Les cybercriminels déchaînent des outils malveillants sur des organisations et des utilisateurs peu méfiants dans le monde entier.
Des milliers de sites d’escroquerie et de malwares sur le thème de COVID-19 sont lancés chaque jour.
Alors que les responsables gouvernementaux et les responsables des soins de santé continuent de rappeler au public de continuer à maintenir la distance entre les personnes et à adopter des pratiques d’hygiène personnelle, les équipes informatiques et de cybersécurité doivent travailler plus dur que jamais pour protéger les entreprises contre les nombreuses attaques sur le web.
L’Organisation mondiale de la santé attaquée
L’Organisation mondiale de la santé est sous les feux de la rampe depuis le début de la pandémie du COVID-19 et l’attention soudaine vis-à-vis de cette menace sanitaire en a fait de cette organisation une cible de choix pour les cybercriminels.
Alors que les nations réclament des informations sur le COVID-19 pour protéger leurs citoyens contre la pandémie, l’OMS est attaquée. En conséquence, l’organisation a doublé la taille de son équipe de sécurité interne et travaille actuellement avec cinq sociétés de cybersécurité pour renforcer la protection contre les menaces sur le web.
Selon Reuters, l’OMS a subi une attaque à la mi-mars. En effet, un site de phishing a émulé le serveur de messagerie interne de l’organisation. Les attaquants ont ensuite tenté d’attirer ses employés pour qu’ils se connectent au site et saisissent leurs identifiants.
L’attaque a été lancée par un groupe appelé Darkhotel qui serait basé en Asie du Sud-Est. Le groupe a obtenu son nom, car il a suivi les réservations d’hôtels des cadres et des célébrités de niveau C via des applications web hôtelières compromises lors de leurs voyages à travers le monde.
En plus des attaques contre l’OMS elle-même, les pirates informatiques ciblent également et spécifiquement les hauts fonctionnaires de l’OMS avec des attaques de spear phishing. Le directeur général de l’organisation ainsi que d’autres hauts fonctionnaires ont été visés.
La majorité de ces attaques sont des tentatives de phishing et/ou de spear phishing conçues pour inciter les hauts fonctionnaires de l’OMS à cliquer sur des liens électroniques intégrés à des e-mails. Les pirates informatiques à l’origine de ces attaques prétendent avoir capturé certains mots de passe.
Le FBI émet un avertissement
L’OMS n’est pas la seule organisation attaquée.
La semaine dernière, le FBI a signalé une augmentation des activités de reconnaissance et des intrusions impliquant des institutions qui faisaient des recherches sur le COVID.
Les attaques semblaient être parrainées par des États-nations qui tentent d’obtenir des données de recherche privées et des informations exclusives concernant le virus. Un exemple en est l’attaque contre Genomics, une entreprise de recherche en biotechnologie basée en Californie et fortement impliquée dans les recherches sur le COVID-19.
Les attaquants ont tenté de voler des informations sensibles puis de couvrir leurs traces avec une attaque supplémentaire par ransomware. Si les pirates ont pu pénétrer le réseau, l’équipe de cybersécurité de Genomics a réussi à isoler la source de l’attaque et à la contrecarrer.
Méfiez-vous des offres alimentaires gratuites
Au fur et à mesure que le COVID-19 se répand dans le monde entier, les pirates informatiques ciblent les personnels des soins et de santé ainsi que les fonctionnaires sur tous les continents. Mais le cas qui s’est produit en Antarctique était différent.
Les pirates ont utilisé une campagne de phishing impliquant une redirection ouverte sur le site web HHS.gov dans le but de diriger les utilisateurs vers une page web de phishing.
L’e-mail de phishing offrait des informations sur le COVID-19 et proposait ensuite un lien permettant aux utilisateurs de mieux comprendre les symptômes médicaux.
L’une des tentatives les plus intelligentes des pirates consiste à exploiter la générosité des gens pour offrir et fournir des repas gratuits aux travailleurs dans le domaine de la santé et aux gens qui travaillent en première ligne pour combattre le virus.
Cette attaque a impliqué une campagne de phishing qui a ensuite dirigé les travailleurs dans le domaine des soins et de santé vers un site web déguisé en page pour organiser des livraisons gratuites de repas. Le but de l’attaque était de voler les identifiants de connexion à des comptes de messagerie et elle semblait être mise en œuvre par des attaquants soutenus par un État-Nation.
Attention aux services de streaming
Ne croyez pas que vous êtes actuellement à l’abri des attaques informatiques simplement parce que vous ne travaillez pas au sein d’une organisation liée à la santé.
Les pirates informatiques ciblent également les services de streaming pour tirer profit de la frénésie des citoyens à s’informer sur l’évolution de la pandémie du COVID-19 alors qu’ils restent enfermés chez eux.
Plus de 700 domaines suspects ont récemment été enregistrés pour se faire passer pour Netflix. Ils ont été principalement utilisés pour des campagnes de phishing, mais sont aussi dans le but de profiter des abonnés de Netflix qui orthographient mal le nom de la société.
Alors que les campagnes de phishing se vantent de proposer des abonnements gratuits, les faux domaines peuvent être utilisés par les pirates pour récolter des données personnelles telles que les noms, les adresses et les informations relatives aux cartes de crédit des abonnés.
La sécurité sur plusieurs fronts
L’augmentation continue des escroqueries sur le thème du coronavirus est le résultat d’une ingénierie sociale. Nous prévoyons que les pirates informatiques continueront à utiliser ces stratégies à mesure que la situation du COVID-19 évolue.
Il est évident que les entreprises, les organisations et les utilisateurs personnels doivent rester plus vigilants que jamais en matière de cyberhygiène.
TitanHQ est une solution efficace, capable d’identifier, de détecter et de bloquer ces menaces. Nous recommandons à tous les utilisateurs de faire protéger leur compte de messagerie électronique par un système de sécurité moderne tel que SpamTitan.
Il comprend des fonctionnalités telles qu’une double protection antivirus, des couches de protection supplémentaires pour Microsoft Office 365, une prévention contre les fuites de données et un sandboxing, c’est-à-dire un environnement qui permet de tester des logiciels ou des sites web en toute sécurité.
La pandémie du COVID-19 (coronavirus) a de nombreuses répercussions partout dans le monde.
Elle a fondamentalement changé la façon dont de nombreuses organisations et entreprises fonctionnent, étant donné qu’un grand nombre d’employés doivent actuellement travailler à distance.
Le thème du COVID-19 est utilisé par les cybercriminels dans le cadre de plusieurs campagnes malveillantes comme le phishing, le spamming, les attaques de malwares et de ransomwares et la création de nom de domaines malveillants.
Dans cet environnement, les solutions de filtrage de la messagerie et du web sont devenues essentielles pour protéger les appareils qui seront désormais utilisés en dehors du périmètre sécurisé de votre réseau d’entreprise.
Menace croissante d’attaques de phishing et de malwares liées au COVID-19
Les professionnels de l’informatique et de la sécurité des entreprises sont confrontés d’innombrables d’attaques de phishing par e-mail sur le thème du coronavirus.
Si à l’origine, il n’y avait que quelques dizaines de sites web de phishing liés au Covid-19, aujourd’hui, on en recense plusieurs dizaines de milliers.
