniers sont donc plus enclins à divulguer leurs identifiants de connexion.
La protection Exchange Online (EOP), qui est fournie gratuitement par Microsoft avec tous les comptes Office 365, ne détecte souvent pas ces attaques du type « zero-day ».
Pour améliorer la protection contre les nouvelles campagnes de phishing, il faut une solution antispam qui intègre des techniques prédictives, des flux de renseignements sur les menaces et des algorithmes d’apprentissage automatique. SpamTitan intègre ces éléments et plusieurs autres couches de protection afin d’identifier les campagnes de phishing, les malwares, les ransomwares ainsi que les attaques par usurpation d’identité via la messagerie électronique.
SpamTitan peut être superposé à la protection Exchange Online de Microsoft pour servir de couche supplémentaire à vos défenses de sécurité de la messagerie électronique. Ceci, afin de garantir que davantage d’e-mails malveillants sont bloqués et n’atteignent jamais les boîtes de réception des utilisateurs finaux.
Pour plus d’informations sur SpamTitan et sur la manière dont la solution peut protéger les boîtes de réception de votre organisation contre les menaces de phishing, appelez l’équipe de TitanHQ dès aujourd’hui.
Comment les fournisseurs de services peuvent-ils continuer à gagner en dynamique de croissance et ajuster leurs opérations pour prospérer dans une économie en difficulté à mesure que le monde avance ?
MVP GROWTHFEST est un événement virtuel de 3 heures, dont le titre est une interview du triple MVP de la NBA Earvin « Magic » Johnson Jr, célébrant l’énergie qui alimente la croissance et la volonté de prospérer en ces temps incertains. Écoutez Magic parler des obstacles qu’il a surmontés tout au long de sa vie, et de la façon dont sa ténacité et son engagement envers la communauté ont été la clé de son succès.
Conor Madden, de TitanHQ, va diriger un panel de spécialistes de la sécurité avec 4 Channel All Stars, qui examineront comment la vente de la sécurité par l’éducation peut être avant tout un élément de la pile technologique des MSP modernes.
Il s’agira notamment de donner des aperçus prospectifs et d’exposer les mesures pratiques que vous pouvez prendre MAINTENANT pour vous développer et prospérer en ces temps difficiles.
Conor sera rejoint par :
Jon Murchison – PDG, BlackPoint Cyber
Kevin Lancaster – PDG, agent d’identification et GM Security, Kaseya
Jessvin Thomas – Président et directeur technique, SKOUT
Les incidents de cybersécurité sont nombreux pendant la pandémie, les services de protection des données peuvent positionner leur pile de sécurité à l’avant et au centre de l’infrastructure.
Dans cet environnement, les MSP ont besoin d’une liste de fournisseurs en qui ils peuvent avoir confiance et ils ont besoin de piles technologiques vraiment efficaces.
TitanHQ a conçu ses solutions de protection du courrier électronique et du web en tenant compte de la pile des MSP, et ce à un prix qui permet de conditionner ces solutions de manière simple et rentable.
Mais ce n’est pas tout … ce sont aussi trois autres sessions gratuites avec les principaux fournisseurs de la chaîne qui sont incluses dans ces 3 heures de powerpacked :
Gérer le changement
En vedette :
Dan Wensley – Directeur général, Warranty Master
Joe Alapat – PDG et fondateur, Liongard
Ryan Walsh – Directeur de la chaîne Pax8
Établir la confiance dans la nouvelle norme
Dave Goldie – Vice-président de la chaîne Cytracom
Ted Roller – Chef de chaîne, ConnectBooster
Andra Hedden – OCM, Marketopia
Frank DeBenedetto – Fondateur, AudIT
Diriger et accélérer la reprise
Tim Conkle – Fondateur, The 20
Dennis O’Connell – Vice-président, Taylor Business Group
Ted Roller – Chef de chaîne, Zomentum
Nous avons également des prix en pour un total de 2 000 $ pendant le spectacle !
Deux nouvelles campagnes de phishing ont été identifiées, ciblant les travailleurs à distance.
Une campagne se fait passer pour LogMeIn tandis que l’autre exploite la pandémie du COVID-19 pour fournir un outil d’administration à distance légitime qui permet aux attaquants de prendre le contrôle total du dispositif d’un utilisateur.
