Les systèmes scolaires sont censés être des environnements sûrs où les enfants peuvent venir apprendre. Malheureusement, les cybercriminels ont autre chose à dire à ce sujet. Actuellement, un district scolaire américain est victime d’une cyberattaque presque tous les trois jours. Dans un rapport publié par Malwarebytes, « 2019 State of Malware », l’éducation, la fabrication et la vente au détail étaient les principales industries touchées par les chevaux de Troie.
L’éducation était en fait l’une des principaux secteurs les plus touchées par Emotet, le cheval de Troie le plus répandu et le plus insaisissable. Selon le fournisseur de pare-feu, Fortinet, l’éducation est aussi le secteur le plus ciblé par les demandeurs de rançon. 13 % des établissements d’enseignement ont subi des attaques de ransomwares à un moment donné.
Comment se fait-il que les systèmes scolaires soient exploités si facilement et si fréquemment ? Le fait est que les établissements scolaires de la maternelle à la terminale sont actuellement confrontés à des défis de taille. Voici quelques-uns des principaux défis auxquels les systèmes scolaires sont confrontés.
Les établissements scolaires ne sont pas assez réactifs face à l’explosion des cybermenaces
La mission des établissements scolaires est d’éduquer les enfants. L’objectif du département informatique des établissements scolaires est de soutenir la technologie sur laquelle les enseignants comptent. Traditionnellement, cela signifie qu’il faut déployer et soutenir des dispositifs informatiques pour le personnel et les élèves et s’assurer que les projecteurs de classe fonctionnent correctement.
Ce n’est pas une seconde nature pour le personnel des établissements scolaires de commencer sa journée à rechercher les menaces à la sécurité. Ce n’est pas une mauvaise chose. Cela s’explique en grande partie par le fait que l’accent est mis sur l’éducation des enfants. Une enquête publiée par la National School Boards Association a révélé que les responsables scolaires sont moins préparés aux cyberattaques que leurs pairs des entreprises du secteur privé.
Dans une enquête récente sur les CTO K12, plus de 70 pour cent ne considèrent pas les cyberattaques telles que les atteintes à la protection des données, les logiciels de rançon ou les attaques par déni de service comme des menaces graves. Les bonnes nouvelles de la même étude ont toutefois montré que plus de la moitié d’entre eux considèrent maintenant les escroqueries de phishing comme un problème important et que l’accent est mis sur la sécurité du courrier électronique.
Contraintes budgétaires en matière de technologie de l’information
Selon le Consortium for School Networking (CoSN), la principale barrière pour 6 des 7 dernières années est la contrainte budgétaire. Bien que toutes les entreprises et organisations aient des budgets qu’elles doivent respecter, les budgets sont beaucoup plus restreints que ceux du secteur privé. C’est parce que les budgets sont fondés sur des estimations des recettes fiscales. Il n’y a pas de caisse noire importante sur laquelle se tourner pour acheter un système de sécurité imprévu au besoin. De plus, les recettes fiscales fluctuent en fonction des cycles économiques de la région. En période de prospérité économique, les districts peuvent profiter d’importantes rentrées fiscales et maximiser leurs achats d’appareils et de technologies éducatives. Puis, lorsqu’un ralentissement économique se produit, l’argent nécessaire pour sécuriser et entretenir correctement ces appareils n’est pas disponible. La technologie qui n’appuie pas l’enseignement est souvent mise en veilleuse jusqu’à ce que les temps s’améliorent.
Insuffisance du personnel informatique et de sécurité de l’information
Soyons réalistes, la plupart des districts scolaires n’ont pas le personnel nécessaire pour protéger suffisamment leurs grands réseaux. Cela s’explique en grande partie par des contraintes budgétaires. Il est déjà assez difficile pour les grands districts métropolitains d’obtenir le personnel dont ils ont besoin, alors que certains districts ruraux doivent compter sur le personnel à temps plein qui connaît le mieux la technologie. Quand il s’agit de cybersécurité, c’est encore pire. Selon une enquête CoSN de l’année dernière, seulement 25 % des établissements scolaires ont un membre du personnel à plein temps dédié à la sécurité des réseaux. Dans les écoles rurales, ce chiffre tombe à seulement 8 %.