Étant donné que des centaines de milliers de personnes sont contraintes de travailler à domicile ou en dehors de leur bureau en raison de la pandémie, les criminels cherchent à exploiter la situation en adaptant leurs techniques d’escroquerie.
Pour ce faire, ils tentent de tirer profit de l’anxiété accrue du public pendant la crise actuelle.
Protéger les travailleurs à distance contre les attaques de phishing et de malwares pendant le CoviD-19
TitanHQ aide les organisations et les fournisseurs de services gérés (MSP) à protéger leurs clients qui sont passés du travail « au bureau » au travail « à domicile ».
Cette année, nous avons constaté une demande massive pour deux produits en particulier qui peuvent être déployés de manière transparente sur des appareils distants et dans des environnements de travail à domicile.
Le premier est SpamTitan, un système de sécurité de la messagerie électronique basé dans le cloud et qui protège vos employés contre les dernières itérations d’attaques de phishing. Le second étant WebTitan, notre produit de sécurité DNS piloté par l’Intelligence artificielle.
Ensemble, ces deux produits créent une protection multicouche pour tous vos employés et pour les dispositifs qu’ils utilisent.
Solution de sécurité des e-mails SpamTitan
SpamTitan fournit une protection avancée de la messagerie électronique grâce à une puissante mise à jour en temps réel et grâce à l’intelligence artificielle.
En effet, les attaques de phishing liées au COVID-19 sont les versions les plus sophistiquées des e-mails phishing que l’industrie n’ait jamais vues.
Sur ce point, SpamTitan offre une excellente protection, en bloquant les menaces entrantes et en sécurisant les données sortantes. Il bloque les spams, les e-mails de phishing, les liens infectés par des malwares et d’autres menaces lancées via la messagerie électronique.
Sécurité DNS de WebTitan
Le nombre de nouveaux malwares et de sites de phishing augmente quotidiennement, en particulier ceux qui se réfèrent au COVID-19.
Ces sites porteurs de malwares sont des sites de destination pour les escroqueries ciblées de phishing par e-mail. À noter que ces nouveaux domaines sont activement ajoutés à WebTitan au fur et à mesure qu’ils sont identifiés.
Notre système a été conçu dans un souci d’évolutivité et la détection en temps réel des menaces. Utilisant l’Intelligence artificielle, il peut bloquer les nouvelles menaces malveillantes dès qu’elles font surface. De plus, le fait que toute notre technologie est entièrement basée dans le cloud facilite le déploiement de notre solution à distance.
Les infections par le COVID-19 étant en augmentation et ne montrant aucun signe de ralentissement, nous pouvons nous attendre à ce que ces campagnes de phishing liées au COVID-19 se poursuivent. Les organisations devraient sensibiliser leurs employés sur ces nouvelles campagnes et veiller à mettre en œuvre des solutions techniques appropriées pour bloquer les attaques sur le web et via la messagerie électronique.
Sur ce dernier point, TitanHQ peut aider votre entreprise. Nous fournissons des solutions de sécurité avancées pour la messagerie électronique et le web afin de bloquer ces nouvelles campagnes.
Si vous n’avez pas encore mis en place un filtre web ou une solution de protection de la messagerie électronique pour protéger vos comptes Office 365, c’est le bon moment pour commencer. Nous nous engageons à proposer des solutions sûres et sécurisées à nos clients, à nos partenaires et aux utilisateurs finaux.
Grâce à l’insertion d’un code client simple sur vos appareils d’entreprise, vos employés pourront interagir avec un DNS désigné, quel que soit l’emplacement de l’appareil.
Sécurité à plusieurs niveaux — protéger les travailleurs à distance et leurs données
Une protection multicouche est recommandée pour protéger votre entreprise sur tous les fronts, notamment en empêchant les utilisateurs d’accéder à des domaines malveillants susceptibles de diffuser des malwares.
La sécurité multicouche permet d’empêcher l’apparition d’une vulnérabilité dans votre système défense informatique. Sa conception ressemble à celle d’un oignon où chaque couche se combine avec une autre pour former une sphère de sécurité complète et pleinement fonctionnelle.
En protégeant votre réseau interne et vos données avec des solutions multicouches comme SpamTitan et WebTitan, les attaquants auront beaucoup de difficultés à trouver une brèche pour mener une attaque.
Bien que les solutions multicouches de TitanHQ travaillent indépendamment, ils peuvent aussi collaborer pour protéger votre réseau et tous les dispositifs de l’entreprise. De plus, elles sont constamment mises à jour pour garantir une protection continue contre les vecteurs d’attaque existants et nouveaux.
N’hésitez pas à nous contacter pour savoir comment nous pouvons soutenir au mieux vos efforts pendant cette période difficile.
La pandémie du coronavirus a obligé de nombreux travailleurs à faire du télétravail et le nombre de personnes travaillant à domicile a grimpé en flèche au cours des deux derniers mois.
Pendant cette période difficile, le personnel de la sécurité informatique doit prendre des mesures supplémentaires pour protéger les employés distants des menaces de cybersécurité qui ne cessent de se multiplier.
5 mesures à prendre pour protéger les employés en télétravail contre les menaces de cybersécurité
L’augmentation du nombre d’employés travaillant désormais à domicile rend ces derniers plus vulnérables aux cyberattaques. Les entreprises doivent donc mettre en œuvre de nouvelles mesures pour les protéger.
Nous avons déjà vu de nombreuses campagnes ciblant les employés distants dans le but de voler leurs identifiants d’accès à distance et d’infecter leurs appareils avec des malwares.
En effet, des vulnérabilités peuvent facilement apparaître lorsqu’un grand nombre d’employés travaillent à domicile. Les cybercriminels peuvent facilement les exploiter pour accéder à leurs appareils, à leurs ressources basées dans le cloud et au réseau informatique de leur entreprise.
Aujourd’hui, nous présentons cinq mesures importantes à prendre pour protéger les employés distants des menaces de cybersécurité pendant la pandémie du coronavirus.
Utiliser un VPN professionnel
Il est important que les travailleurs à distance ne puissent pas accéder aux ressources de travail qu’en utilisant un VPN. Cependant, le simple fait d’utiliser un VPN ne permet pas de protéger efficacement les travailleurs distants.
Les VPN grand public sont très différents des VPN professionnels. Ainsi, ils ne doivent pas être utilisés. Pourtant, même si vous utilisez des VPN de niveau entreprise, sachez qu’ils ne sont pas nécessairement sécurisés. En effet, ils peuvent présenter des vulnérabilités pouvant être peuvent facilement exploitées par les cybercriminels.
Le Centre national de cybersécurité du Royaume-Uni (NCSC) a averti que des groupes APT soutenus par un État Nation ont mené des attaques en exploitant les vulnérabilités non corrigées des solutions VPN des réseaux Pulse Secure, Fortinet et Palo Alto.
Ces vulnérabilités ont été identifiées entre avril 2019 et juillet 2019, mais de nombreuses entreprises n’ont pas appliqué les correctifs. Certes, il est peut être difficile d’appliquer des correctifs, car les VPN sont souvent utilisés 24 heures sur 24 et 7 jours sur 7.
Pourtant, il est essentiel que les correctifs soient appliqués rapidement. Les pirates informatiques ciblent continuellement les VPN et le nombre d’attaques continuera probablement à se multiplier avec l’augmentation du nombre d’employés travaillant à domicile.