Usurper LogMeIn pour voler des informations d’identification
Les travailleurs à distance sont ciblés par une campagne de phishing qui usurpe le nom de LogMeIn, un service de connectivité dans le cloud très populaire utilisé pour la gestion et la collaboration informatiques à distance.
Les e-mails de phishing prétendent qu’une nouvelle mise à jour a été publiée pour LogMeIn. Les messages semblent avoir été envoyés par l’expéditeur automatique légitime de LogMeIn. Ils incluent le logo LogMeIn et prétendent qu’une nouvelle mise à jour de sécurité a été publiée pour corriger une nouvelle vulnérabilité de type « zero-day » qui affecte LogMeIn Central et LogMeIn Pro.
Un lien fourni dans l’e-mail semble diriger le destinataire vers le site web accounts.logme.in. Un avertissement est également fourni pour ajouter l’urgence afin que l’utilisateur prenne des mesures immédiates. Le message menace l’utilisateur de suspendre l’abonnement au service si la mise à jour n’est pas appliquée.
Le texte d’ancrage utilisé dans l’e-mail masque le véritable site où l’utilisateur sera dirigé. S’il clique dessus, il sera dirigé vers une URL LogMeIn usurpée convaincante où les informations d’identification sont récoltées.
Ces dernières semaines, on a constaté une augmentation des attaques de phishing qui usurpent des outils de travail à distance tels que LogMeIn, Microsoft Teams, Zoom, GoToMeeting et Google Meet. Toute demande envoyée via la messagerie électronique pour mettre à jour un logiciel de sécurité ou pour prendre d’autres mesures urgentes doit être traitée comme suspecte.
Visitez toujours le site officiel en entrant l’URL intégré au message dans la barre d’adresse ou utilisez vos signets standard et n’utilisez jamais les informations fournies dans un e-mail. Si la mise à jour de sécurité est authentique, vous en serez informé lors de votre connexion.
Utilisation l’outil d’administration à distance NetSupport pour prendre le contrôle des ordinateurs portables des employés en télétravail
Une campagne de phishing à grande échelle a également été détectée. Elle utilise des pièces jointes Excel malveillantes pour fournir un outil d’accès à distance légitime qui est utilisé par les attaquants pour prendre le contrôle de l’ordinateur d’une victime.
Les e-mails utilisés lors de cette campagne semblent avoir été envoyés depuis le Johns Hopkins Center. Ils prétendent fournir une mise à jour quotidienne sur les décès liés au COVID-19 aux États-Unis. Le fichier Excel joint à l’e-mail (covid_usa_nyt_8072.xls) affiche un graphique tiré du New York Times, détaillant les cas de nouveaux décès liés au COVID-19.
Lorsqu’il est ouvert, l’utilisateur est sollicité pour activer le contenu. Le fichier Excel contient une macro Excel 4.0 malveillante qui télécharge un client NetSupport Manager à partir d’un site web distant si le contenu est activé, et une application sera automatiquement exécutée.
Le cheval de Troie d’accès à distance (RAT) NetSupport livré dans le cadre de cette campagne télécharge des composants supplémentaires, notamment des fichiers exécutables, un VBScript et un script PowerShell obscurci basé sur PowerSploit. Une fois installé, il se connectera à son serveur C2, ce qui permettra à l’attaquant d’envoyer d’autres commandes.
Bloquer les attaques de phishing et les malwares avec SpamTitan et WebTitan Cloud
La clé pour bloquer les attaques de phishing est de mettre en place des défenses anti-phishing à plusieurs niveaux. SpamTitan sert de couche de protection supplémentaire pour la messagerie électronique.
Il fonctionne en tandem avec les mesures de sécurité antispam mises en œuvre par Google (G-Suite) et Microsoft (Office 365) pour fournir un niveau de protection plus élevé, en particulier contre les attaques sophistiquées et les menaces du type zero day.
SpamTitan comprend lui-même plusieurs couches de sécurité pour bloquer les menaces, notamment deux antivirus, un système de sandboxing, le protocole DMARC et des technologies prédictives pour identifier les menaces de phishing et de malwares qui n’ont jamais été vues auparavant.