Shadow IT
Le Shadow IT est un problème pour tous les types d’organisations en raison de la consumérisation de l’informatique. Il n’est pas rare que les administrateurs scolaires ou les enseignants fassent des achats de technologie sans le consentement ou même sans que le département de technologie du système en soit informé. Dans ces cas, les équipements et les logiciels sont achetés avec peu ou pas d’égard pour la cybersécurité. Certains enseignants apportent leur propre équipement technologique personnel, comme des imprimantes, des appareils informatiques et des points d’accès WiFi. Parce que ces appareils ne sont pas prêts pour l’entreprise, ils n’ont souvent pas les normes de sécurité requises pour les réseaux qui sont activement ciblés par les cybercriminels. Naturellement, il est impossible pour le personnel technologique interne de protéger ce qu’il ne connaît pas.
Infrastructure patrimoniale
Là encore, en raison de contraintes budgétaires, de nombreux systèmes scolaires ne disposent pas des technologies les plus récentes. Il n’est pas rare de trouver des appareils de classe utilisant des systèmes d’exploitation obsolètes tels que Windows XP ou des logiciels qui ne sont plus supportés du tout. Ces dispositifs ne sont pas corrigés lorsque des vulnérabilités sont découvertes. Les serveurs et les périphériques réseau obsolètes tels que les routeurs et les pare-feu sont souvent en proie à des protocoles de sécurité obsolètes qui offrent une protection minimale sinon nulle.
Manque de sensibilisation et de formation en matière de sécurité
Pour beaucoup d’enseignants, il n’y a pas assez de temps dans la journée. Les enseignants et le personnel doivent déjà jongler avec leur temps pour le personnel professionnel et la formation pédagogique. Le personnel informatique est surchargé dans tout le district et soutient tout le monde et leurs appareils. Et puis, bien sûr, il y a les étudiants. Étant donné qu’un si grand nombre de districts mettent maintenant en œuvre des programmes d’appareils individuels, les jeunes élèves des écoles intermédiaires et élémentaires utilisent des ordinateurs. Bien sûr, personne ne peut s’attendre à ce qu’ils pratiquent une bonne cyberhygiène à un si jeune âge. Tout cela rend la formation des utilisateurs pour qu’ils soient conscients de la sécurité extrêmement difficile.
Partout aux États-Unis, les districts K12 se démènent pour se protéger contre les cyberattaques, qui prennent la forme de courriels hameçons, de logiciels malveillants et d’atteintes à la protection des données. En fin de compte, ce sont tous des défis, et les défis ne sont pas des limites permanentes. Être prêt à faire face à ces menaces comprend l’élaboration et la promotion de politiques sur l’utilisation responsable, le stockage sécurisé des données, la mise en œuvre d’une sécurité et de sauvegardes complètes par couches du courrier électronique et du Web. Les défis peuvent être surmontés et les districts commencent à trouver des moyens d’accomplir le travail, malgré les épreuves et les circonstances uniques que d’autres types d’organisations n’ont pas à endurer.
Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’école, des élèves et du personnel sont protégés ? Parlez à un spécialiste ou envoyez-nous un courriel à info@titanhq.fr pour toute question.
La lutte contre Locky et Samas a certainement été un casse-tête majeur pour les services informatiques. Ces deux variantes de ransomware ont été dotées de fonctions intelligentes conçues pour prévenir leur détection, pour faire croître les infections et pour infliger le plus de dommages possible, ne laissant souvent aux entreprises que le choix de payer la rançon.
Cependant, une nouvelle menace de ransomware est apparue, et elle pourrait bien être encore plus menaçante que Locky et Samas : Spora. Heureusement, ses auteurs semblent ne cibler que les utilisateurs russes, mais il est fort possible qu’ils changent de cibles. Une version russe du ransomware a été utilisée jusqu’à présent pour mener des attaques cybercriminelles, mais une version anglaise vient d’être créée. Les attaques de ransomware Spora seront bientôt un problème mondial.