Veiller à ce que tous les dispositifs soient mis à jour et corrigés
Avant qu’un employé ne soit autorisé à travailler à distance, les équipes de sécurité informatique doivent s’assurer que ses ordinateurs portables sont entièrement à jour et qu’ils fonctionnent avec les dernières versions des systèmes d’exploitation et des logiciels.
Comme la pandémie du coronavirus devrait encore durer plusieurs mois, des politiques et des procédures doivent donc être élaborés pour garantir que les dispositifs des utilisateurs sont tenus à jour.
Vous devez également veiller à ce que les solutions de protection des terminaux, les logiciels antivirus et les paramètres de mise à jour de Windows soient configurés pour se mettre à jour automatiquement.
Renforcer la sécurité du courrier électronique
La majorité des cyberattaques commencent par un e-mail de phishing. Il est donc essentiel de disposer d’une solution de sécurité avancée pour le courrier électronique.
Les entreprises ne devraient pas se fier à la protection fournie par Microsoft pour Office 365 pour bloquer les attaques de phishing et de malwares.
Une solution de sécurité du courrier électronique tierce devrait venir s’ajouter aux protections fournies par Microsoft pour Office 365. En effet, les défenses multicouches sont essentielles pour protéger les employés distants contre les menaces de cybersécurité.
SpamTitan fournit une protection renforcée contre le phishing, le spear phishing, les malwares et les ransomwares pour les comptes Office 365. Cette solution complète la protection fournie par Microsoft. De plus, comme SpamTitan est basé dans le cloud, il peut être facilement appliqué et utilisé pour protéger tous les comptes de messagerie, quelle que soit la plate-forme que vous utilisez.
Protection contre les attaques sur le web
Le courrier électronique est le moyen le plus probable pour les cybercriminels de mener des cyberattaques sur des travailleurs distants. Néanmoins, d’autres mesures doivent être mises en œuvre pour bloquer les attaques lancées via le web, telles que les téléchargements de malwares par drive-by.
Selon CheckPoint, plus de 16 000 domaines sur le thème COVID-19 et coronavirus ont été enregistrés depuis janvier et ce nombre augmente à une vitesse incroyable. Ces domaines ont 50 % de chances de plus d’être malveillants que les autres domaines enregistrés au cours de la même période.
Le moyen le plus simple de se protéger contre les attaques sur le web est d’utiliser une solution de filtrage du web basée dans le cloud. WebTitan Cloud offre une protection contre les attaques basées sur le web en bloquant l’accès aux domaines et sites web malveillants qui présentent un risque plus élevé d’héberger des malwares.
Fournir une formation supplémentaire aux employés distants
Les recherches menées par PurpleSec indiquent que 98 % de toutes les cyberattaques impliquent une ingénierie sociale. Quant aux recherches menées par Cofense, elles révèlent que plus de 90 % des cyberattaques commencent par un courriel de phishing.
Il est donc important de former les employés afin de les aider à identifier les attaques d’ingénierie sociale et de phishing.
Une formation de sensibilisation à la sécurité devrait être dispensée régulièrement aux employés et il est également utile de mener des exercices. Par ailleurs, la mise en œuvre d’une simulation de phishing est nécessaire pour identifier les employés qui ont besoin d’une formation complémentaire.
Enfin, vous devez renforcer les bonnes pratiques générales en matière de cybersécurité informatique auprès des travailleurs à distance afin de les empêcher d’adopter des comportements à risque.
Contactez TitanHQ dès aujourd’hui pour obtenir de plus amples informations sur la protection de vos employés à distance.
Une énorme campagne de distribution du cheval de Troie Dofoil a été découverte par Microsoft. Cette campagne a permis aux pirates d’infecter près d’un demi-million de PC en moins de 12 heures.
Le cheval de Troie Dofoil est également appelé Smoke Loader, lequel est utilisé pour propager une variété d’autres virus depuis de nombreuses années.
Il s’agit d’une petite application qui, une fois téléchargée sur un PC, peut télécharger d’autres formes de malwares. Le cheval de Troie Dofoil a été utilisé dans de nombreuses campagnes depuis au moins 2011 pour télécharger des malwares, la dernière campagne ayant servi à installer un malware d’extraction de cryptomonnaies.
Le cheval de Troie a été signalé pour la première fois le 6 mars dernier, lorsque Windows Defender a découvert près de 80 000 cas d’infection sur des PC. Ce nombre a augmenté rapidement pour atteindre plus de 400 000 dans les 12 heures suivantes.
Plusieurs souches du cheval de Troie Dofoil étaient utilisées dans le cadre de la campagne qui se concentrait principalement sur d’autres dispositifs situés en Russie, en Ukraine et en Turquie.
Le malware a été déployé pour extraire des pièces en électroneum sur les appareils infectés, bien qu’il puisse extraire d’autres types de cryptomonnaies.
La détection de ce type de malware peut être délicate, car il utilise un processus lui permettant de créer une nouvelle instance d’un processus Windows authentique à des fins malveillantes.
Pour notre cas, il a été masqué sous la forme d’un fichier binaire Windows pour éviter la détection (wuauclt.exe). Explorer.exe a été utilisé pour établir une copie du malware dans le dossier Roaming AppData qui a alors été rebaptisé ditereah.exe.
Le registre de Windows était également modifié pour assurer la persistance de l’infection, en changeant une entrée existante pour la pointer vers la copie du malware. Par la suite, le malware a communiqué avec son serveur C2 et téléchargé des variantes supplémentaires de malwares sur l’appareil infecté.
Microsoft a été en mesure de repérer les infections.
Pourtant, ce qu’on ignore pour l’instant, c’est comment le malware a été téléchargé sur un très grand nombre d’appareils en une très courte période. Bien que le malware ait pu être diffusé via des spams, un autre moyen de distribution est suspecté.
Microsoft a noté que dans de nombreux cas, il aurait été partagé à l’aide de fichiers torrents qui sont utilisés dans le partage de fichiers P2P, souvent pour obtenir des films, de la musique et des logiciels piratés.
Microsoft n’a fait connaître que le nombre d’infections qu’elle a détectées à l’aide de Windows Defender. Et comme la marque n’a pas de visibilité sur les appareils sur lesquels son logiciel antimalware n’est pas installé, le nombre total d’infections risque donc d’être beaucoup plus élevé. Les quelques 400 000 infections ne sont probablement qu’un début.
Microsoft note que ses tentatives pour perturber le fonctionnement du malware ont fait plus qu’empêcher les appareils d’exploiter les cryptomonnaies.
Elles devraient aussi empêcher les pirates d’installer un nombre illimité de charges utiles malveillantes supplémentaires par le biais du cheval de Troie Dofoil, y compris les variantes de malwares et de ransomwares les plus dangereuses.
Microsoft vient d’annoncer avoir pris le contrôle de l’infrastructure américaine du réseau de botnets Necurs.
La marque a également pris des mesures pour empêcher les développeurs des botnets d’enregistrer de nouveaux domaines et de reconstruire l’infrastructure.
L’ampleur du réseau de Necurs
Le botnet Necurs est apparu pour la première fois en 2012.