WebTitan Cloud sert de couche de protection supplémentaire contre les composantes web des attaques de phishing, en vérifiant tous les liens contenus dans les e-mails entrants chaque fois qu’un clic est effectué (Time-of-Click Protection).
Il peut bloquer les tentatives des employés de visiter des sites de phishing dont les liens malveillants sont fournis dans des e-mails et les redirections vers des sites web malveillants lorsque les utilisateurs naviguent sur le web.
WebTitan fonctionne en tandem avec les solutions de sécurité des e-mails pour accroître la protection des employés, quel que soit l’endroit où ils utilisent l’Internet, et permet de définir des politiques différentes lorsqu’ils sont sur le réseau et hors réseau de votre entreprise.
Vous voulez plus d’informations sur ces puissantes solutions de cybersécurité ? Appelez dès aujourd’hui l’équipe de TitanHQ pour réserver une démonstration et pour recevoir une assistance pour la mise en place d’un essai gratuit de tous nos produits.
Les données obtenues par le think tank britannique Parliament Street ont révélé à quel point les universités sont ciblées par les cybercriminels ainsi que le nombre de spams et d’e-mails malveillants qui sont envoyés dans les boîtes de réception du personnel et des étudiants des universités.
Les données sur le volume d’e-mails malveillants et de spams ont été obtenues par Parliament Street grâce à une demande de liberté d’information. L’analyse des données des universités britanniques a montré qu’elles doivent bloquer chaque année des millions de spams, des centaines de milliers d’e-mails de phishing et des dizaines de milliers d’e-mails contenant des malwares.
Les chiffres de l’université de Warwick montrent que plus de 7,6 millions de spams ont été envoyés sur les comptes de messagerie du personnel et des étudiants au cours du seul dernier trimestre de 2019, dont 404 000 e-mails de phishing et plus de 10 000 e-mails contenant des malwares.
Il en va de même pour l’université de Bristol qui a reçu plus de 7 millions de spams au cours de la même période, dont 76 300 contenaient des malwares. Les données de la London School of Hygiene and Tropical Medicine ont révélé que plus de 6,3 millions de spams ont été reçus en 2019, dont près de 99 000 e-mails de phishing et plus de 73 500 attaques de malwares. Au total, 12 773 735 spams et e-mails malveillants ont été reçus en 2018 et 2019.
Les données de l’Université de Lancaster ont révélé que plus de 57 millions d’e-mails ont été bloqués pour diverses raisons, à savoir d’être des spams, de contenir des malwares ou d’être des e-mails de phishing, avec un million d’e-mails signalés comme suspects.
Les chiffres de l’Imperial College de Londres sont également élevés, avec près de 40 millions d’e-mails bloqués en 2019.
Tout comme les attaques qui ciblent les entreprises, celles lancées contre les universités sont souvent menées dans un but lucratif. Elles tentent de diffuser des malwares et d’obtenir des autorisations pour accéder aux réseaux des universités afin de voler des données à vendre sur le marché noir.
Les universités stockent d’énormes quantités de données sensibles sur les étudiants. Elles sont extrêmement précieuses pour les pirates informatiques, car elles peuvent être utilisées pour le vol d’identité et d’autres types de fraude. D’autres attaques sont également menées pour livrer des ransomwares afin d’extorquer de l’argent aux universités.
Les universités disposent généralement d’une large bande passante pour prendre en charge des dizaines de milliers d’étudiants et de membres du personnel. Les attaques sont menées pour détourner des dispositifs et les ajouter à des réseaux de botnets afin de mener une série de cyberattaques sur d’autres cibles.
Les comptes de messagerie électronique sont détournés et utilisés pour mener des attaques de spear phishing contre d’autres cibles.
Les groupes de menace persistante avancée (APT) parrainés par des États nations ciblent les universités pour avoir accès à la propriété intellectuelle et aux données de recherche de pointe. Ces informations sont extrêmement précieuses pour les entreprises qui peuvent les utiliser pour développer des produits afin d’obtenir un avantage concurrentiel significatif.
Les universités sont considérées comme des cibles relativement faciles par rapport aux organisations de taille similaire.
Les défenses de cybersécurité ont tendance à être beaucoup moins avancées, et les réseaux tentaculaires et le nombre de dispositifs utilisés par le personnel et les étudiants rendent la protection des réseaux difficile.