Il est devenu l’un des plus grands réseaux de distribution de spams et de malwares. Le botnet a infecté 9 millions d’appareils par des malwares, ce qui a permis au groupe de cybercriminels à l’origine du réseau de prendre le contrôle de chaque appareil.
Le botnet Necurs est utilisé pour commettre un large éventail de cyberattaque menées par ses développeurs et par d’autres groupes cybercriminels qui louent des parties du botnet en tant que service.
Le réseau de botnets a été utilisé pour la distribution de malwares et de ransomwares et pour le cryptomining. Il a également servi pour des attaques contre des ordinateurs dans le but de voler des informations d’identification et des données confidentielles.
Par ailleurs, le réseau de botnets Necurs dispose d’un module permettant de lancer une attaque par déni de service distribué (DDoS) massive, bien que cette fonction n’ait pas encore été utilisée.
La principale utilisation du botnet est le spamming. Il a été utilisé pour envoyer de grandes quantités de spams, y compris des e-mails proposant de faux produits pharmaceutiques et des escroqueries et extorsion via des sites de rencontres.
Pour donner un exemple de l’ampleur de la campagne de spamming lancée via le réseau de botnets Necurs, sachez que sur une période d’observation de 58 jours, Microsoft a découvert qu’un seul ordinateur infecté par le malware avait envoyé 3,8 millions de spams à 40,6 millions de comptes de messagerie (cela ne représente qu’un seul appareil infecté sur 9 millions).
En 2017, le botnet était également utilisé pour diffuser des ransomwares dénommés Dridex et Locky à raison de 5 millions d’e-mails par heure. Entre 2016 et 2019, le botnet était encore responsable de 90 % des attaques de malwares par e-mail.
Le démantèlement de l’infrastructure de Necurs
Microsoft a suivi les activités criminelles des pirates derrière le réseau de botnets Necurs pendant 8 ans.
On pense que le gang est Evil Corp, un groupe cybercriminels russe qui était derrière la campagne de lancement du cheval de Troie bancaire Dridex. Evil Corp a été désigné comme le groupe cybercriminel le plus dangereux au monde.
Le démantèlement du botnet Necurs a nécessité un effort coordonné de la part de Microsoft et de ses partenaires dans 35 pays. Le 5 mars 2020, Microsoft a obtenu une ordonnance de la Cour du District Est de New-York, lui ordonnant de saisir les domaines américains utilisés par les opérateurs du botnet Necurs.
La simple saisie des domaines ne serait pas suffisante pour faire tomber le botnet, car ses serveurs de commande et de contrôle pourraient être rapidement reconstruits. Les domaines utilisés par les acteurs de la menace sont souvent supprimés, mais de nouveaux domaines sont constamment enregistrés des semaines ou des mois à l’avance.
Pour démanteler l’infrastructure du réseau de botnets Necurs, l’équipe de Microsoft s’est efforcée de déchiffrer l’algorithme utilisé par les cybercriminels pour générer de nouveaux domaines.
D’abord, la marque a analysé l’algorithme puis calculé plus de 6 millions de domaines qui étaient susceptibles d’être utilisés par les pirates au cours de 25 mois. Une fois que les domaines ont été détectés, des mesures ont été prises pour les empêcher d’être enregistrés et de faire de nouveau partie de l’infrastructure de Necurs.
Près de 9 millions d’appareils dans le monde sont toujours infectés par le botnet Necurs. Microsoft et ses partenaires ont identifié les appareils infectés et travaillent actuellement avec les fournisseurs d’accès internet et les équipes du CERT dans le monde entier pour supprimer les malwares dans ces appareils.
Plusieurs nouvelles campagnes de phishing par email prenant le COVID-19 pour base ont été détectées ces derniers jours. Elles exploitent la peur de la nouvelle pandémie du coronavirus pour diffuser des virus informatiques et pour voler des informations sensibles.
Les gens sont naturellement inquiets d’être infectés par le coronavirus, surtout avec son taux de mortalité élevé. Les e-mails liés au COVID-19 ont ainsi plus de chances d’être ouverts par leurs destinataires.
Certains des e-mails de phishing qui ont été interceptés sont faciles à identifier comme étant malveillants. Ils sont mal rédigés et comportent des fautes d’orthographe et de grammaire. Pourtant, certaines campagnes ont été conçues par des experts. Elles sont très convaincantes et sont susceptibles de duper de nombreuses personnes.
Les premières campagnes de phishing utilisant COVID-19 ont été détectées en janvier et le nombre de menaces n’a cessé de croître au cours des dernières semaines. De nombreux pirates utilisent maintenant les leurres du phishing utilisant COVID-19 pour tromper les personnes non averties dans le but de les inciter à divulguer leurs informations d’identification ; à visiter des liens malveillants ou à télécharger des malwares.
L’Organisation mondiale de la santé (OMS) a lancé un avertissement après la détection de plusieurs campagnes de phishing se faisant passer pour l’OMS. Les messages prétendaient fournir des informations essentielles sur des cas dans certaines régions et délivrent des conseils sur la manière d’éviter l’infection.
L’une des campagnes les plus récemment détectées prétendait fournir des mises à jour concernant les actualités liées au Coronavirus. Les e-mails contenaient une pièce jointe au format ZIP qui semblait être un fichier PDF (MYHEALTH.PDF).
Cependant, le fichier était un fichier exécutable (MYHEALTH.exe). S’il était ouvert, il déclenchait le téléchargement de GULoader qui, à son tour, télécharge le malware Formbook à partir de Google Drive.
Une autre campagne similaire a inclus une pièce jointe Word qui a téléchargé le cheval de Troie TrickBot. Ce dernier a été utilisé pour livrer le logiciel de rançon Ryuk comme charge utile secondaire.
Les Centres de contrôle et de prévention des maladies sont également utilisés comme un moyen pour les pirates de lancer des attaques. Une autre campagne affirme que le nouveau coronavirus est devenu une menace aérienne et met en garde contre de nouveaux cas dans certaines régions.
Les e-mails semblaient avoir été envoyés à partir d’un compte de messagerie électronique légitime du CDC (CDC-Covid19@cdc.gov). Ils contenaient une pièce jointe intitulée « Mesures de sécurité » qui semblait être une feuille de calcul Excel. Celle-ci était en réalité un fichier exécutable (.exe). Un double clic sur la pièce jointe déclenchait le téléchargement d’un cheval de Troie bancaire.
Les campagnes de phishing par courriel et par SMS visaient les contribuables britanniques et se faisaient passer pour le HM Revenue and Customs (HMRC). Les courriels comportent un logo légitime du HMRC et informaient les destinataires d’un nouveau programme de remboursement d’impôt COVID-19.
Selon les courriels, un programme de remboursement a été mis en place en coopération avec la National Insurance et les National Health Services pour permettre aux contribuables de demander un remboursement d’impôt et pour les aider à faire face à la pandémie de coronavirus. Afin de recevoir le remboursement, l’utilisateur devait fournir son nom, son adresse, le nom de jeune fille de sa mère et son numéro de carte bancaire.
Ces derniers jours, une campagne de distribution de malwares sur Internet a été identifiée. Plusieurs sites web affichent maintenant des cartes du monde et des tableaux de bord qui permettent aux gens de suivre la propagation du virus et de connaître l’emplacement des nouveaux cas.
Les gens sont naturellement préoccupés par les cas dans leur région, et les cartes des sites web attirent beaucoup de visiteurs.
Shai Alfasi, chercheur en sécurité à Reason Labs, a découvert plusieurs sites web utilisant de fausses versions des cartes et des tableaux de bord.
Les sites web incitent les utilisateurs à télécharger une application qui leur permet de suivre les infections en temps réel. L’application est un fichier exécutable qui implique le téléchargement du voleur d’informations AZORult.
Les infections COVID-19 ne cessent d’augmenter et les campagnes de phishing utilisant COVID-19 devraient donc se poursuivre. Les organisations doivent sensibiliser leurs employés à la menace des attaques de phishing utilisant COVID-19 et veiller à ce que des solutions techniques appropriées soient mises en œuvre pour bloquer les attaques sur le web et via le courrier électronique.
TitanHQ peut aider les utilisateurs, en fournissant des solutions de sécurité avancées pour le courrier électronique et le web afin de bloquer ces attaques. Si vous n’avez pas encore mis en place un filtre web ou une solution de sécurité du courrier électronique pour protéger vos comptes Office 365, c’est le bon moment pour commencer. Contactez TitanHQ dès aujourd’hui pour plus d’informations.
Dans ce dossier, nous allons examiner les enjeux en matière de sécurité du courrier électronique et du travail à domicile. Nous allons également vous proposer des conseils pour aider votre entreprise à assurer la protection de vos employés, de vos appareils et de vos réseaux informatiques.
Crise du Covid-19 et télétravail
La pandémie du coronavirus de 2019 a obligé de nombreux travailleurs à s’isoler chez eux afin de réduire le risque de contracter le COVID-19. Les entreprises sont contraintes de permettre à leurs employés de rester chez eux et d’utiliser des appareils personnels ou fournis par l’entreprise pour accéder à leurs réseaux et pour travailler à distance.
D’un autre côté, les cybercriminels modifient constamment leurs tactiques, leurs techniques et leurs procédures. Ils saisissent l’occasion offerte par le nouveau coronavirus, étant donné que les gens ont peur à cause du taux de mortalité élevé lié au COVID-19. De plus, le virus se propage comme un incendie de forêt.
Pour toutes ces raisons, les gens veulent des informations sur les situations réelles dans leur région. Ils veulent obtenir des conseils sur la façon de se protéger et des informations sur les traitements possibles.
Les cybercriminels sont conscients de cette situation et mènent des campagnes de phishing qui prétendent offrir toutes ces informations. De nombreuses campagnes ont maintenant été détectées de la part de nombreux groupes de menace différents qui tentent d’obtenir des identifiants de connexion et de diffuser des malwares.
Cybersécurité , Covid-19 et télétravail
Depuis le début du mois de janvier, lorsque les premières grandes campagnes ont été détectées, le volume d’e-mails contenant des informations concernant le coronavirus et le COVID-19 a considérablement augmenté.
Des campagnes sont menées en usurpant l’identité des autorités qui sont directement liés à lutte contre la pandémie, telles que l’Organisation mondiale de la santé (OMS), les Centers for Disease Control and Prevention (CDC) des États-Unis, le ministère américain de la santé et des services sociaux et d’autres organismes gouvernementaux.
Des courriers électroniques sur le thème COVID-19 sont envoyés à des travailleurs à distance. Ils usurpent l’identité des départements des ressources humaines pour avertir les victimes des cas qui ont été détectés au sein de l’organisation.
Des compagnies d’assurance santé ont également été victimes d’usurpation d’identité dans le cadre de campagnes qui incluent des factures pour la couverture COVID-19.
Depuis janvier, plus de 16 000 domaines liés au Coronavirus et au COVID-19 ont été enregistrés. Ils ont été utilisés pour héberger des kits de phishing et pour distribuer des malwares. Les chercheurs de CheckPoint Software ont indiqué que ces domaines ont 50 % de chances de plus d’être malveillants que les autres domaines enregistrés au cours de la même période.
Sécurité des emails dans le cadre du téléltravail
La sécurité de la messagerie électronique et du travail à domicile seront naturellement une préoccupation majeure pour les équipes informatiques, car le nombre de travailleurs à domicile ne cesse d’augmenter en raison de la pandémie du Coronavirus, tout comme le volume d’attaques qui sont actuellement menées contre les travailleurs à domicile.
Avec autant de dispositifs qui se connectent à distance aux réseaux de l’entreprise, les cybercriminels peuvent obtenir facilement les identifiants de connexion. De plus, il sera beaucoup plus difficile pour les équipes informatiques d’identifier les cybercriminels qui se connectent à distance à leur réseau informatique.
Heureusement, il existe des mesures qui peuvent être prises pour améliorer la sécurité de la messagerie électronique et du travail à domicile.
Vous devez vous assurer que vos employés ne peuvent se connecter à votre réseau et à vos services dans le cloud que par l’intermédiaire d’un réseau privé virtuel (VPN). Les VPN d’entreprise peuvent être configurés pour forcer tout le trafic à passer par le VPN afin de réduire le risque d’erreur. Assurez-vous que le VPN est configuré pour démarrer automatiquement dès que l’appareil est mis sous tension.
Il est essentiel que tous les travailleurs distants soient protégés par une solution de sécurité de la messagerie électronique robuste et efficace. Il n’est pas possible d’empêcher les cybercriminels de cibler les travailleurs distants, mais il est possible d’empêcher les menaces de phishing et de malwares d’atteindre leurs boîtes de réception.
Pour protéger vos employés contre les attaques de phishing et les malwares, il est essentiel de disposer d’une solution de sécurité avancée pour le courrier électronique. Si vous utilisez Office 365, ne comptez pas sur la sécurité du courrier électronique que ce logiciel vous propose.
Vous aurez besoin d’une protection plus importante que celle offerte par Exchange Online Protection pour vous protéger contre le phishing, le spear phishing et les menaces de type « zero day ».
SpamTitan dispose de multiples mécanismes de détection qui permettent d’identifier et de bloquer toute les attaques contre la messagerie électronique. SpamTitan intègre un SPF et un DMARC, des protocoles qui permettent d’assurer la protection contre les attaques par usurpation d’identité et des algorithmes d’apprentissage-machine et une technologie prédictive pour protéger votre entreprise contre les attaques de type « zero day ».
Il intègre également une solution de sécurité avancée contre le phishing, capable d’analyser les e-mails entrants en temps réel, un double moteur antivirus pour bloquer les menaces de malwares et une solution de sandboxing permettant d’analyser efficacement les pièces jointes suspectes.
En outre, SpamTitan comprend 6 RBL spécialisées. Il prend en charge les listes blanches, noires et grises, et intègre de multiples flux de renseignements sur les menaces cybercriminelles.
Il existe un risque accru de menaces d’initiés avec les travailleurs distants. Pour assurer la protection et prévenir les violations accidentelles des données, SpamTitan intègre un filtre de prévention des pertes de données. Il peut empêcher l’envoi par e-mail de numéros de carte de crédit, de numéros de sécurité sociale et d’autres types de données sensibles.