Le nombre de cyberattaques contre les universités étant en augmentation, les responsables des établissements d’enseignement supérieur doivent prendre des mesures pour améliorer la cybersécurité et empêcher que les attaques ne réussissent.
La majorité des menaces sont transmises via la messagerie électronique. Il est donc essentiel de disposer de moyens de défense avancés en matière de sécurité des e-mails, et c’est un domaine dans lequel TitanHQ peut apporter son aide.
Un test indépendant a montré que SpamTitan bloque plus de 99,97 % des e-mails indésirables. Cette couche de protection intègre un double moteur antivirus pour bloquer les menaces connues. Elle utilise également l’apprentissage machine pour identifier les nouveaux types d’attaques de phishing.
En outre, SpamTitan est doté d’une fonctionnalité de « sandboxing » pour détecter et bloquer les menaces de malwares et de ransomwares de type « zero-day ». Lorsque les pièces jointes d’un e-mail passent les tests initiaux, celles qui sont suspectes sont envoyées au sandbox pour une analyse approfondie afin d’identifier si elles sont réellement malveillantes ou non, en toute sécurité.
SpamTitan intègre aussi des protocoles SPF et DMARC pour bloquer les attaques d’usurpation d’identité par e-mail, des contrôles de prévention des pertes de données pour les messages sortants et des contrôles pour détecter les compromissions potentielles des comptes de messagerie.
Si vous souhaitez améliorer vos défenses de cybersécurité, commencez par mettre à niveau le système de protection de votre compte de messagerie électronique avec SpamTitan. Vous serez surpris de découvrir le peu d’investissement nécessaire pour améliorer de manière significative vos défenses de sécurité de la messagerie électronique. Pour plus d’informations, appelez l’équipe de TitanHQ dès aujourd’hui.
Les fournisseurs de soins de santé continuent d’être ciblés par des cybercriminels qui utilisent des e-mails de phishing sur le thème de COVID-19, et les campagnes ne montrent aucun signe de relâchement.
Le volume impressionnant des attaques de phishing a incité le Federal Bureau of Investigation (FBI) américain à lancer un nouvel avertissement aux fournisseurs de soins de santé, les invitant à prendre des mesures pour protéger leurs réseaux et pour bloquer les attaques.
Les premières grandes attaques de phishing sur le thème de COVID-19 visant les fournisseurs de soins de santé ont commencé à être détectées vers le 18 mars 2020. Les attaques ont pris de l’ampleur au cours des semaines suivantes et les leurres se sont diversifiés.
Des campagnes ont été menées contre les employés travaillant à domicile pour fournir des services de télésanté à leurs patients depuis leur domicile. On a également constaté une augmentation des escroqueries à des compromissions d’e-mails d’affaires (BEC).
Pour ce type d’arnaque, les pirates se font passer pour des fournisseurs de soins de santé et demandent des paiements anticipés en raison des difficultés qu’ils rencontrent à cause du COVID-19.
Les attaques de phishing sont menées pour obtenir des identifiants de connexion et pour diffuser des malwares, qui sont tous deux utilisés pour prendre pied dans les réseaux de santé afin de permettre l’exploitation de systèmes de suivi, la persistance et l’exfiltration de données sensibles.
Les malwares distribués dans le cadre de ces campagnes sont très variés et comprennent des voleurs d’informations tels que Lokibot et des chevaux de Troie comme Trickbot.
Microsoft a récemment indiqué que Trickbot est impliqué dans la majorité des e-mails de phishing liés à COVID-19 qui visent les utilisateurs d’Office 365, avec une campagne impliquant des centaines de documents macros différents et uniques la semaine dernière. En plus d’être un malware à part entière, Trickbot peut également télécharger d’autres charges utiles malveillantes, notamment le ransomware RYUK.
Une grande variété de malwares est diffusée par une gamme variée de pièces jointes à des e-mails et de scripts malveillants.
Les documents Microsoft Word contenant des macros malveillantes sont couramment utilisés, de même que les fichiers compressés avec le logiciel de compression 7-zip, les fichiers exécutables Microsoft et les scripts JavaScript et Visual Basic. Quant aux e-mails, ils sont envoyés à partir d’une combinaison d’adresses IP nationales et internationales.
Bien que le nombre d’e-mails de phishing sur le thème COVID-19 ait augmenté, le volume des messages malveillants de phishing en général n’a pas augmenté de manière significative. En réalité, plutôt que d’augmenter le nombre d’attaques, les pirates changent de tactique et utilisent désormais des leurres liés au COVID-19, car ils sont plus susceptibles d’être ouverts.
Souvent, les e-mails sont également envoyés par une personne connue et digne de confiance, ce qui augmente la probabilité que la pièce qui y est jointe soit ouverte. Les campagnes peuvent également être très convaincantes, car les leurres et les demandes sont plausibles et la majorité des messages sont bien écrits.
Par conséquent, de nombreuses organisations comme le Centre pour le contrôle et la prévention des maladies (CDC), le département de la Santé et des Services sociaux des États-Unis (HHS) et l’Organisation mondiale de la santé (OMS) ont été attaquées.
Le conseil du FBI est de suivre les meilleures pratiques en matière de cybersécurité, à savoir de ne jamais ouvrir les pièces jointes d’un e-mail non sollicité, quel que soit son expéditeur présumé. En outre, il est important de veiller à ce que les logiciels soient tenus à jour et que les correctifs soient appliqués rapidement.
Par ailleurs, il est recommandé de désactiver le téléchargement automatique des pièces jointes. Selon encore le FBI, il faut filtrer certains types de pièces jointes à l’aide d’un logiciel de sécurité des e-mails, ce qui est facile à faire avec SpamTitan.
Le FBI souligne l’importance de ne pas ouvrir les pièces jointes, même si le logiciel antivirus indique que le fichier est propre. Comme le montre la campagne Trickbot, de nouvelles variantes de documents et de scripts malveillants sont créées à une vitesse incroyable, et les méthodes de détection basées sur les signatures ne peuvent pas suivre les nouvelles menaces.
C’est un autre domaine dans lequel SpamTitan peut apporter son aide. En plus d’utiliser deux antivirus pour identifier plus rapidement les variantes de malwares connus, SpamTitan inclut l’option de sandboxing qui permet d’identifier et de bloquer les menaces de malwares du type « zero day » et dont les signatures n’ont pas encore été ajoutées à des listes noires.
Il est aussi important de donner une formation à vos employés du secteur de la santé pour leur enseigner les meilleures pratiques en matière de cybersécurité et pour les aider à identifier les e-mails de phishing.
Enfin, vous devriez vous assurer que vos contrôles techniques sont capables de bloquer les menaces sur le web et celles lancées via les e-mails. Pour plus d’informations sur la protection de vos employés contre ces menaces, appelez l’équipe de TitanHQ dès aujourd’hui.
Les établissements d’enseignement supérieur aux États-Unis ont été visés par une campagne de phishing qui distribue un cheval de Troie d’accès à distance appelé Hupigon, un RAT qui a été identifié pour la première fois en 2010.
Le RAT Hupigon a déjà été utilisé par des groupes de menace persistante avancée (APT) en provenance de Chine. Même si cette campagne n’était pas censée avoir été menée par des groupes APT, le RAT Hupigon a été réutilisé par des cybercriminels. Plusieurs industries ont été visées par la campagne, dont près de la moitié étaient des collèges et des universités.
Le RAT Hupigon permet aux pirates de télécharger d’autres variantes de malwares, de voler des mots de passe et d’accéder à des microphones et à des webcams. L’infection pourrait permettre aux attaquants de prendre le contrôle total d’un appareil infecté.
La campagne utilise des leurres de rencontres en ligne pour amener les utilisateurs à installer le cheval de Troie. Des e-mails montrant deux profils de rencontres d’utilisateurs ont été envoyés aux victimes, et celles-ci sont invitées à sélectionner celui qu’elles trouvent le plus attrayant.
Lorsqu’un utilisateur fait son choix, il est dirigé vers un site web où un fichier exécutable est téléchargé, installant le RAT Hupigon.
Le choix du leurre lors de cette campagne est sans doute influencé par l’énorme montée en puissance des applications de rencontres pendant la pandémie du COVID-19. Bien que les rencontres réelles ne soient pas nombreuses en raison des mesures de confinement et de distanciation sociale mises en place dans le monde entier, le confinement a permis à de nombreuses personnes d’avoir beaucoup de temps libre.