Aucune solution de sécurité du courrier électronique ne sera capable de bloquer à 100 % toutes les menaces lancées via le courrier électronique et à tout moment. Il est donc important d’organiser régulièrement des formations à la cybersécurité pour sensibiliser vos employés quant aux menaces de phishing.
Vous devez également leur apprendre à identifier un e-mail de phishing ou une escroquerie d’ingénierie sociale, et apprendre à vos employés distants comment réagir en cas de menace.
Les exercices de simulation de phishing sont également utiles pour déterminer quels employés ont besoin d’une formation supplémentaire et pour identifier les éventuelles lacunes dans vos programmes de formation. Bien entendu, vous devez faire des mises à jour de la formation de base en matière de sécurité informatique pour vous assurer que vos employés savent ce qui peut et ne peut pas être fait avec leurs équipements de travail.
L’authentification multifactorielle doit être mise en œuvre sur toutes les applications et tous les comptes de messagerie électronique afin d’assurer une protection en cas de compromission d’un compte. Si des identifiants sont volés et utilisés à partir d’un endroit inconnu ou d’un dispositif inconnu, un deuxième facteur d’authentification devrait donc être fourni avant que l’accès ne soit accordé. Enfin, assurez-vous que les macros sont désactivées sur tous les appareils des utilisateurs, à moins qu’un utilisateur spécifique n’ait besoin d’en utiliser pour son travail.
Pour en savoir plus sur la manière dont vous pouvez améliorer la sécurité de la messagerie électronique pour vos travailleurs distants, appelez l’équipe de TitanHQ dès aujourd’hui. Nous pouvons organiser une séance démonstration pour que vous puissiez voir SpamTitan en action. Vous pouvez également vous inscrire à un essai gratuit pour mettre SpamTitan à l’épreuve dans votre propre environnement.
Le cheval de Troie TrickBot est un cheval de Troie bancaire sophistiqué qui a été identifié pour la première fois en 2016. Si, à l’origine, le malware cherchait à voler des informations telles que les références bancaires en ligne, il a considérablement évolué au cours des quatre dernières années. Plusieurs modules ont été ajoutés, fournissant une foule de capacités malveillantes supplémentaires à TrickBot.
Les capacités du cheval de Troie à voler des informations ont été considérablement améliorées. En plus des références bancaires, il peut désormais voler des données sur le système et le réseau, des identifiants de connexion à des comptes de messagerie électronique et des données fiscales et de propriété intellectuelle.
TrickBot est capable de se déplacer latéralement et d’infecter silencieusement d’autres ordinateurs sur le réseau. Pour ce faire, il utilise des utilitaires Windows légitimes et le kit d’exploitation EternalRomance pour exploiter les machines présentant des vulnérabilités au niveau du service SMBv1 de Windows.
Le malware peut également ajouter une porte dérobée pour avoir un accès persistant à un serveur afin de télécharger des malwares et d’autres charges utiles malveillantes, y compris le ransommware Ryuk.
Le cheval de Troie est fréquemment mis à jour et de nouvelles variantes sont régulièrement publiées. Son infrastructure de commandement et de contrôle est également en constante évolution. Selon une analyse de Bitdefender, plus de 100 nouvelles adresses IP sont y sont ajoutées chaque mois, dont chacun a une durée de vie d’environ 16 jours.
Le malware et son infrastructure sont très sophistiqués et, bien que des mesures aient été prises pour les démanteler, les attaquants parviennent toujours à garder une longueur d’avance sur les concepteurs de systèmes de sécurité.
TrickBot est principalement distribué via des spams, par l’intermédiaire du réseau de botnet Emotet. L’infection par Emotet entraîne le téléchargement de TrickBot.
L’infection par TrickBot entraîne ensuite l’ajout d’un ordinateur au réseau de zombies Emotet. Une fois que toutes les informations utiles ont été obtenues d’un système infecté, le bâton est passé aux opérateurs de Ryuk ransomware, lesquels pourront alors accéder au système.
Une analyse récente d’une variante détectée par Bitdefender le 30 janvier 2020 a montré qu’une autre méthode de distribution a été ajoutée à l’arsenal de TrickBot. Le cheval de Troie dispose désormais d’un module des attaques par force brute sur le protocole Remote Desktop (RDP).
Les attaques par force brute RDP sont principalement menées contre les organisations qui interviennent dans les secteurs des services financiers, de l’éducation et des télécommunications. Elles visent actuellement des organisations aux États-Unis et à Hong Kong, bien qu’il soit probable que les attaques s’étendent géographiquement dans les prochaines semaines.
Elles sont menées pour voler la propriété intellectuelle et les informations financières.
Comme le cheval de Troie TrickBot est modulaire, il peut être constamment mis à jour avec de nouvelles fonctionnalités. L’évolution du malware jusqu’à présent et son taux de succès signifient qu’il continuera à être une menace pendant un certain temps. Heureusement, il est possible de prévenir les infections en appliquant une bonne cyber-hygiène.
Le spam reste le principal mode de diffusion des chevaux de Troie Emotet et TrickBot. Pour les contrer, il est donc indispensable de mettre un filtre antispam avancé.
Étant donné que de nouvelles variantes seront constamment diffusées, les méthodes de détection basées sur les signatures ne suffisent plus à elles seules.
SpamTitan intègre une sandbox alimentée par Bitdefender qui permet d’analyser les pièces suspectes jointes aux e-mails. Le sandboxing permet de détecter les éventuelles activités malveillantes et de garantir qu’elles (et que les nouvelles variantes de malwares jamais vues auparavant) sont identifiéee. Il garantit également que les e-mails suspects sont mis en quarantaine avant qu’ils ne puissent causer aucun dommage.
Si vous n’avez pas besoin du protocole RDP, assurez-vous qu’il est désactivé. Si vous en avez besoin, assurez-vous que l’accès est restreint et que des mots de passe forts sont définis. Utilisez la limitation d’accès pour bloquer les tentatives de connexion après un certain nombre d’échecs et assurez-vous qu’une authentification multifactorielle est mise en œuvre pour empêcher l’utilisation des identifiants volés.
Pour plus d’informations sur SpamTitan Email Security, et pour savoir comment vous pouvez améliorer vos défenses contre les attaques lancées via la messagerie électronique et via le web, contactez l’équipe de TitanHQ dès aujourd’hui.
La ville et le comté de Durham en Caroline du Nord ont subi une attaque de ransomware qui les a tous deux paralysés. L’attaque a commencé le 6 mars en fin de soirée, ce qui est courant pour les attaques de ransomware.
En réalité, la plupart des attaques de ransomware ont lieu le soir et le week-end, lorsqu’il y a moins de chances que le chiffrement des fichiers soit détecté.
Attaque contre la municipalité de Durham en Caroline du Nord
Deux attaques distinctes ont eu lieu simultanément. Une action rapide du département informatique a permis de contenir l’attaque, mais pas à temps pour empêcher l’infection d’environ 80 serveurs. Ces serveurs ont été chiffrés et ont dû être reconstruits, tandis qu’environ 1 000 ordinateurs ont dû être réinstallés.
Les cybercriminels disposent de nombreux moyens pour accéder aux réseaux d’entreprises afin de déployer des malwares, mais la messagerie électronique est le vecteur d’attaque le plus courant. La plupart des cyberattaques commencent par un e-mail de phishing et celle qui s’est produite à Durham n’était pas différente.