Cette situation, associée à l’isolement social de nombreux célibataires, a conduit à une augmentation de l’utilisation des applications de rencontres en ligne. De nombreux utilisateurs de ces applications se sont tournés vers Zoom et FaceTime pour avoir des rendez-vous virtuels.
Plusieurs applications de rencontre populaires ont signalé une augmentation de leur utilisation pendant la pandémie du COVID-19. Tinder a par exemple révélé que l’utilisation de la plateforme a augmenté, avec un pic de 3 milliards de profils saisis en une seule journée.
Comme nous l’avons déjà vu, les attaques de phishing, dont la majorité utilise des leurres liés au COVID-19, profitent d’un événement particulier ou des actualités sur la pandémie pour duper leurs victimes. La popularité des applications de rencontres s’étant envolée, on peut encore s’attendre à une augmentation du nombre de leurres sur le thème des rencontres en ligne.
Le conseil à donner aux établissements d’enseignement supérieur et aux entreprises est de mettre en place une solution avancée de filtrage des spams afin de bloquer les messages malveillants et pour s’assurer qu’ils n’atteignent pas les boîtes de réception des utilisateurs finaux.
Il est également important de veiller à ce qu’une formation de sensibilisation à la sécurité continue d’être dispensée au personnel, aux étudiants et aux employés. Ceci, afin de leur apprendre à reconnaître les signes de phishing et d’autres attaques lancées via la messagerie électronique.
TitanHQ peut vous aider dans ce domaine. Si vous souhaitez mieux protéger vos étudiants et vos employés et garder leurs boîtes de réception à l’abri des menaces cybercriminelles, appelez l’équipe du TitanHQ dès aujourd’hui. Après votre inscription, vous pourrez protéger votre boite de réception et celles des utilisateurs finaux en quelques minutes.
La pandémie du COVID-19 oblige des millions de personnes à travailler dans des espaces de travail éloignés. Pour la plupart des employés, cela signifie travailler à domicile.
Lorsque vous augmentez le nombre d’espaces de travail connectés à votre entreprise, vous augmentez la surface d’attaque. Autrement dit, vous augmentez le nombre de biens immobiliers à sécuriser, offrant ainsi une plus grande exposition aux attaques.
Comme la majorité des employés se connectent à votre réseau d’entreprise via un VPN afin d’accéder aux partages de fichiers, aux applications intranet et à d’autres ressources, toute infection par un malware lors qu’ils travaillent chez eux peut rapidement se propager dans votre réseau informatique.
La crise du COVID-19 a infligé de nombreuses perturbations à la plupart des entreprises. Il est important de rappeler que la cybercriminalité est également une force perturbatrice. Alors que les dirigeants d’entreprises et les services informatiques internes travaillent avec acharnement pour déplacer et sécuriser les opérations des employés vers leur environnement domestique, les pirates informatiques saisissent les nouvelles opportunités que représente pour eux le travail à distance.
Outre le fait que les employés doivent gérer la bande passante sans fil à leur niveau, leurs enfants qui rentrent de l’école, leurs chiens qui aboient et les innombrables interruptions, des millions d’employés qui s’adaptent aux rigueurs du travail à domicile doivent faire face à un autre facteur de risque : les pirates informatiques.
Les routeurs DNS domestiques peuvent représenter une vulnérabilité
La plupart des professionnels des réseaux informatiques savent à quel point le DNS est critique pour tout réseau.
Le DNS est l’interprète principal, l’agent de trafic qui répond chaque jour à des questions sans fin concernant les sites web, les sites intranet, les contrôleurs de domaine et les services de messagerie électronique.
Malheureusement, les employés distants dépendent aujourd’hui des routeurs grand public, très probablement fournis par leur fournisseur d’accès Internet.
Contrairement au réseau informatique interne de votre entreprise, le routeur DNS des utilisateurs à domicile n’est pas souvent sécurisé. C’est pourquoi les attaques contre ces routeurs grand public ont connu un pic au cours du mois dernier.
Les attaquants utilisent des kits d’exploitation pour pirater des appareils vulnérables et pour modifier la configuration du routeur DNS de vos employés. Pourtant, la plupart d’entre eux ne sont pas en mesure de détecter ce type d’attaque.
Les pirates profitent pleinement de la pandémie du COVID-19
Le niveau de menace contre les utilisateurs a considérablement augmenté ces derniers temps. Selon un important fournisseur de VPN, Google a constaté une augmentation de 350 % des sites de phishing pendant la pandémie du COVID-19 au cours des trois derniers mois. Il y avait un total 149 195 sites de phishing en janvier, avec un pic de 522 495 en mars.
Pour démontrer également la capacité d’adaptation des pirates informatiques, sachez que plus de 300 000 de ces sites contenaient un thème sur le coronavirus.
Europol a lancé un avertissement concernant la forte augmentation non seulement du phishing, mais aussi des attaques de détournement de DNS. La société de cybersécurité Bitdefender a récemment publié un rapport montrant que de nouvelles méthodes d’attaque ciblant les routeurs utilisés par les employés distants ont débuté la troisième semaine de mars.
L’une de ces menaces consiste en des attaques par la force brute. C’est une tactique qui leur permet de modifier les paramètres IP du DNS.
Les URL qui sont populaires en ce moment, comme aws.amazon.com, Disney.com et Washington.edu, ont été détournées. Les utilisateurs sont ensuite redirigés vers une page sur le thème du coronavirus qui semblait appartenir à l’Organisation mondiale de la santé.
Un bouton est intégré aux pages malveillantes, incitant les utilisateurs à télécharger les soi-disant dernières informations et instructions concernant le COVID-19.
En cliquant sur le bouton, un fichier est téléchargé, infectant la machine de l’utilisateur avec l’Oski infostealer, un malware conçu pour voler les mots de passe des navigateurs, les données cryptocurrentielles et les identifiants de connexion.
Comment protéger vos employés distants ?
L’une des premières mesures que les employés peuvent prendre consiste à modifier les informations d’identification par défaut sur leur routeur domestique, car beaucoup d’entre eux ne le font jamais.
Les utilisateurs doivent également mettre à jour leur microprogramme et s’assurer qu’il est toujours à jour.
Outre la formation des utilisateurs, vous pouvez également élargir la gamme de vos services de sécurité pour qu’ils correspondent à votre entreprise nouvellement agrandie. Les entreprises qui s’appuyaient sur un certain type d’application installée au sein de leurs locaux doivent maintenant se tourner vers des solutions de sécurité offrant une plus grande souplesse et une meilleure évolutivité afin de relever les défis actuels. En réalité, elles doivent utiliser le système basé dans le cloud.
TitanHQ a créé des solutions basées dans le cloud pour protéger de la même manière les espaces de travail sur site et à distance, et ce, depuis plusieurs années avant la crise du COVID-19.
Notre solution de sécurité de la messagerie électronique SpamTitan comprend des outils tels que la double protection antivirus, la prévention des pertes de données et le sandboxing.
Nous proposons également une solution de filtrage DNS appelée WebTitan qui peut bloquer une multitude de menaces, notamment les malwares, le phishing, les virus et les ransomwares pour qu’elles ne puissent pas pénétrer dans les sessions de navigation de vos employés. Toutes nos solutions sont évolutives et peuvent protéger vos employés, quel que soit l’endroit où ils travaillent.
La cas du filtrage DNS
Le filtrage DNS devrait être un élément important de votre stratégie de sécurité réseau. Il peut être utilisé conjointement avec la surveillance des ports, les systèmes de détection et de blocage des intrusions, les logiciels de filtrage web, les antivirus et les pare-feu.
Ensemble, ces couches de protection vous permettent de créer un système de protection fonctionnel et efficace.
Bien entendu, aucun système n’est à l’épreuve des attaques lancées via le web. De plus, les pirates informatiques changent constamment de noms de domaine. Heureusement, il existe des solutions telles que le filtrage DNS de WebTitan qui sont très efficaces pour contrer leurs efforts de camouflage. WebTitan y parvient en classant par catégorie environ 60 000 domaines par jour, en traquant et en bloquant les sites dangereux.
Si votre organisation prend la sécurité du réseau au sérieux, la protection de votre infrastructure DNS devrait être une partie vitale de votre plan de sécurité d’entreprise. Un peu de temps et d’efforts consacrés à la sécurité DNS peut apporter des avantages immédiats et significatifs en matière de sécurité.