Le ransomware Ryuk a été utilisé pour chiffrer des fichiers sur le réseau afin d’extorquer de l’argent à la ville et au comté de Durham. Une demande de rançon a été émise qui, selon l’étendue du chiffrement, était estimée entre plusieurs milliers et plusieurs millions d’euros.
Toutefois, cette phase de l’attaque n’était que la partie la plus visible et la plus perturbatrice, car l’attaque a commencé beaucoup plus tôt.
Comment fonctionne le ransomware Ryuk ?
Le ransomware Ruyk est fourni par le cheval de Troie TrickBot, un voleur d’informations qui est devenu plus tard un téléchargeur de malwares. Une fois installé sur un appareil connecté à un réseau, TrickBot effectue une reconnaissance, se déplace latéralement et s’installe sur d’autres ordinateurs du réseau.
Lorsque toutes les informations utiles ont été trouvées et exfiltrées, un tunnel inversé ou « reverse shell » s’ouvre et les opérateurs de malwares disposent désormais l’accès aux différents systèmes. Les malwares se déplacent alors latéralement et téléchargent leur charge utile de ransomware sur le plus grand nombre possible d’appareils connecté au réseau.
TrickBot est téléchargé par le malware Emotet, un botnet notoire. Emotet, quant à lui, est livré par le biais de la messagerie électronique. Les campagnes d’Emotet ont utilisé une combinaison de documents Microsoft Office intégrant des macros malveillantes qui entraînent le téléchargement de la charge utile du malware et des hyperliens vers des sites web où le malware est téléchargé.
TrickBot peut également être diffusé directement via des spams. Ce trio de variantes de malwares peut causer des dommages considérables. Et même si la rançon n’est pas payée, les pertes peuvent être considérables. Entre autres, ces chevaux de Troie peuvent voler une quantité importante d’informations sensibles, notamment des identifiants de connexion à des comptes de messagerie électronique, des données bancaires, des informations fiscales et la propriété intellectuelle.
Pour notre cas, sept ordinateurs semblaient avoir été compromis lors de la première phase de l’attaque lorsque certains employés ont répondu à des e-mails de phishing.
Comment se protéger contre le ransomware Ryuk ?
La clé pour contrer de telles attaques est de mettre en place des défenses à plusieurs niveaux capables de bloquer l’attaque initiale. Cela signifie qu’une solution avancée de filtrage du spam est nécessaire pour bloquer les premiers e-mails de phishing.
Il importe également de fournir régulièrement des formations aux utilisateurs finaux sur la sécurité web afin qu’ils puissent identifier les e-mails malveillants qui arrivent dans leurs boîtes de réception.
En outre, il faut appliquer l’authentification multifactorielle pour empêcher l’utilisation des identifiants de connexion volés et empêcher donc les pirates d’accéder aux comptes de messagerie des utilisateurs finaux.
Enfin, il convient de déployer des solutions de sécurité des points finaux pour détecter les malwares qui pourraient être téléchargés par inadvertance par les utilisateurs finaux.
Vous voulez en savoir plus sur la protection de vos systèmes contre le phishing et les attaques de malwares ? Vous voulez connaître la manière dont un faible coût mensuel par utilisateur peut empêcher une cyberattaque extrêmement coûteuse ? Appelez l’équipe de TitanHQ dès aujourd’hui.
Force est de constater que le nombre de personnes travaillant à domicile est plus élevé que jamais et qu’il augmente rapidement en raison de la pandémie du coronavirus.
Aujourd’hui, nous allons examiner certains des principaux défis de la cybersécurité pour le travail à distance et nous allons suggérer aux directeurs des systèmes d’information (DSI) et aux responsables informatiques des moyens de réduire les risques liés à la cybercriminalité, de sécuriser leurs réseaux et de protéger leurs employés.
Le COVID-19 et le travail à distance
Même en l’absence de pandémie, un nombre croissant de personnes travaillent déjà à domicile pendant au moins une partie de la semaine.
Selon une étude menée par International Workplace Group en 2018, 50 % des employés passent au moins deux jours et demi par semaine à travailler à domicile et 70 % le font au moins un jour par semaine.
La pandémie du coronavirus est en train de changer rapidement cette situation. Les gouvernements du monde entier recommandent aux gens de travailler à domicile s’ils le peuvent et beaucoup veulent le faire pour réduire le risque de contracter la COVID-19.
Comme la pandémie devrait durer au moins plusieurs mois, il est peu probable que la situation change de sitôt. Les entreprises subiront une pression croissante pour que leurs employés puissent travailler à domicile.
Les défis de la cybersécurité pour le travail à distance
Pour de nombreuses entreprises, le fait de devoir autoriser un grand nombre d’employés à travailler à domicile dans un délai très court a été un choc majeur.
Les mesures de quarantaine et les distances sociales exigées en réponse à la pandémie du coronavirus ont obligé les entreprises, leurs DSI et leurs équipes informatiques à réagir en très peu de temps (plutôt que d’assurer une transition progressive) pour se préparer et relever les défis de la cybersécurité en matière de travail à distance.
Certains employés qui travaillent déjà à domicile se sont déjà familiarisés avec les mesures à prendre pour accéder aux réseaux et aux applications de travail en toute sécurité depuis leur domicile.
Mais pour un grand nombre d’employés, ce sera la première fois. Ils doivent donc être formés et sensibilisés aux risques supplémentaires que cela représente et doivent apprendre comment accéder aux systèmes de travail à distance et les mesures à prendre pour travailler à distance en toute sécurité.
Des mesures doivent être envisagées pour réduire les dommages pouvant être causés au cas où vos employés perdraient leurs appareils.
En effet, le risque de vol d’appareils augmente considérablement lorsque le matériel informatique de l’entreprise sort de ses locaux.
Et même si vos employés ne s’aventurent pas hors de leur maison pour se rendre dans les cybercafés, l’environnement domestique n’est pas aussi sûr que celui au bureau.
Le cyberslacking risque d’augmenter considérablement lorsque les travailleurs ne sont pas directement supervisés en raison du travail à domicile. Le cyberslacking étant le fait pour un employé de se laisser distraire par la technologie sur son lieu de travail.
Cela peut être généralement dû à l’utilisation personnelle et non professionnelle de l’internet. Cette situation peut affecter la productivité de vos employés et peut donc devenir un réel problème pour votre entreprise.
Le risque de menaces internes augmente également avec les travailleurs à distance. Des mesures doivent donc être prises pour réduire les possibilités de fraude et de vol de données. Le fait est qu’il est relativement facile pour les organisations de gérer efficacement les risques lorsque les utilisateurs sont connectés à des réseaux internes lorsqu’ils travaillent au bureau.
Faire de même lorsque la plupart des employés travaillent à distance est une toute autre affaire. À mesure que les attaques se multiplient, l’atténuation des risques et la protection contre les cybermenaces deviennent un défi majeur.
L’authentification pose également des problèmes. Une personne connue peut tenter de se connecter au réseau, mais il devient plus difficile de déterminer si cette personne est bien celle qu’elle prétend être. Les mesures d’authentification doivent alors être renforcées.
De nombreuses entreprises seront confrontées au problème du manque d’appareils permettant aux travailleurs de travailler à distance sur des appareils fournis par l’entreprise.
En conséquence, elles sont souvent contraintes d’autoriser leurs employés à utiliser leurs propres équipements. Il est peu probable que ces appareils personnels bénéficient du même niveau de protection que ceux appartenant à l’entreprise.
En outre, il est beaucoup plus difficile de contrôler ce que les employés font sur ces appareils et donc de les protéger contre le téléchargement puis la diffusion de malwares sur le réseau de l’entreprise.
Le risque d’informatique parallèle est également plus élevé lorsque les travailleurs sont à domicile. Ceci est favorisé par le téléchargement d’applications et l’utilisation d’outils non autorisés. En effet, des vulnérabilités peuvent être introduites et facilement être exploitées par les cybercriminels.
Il y a également le problème de l’accès d’un grand nombre de personnes au réseau de travail de l’entreprise à l’aide de réseaux privés virtuels (VPN).
Les systèmes mis en place peuvent ne pas être en mesure de faire face à ce nombre accru, ce qui signifie que les travailleurs ne pourront pas se connecter et travailler à partir de leur domicile.
Ainsi, les services informatiques doivent veiller à ce que la bande passante et les licences soient suffisantes pour les solutions VPN. Par ailleurs, ces VPN doivent être mis à jour et faire l’objet de correctifs.
Ce ne sont là que quelques-uns des nombreux défis de la cybersécurité pour le travail à distance. En réalité, la liste des problèmes de sécurité est très longue.
Les cybercriminels profitent d’une énorme opportunité
Les cybercriminels changent constamment de tactique pour attaquer les entreprises et la pandémie du coronavirus leur offre d’énormes opportunités. Il n’est donc pas surprenant qu’ils en profitent.
Récemment, des campagnes de phishing ont été lancées, profitant de la peur du coronavirus. Ces campagnes se sont considérablement intensifiées à mesure que la crise du COVID-19 s’est aggravée.
Les sujets liés aux termes coronavirus et COVID-19 sont utilisés comme des leurres pour le phishing et les e-mails sur le thème de COVID sont utilisés pour distribuer des malwares.
Les cyberattaques exploitant les vulnérabilités des VPN sont également en augmentation.
Face à l’aggravation de la crise du COVID-19 et l’application des mesures de sécurité, les entreprises seront contraintes de faire travailler davantage de travailleurs à domicile et les cyberattaques continueront probablement à se multiplier.
Étant donné que la fermeture temporaire ou définitive d’une entreprise n’est tout simplement pas une option pour la plupart des entreprises, il sera bientôt essentiel de relever les défis de la cybersécurité pour le travail à distance.
Comment relever les défis de la cybersécurité pour le travail à distance ?
Il sera probablement difficile de relever les défis de la cybersécurité pour les travailleurs à domicile. Voici tout de même quelques-unes des mesures qui devraient être prises pour mieux s’y préparer.
Lorsque vous créez de nouveaux comptes pour les travailleurs à domicile, assurez-vous que des mots de passe forts sont définis et utilisez le principe du moindre privilège pour réduire les risques.
Activez l’authentification à deux facteurs.
Veillez à ce que les travailleurs puissent se connecter via des réseaux privés virtuels et à ce que les licences et la bande passante soient suffisantes.
Veillez à ce que le logiciel VPN soit mis à jour et que la dernière version soit installée. Assurez-vous également que des procédures sont mises en place pour maintenir le logiciel à jour.
Envisagez de désactiver les ports USB pour empêcher l’utilisation de dispositifs de stockage portables. Cela réduira le risque d’infection par des malwares et le risque de vol de données.
Veillez à ce que les dispositifs portables soient protégés par un système de chiffrement. Utilisez des solutions logicielles qui verrouillent les dispositifs en cas de vol ou qui permettent d’effacer les données contenus dans les dispositifs distants.
Veillez à mettre en place des canaux de communication permettant aux travailleurs à distance de collaborer, tels que les téléconférences, les systèmes de chat, les plateformes de partage de documents et les applications SaaS. Par ailleurs, assurez-vous que les employés savent ce qui peut et ne peut pas être partagé via des applications de chat telles que Slack et Google Chat.
Veillez à ce que le personnel soit formé aux nouvelles applications et à l’utilisation des réseaux privés virtuels, et qu’il soit conscient des risques supplémentaires liés au travail à distance. Formez les travailleurs à distance sur la manière d’identifier le phishing et les autres menaces cybercriminelles.
Veillez à ce que des politiques et des procédures soient mises en place pour signaler les menaces aux équipes de sécurité informatique. Informez les employés sur la procédure à suivre s’ils pensent être victimes d’une escroquerie.
Mettez en place un filtre DNS qui empêche les employés d’accéder à des sites web à haut risque via les appareils fournis par l’entreprise et qui bloque les téléchargements des fichiers à risque.
Veillez à ce que des contrôles de sécurité de la messagerie électronique soient mis en place pour bloquer les attaques de phishing et pour détecter et mettre en quarantaine les menaces de malwares.
Comment TitanHQ peut aider votre entreprise à protéger les travailleurs à distance et les appareils qu’ils utilisent ?
TitanHQ a développé deux solutions de cybersécurité qui peuvent aider les entreprises à protéger leurs travailleurs à distance et leurs réseaux contre les menaces liées à la messagerie électronique et au web. Basées à 100 % dans le cloud, ces solutions sont tout aussi efficaces pour les employés travaillant à distance que pour les employés de bureau.
SpamTitan Cloud est une puissante solution de sécurité de la messagerie électronique qui dispose de capacités avancées pour détecter les menaces connues, le phishing du type « zero day », le spear phishing, les malwares, les réseaux de botnets et les ransomwares. La solution garantit que les e-mails malveillants n’atteignent jamais les boîtes de réception de vos employés.
SpamTitan Cloud peut également scanner les e-mails sortants afin de détecter les tentatives de spamming et de distribution de malwares et pour améliorer la protection contre les menaces internes, et ce, grâce à des balises pour les données sensibles.
WebTitan Cloud est une solution de filtrage DNS qui offre une protection contre les attaques basées sur le web pour les utilisateurs travaillant sur le réseau de l’entreprise ou à distance.
Comme il s’agit d’une solution basée dans le cloud, il n’est pas nécessaire d’acheminer le trafic vers le serveur local de votre entreprise pour appliquer les contrôles de filtrage. Comme le filtre est également basé sur le DNS, il permet de fournir un accès Internet sûr et filtré, sans aucune latence.
Des contrôles peuvent facilement être appliqués pour restreindre l’accès à certains types de sites web ; pour empêcher le cyberslacking ; pour bloquer les menaces de cybersécurité et les téléchargements de malwares.
Ces deux solutions sont faciles à mettre en œuvre. Elles ne requièrent aucune installation de matériels et logiciels supplémentaires et peuvent être configurées pour protéger vos employés en quelques minutes. Elles sont également disponibles en version d’essai gratuite si vous souhaitez évaluer les solutions avant de vous engager dans un achat.
Pour plus d’informations sur SpamTitan Cloud Email Security et WebTitan Cloud DNS filtering, et pour découvrir comment ces solutions peuvent vous aider à protéger votre entreprise et vos travailleurs à distance en cette période extrêmement difficile, appelez l’équipe de TitanHQ dès aujourd’hui.