Les pirates informatiques ont passé une grande partie de leur temps et ont concentré leurs efforts à la production de Spora et il est peu probable qu’une clé de déchiffrement soit créée en raison de la façon dont ce ransomware chiffre les données.
Contrairement à de nombreuses nouvelles attaques de ransomware qui dépendent d’un serveur de commande et de contrôle pour recevoir les instructions, Spora peut chiffrer les fichiers même si l’utilisateur est hors ligne. La fermeture de l’accès à Internet n’arrêtera pas l’infection. Il n’est pas non plus possible de restreindre l’accès au serveur C&C pour se protéger de cette attaque.
D’autres variantes de ransomwares ont été créées pour chiffrer les fichiers sans communication C&C, mais une seule clé permettait de les déchiffrer. Par contre, pour déchiffrer les fichiers infectés par Spora, les victimes doivent utilisent une clé de déchiffrement unique. Une clé publique RSA codée en dur est utilisée pour créer une clé AES unique pour chaque utilisateur. La clé AES est ensuite utilisée pour chiffrer la clé privée d’une paire de clés RSA publique/privé établie avec chaque victime, sans communication C&C. Par ailleurs, la clé RSA chiffre les clés AES séparées pour chaque utilisateur. Sans cette clé, qui est fournie par les pirates, la victime ne pourra pas déverrouiller les fichiers.
Ce processus de chiffrement complexe rend Spora unique, et ce n’est pas tout ! Contrairement à de nombreuses autres variantes de ransomwares, les pirates ne fixent pas le montant de la rançon. Cela donne aux pirates un certain degré de flexibilité et, ce qui est encore plus inquiétant, c’est que ce processus se produit automatiquement.
De par cette flexibilité, chaque entreprise victime de l’attaque peut se voir facturer un montant différent. L’ensemble de la rançon est calculé en fonction de l’étendue de l’infection et des types de fichiers chiffrés. Puisque Spora recueille des données sur l’utilisateur, lorsque le contact est établi pour payer la rançon, les montants peuvent facilement être modifiés.
Lorsque les victimes visitent le portail du pirate pour payer la rançon, elles doivent fournir le fichier clé infecté par le ransomware. Les fichiers clés contiennent une série de données sur l’utilisateur, y compris les détails de la campagne utilisée. Les hackers peuvent donc surveiller de près les infections et les campagnes. Ils peuvent ensuite réutiliser les campagnes qui réussissent et qui donnent lieu à un plus grand nombre de paiements pour atteindre d’autres cibles. Celles qui sont moins efficaces sont mises à l’oubli.
À l’heure actuelle, il existe un certain nombre d’options de paiement. Les victimes peuvent choisir de payer la rançon pour déverrouiller le chiffrement, ou de payer un montant supplémentaire pour éviter de futures attaques, en bénéficiant essentiellement d’une sorte d’immunité contre le ransomware.
Les experts d’Emisoft qui ont analysé Spora affirment qu’il est loin d’être une variante qui a été mise au point à la va-vite. Le groupe qui l’a conçu est très bien informé et le processus de chiffrement ne contient aucune faille, ce qui est rare pour une nouvelle variante de ransomware. La conception de la demande de rançon est écrite dans un format HTML. Le portail de paiement est très sophistiqué et contient une option de chat pour permettre la communication avec les hackers. La grande complexité de cette attaque est le fruit de beaucoup d’investissements et d’un travail acharné. De plus, il est peu probable que cette menace disparaisse rapidement. En fait, elle pourrait s’avérer l’une des menaces les plus graves à l’avenir.
L’infection se produit actuellement par le biais de spams contenant des pièces jointes ou des liens malveillants. Actuellement, les pièces jointes ressemblent à des factures PDF, bien qu’il s’agisse de fichiers HTA incluant du code JavaScript. La meilleure défense, c’est donc d’empêcher ces e-mails d’arriver dans les boites de réception des utilisateurs finaux. Une sauvegarde de vos données sera également nécessaire pour vous permettre de récupérer vos informations sensibles, plutôt que de payer la rançon.
Des pirates ont utilisé les emails de phishing qui distribuent le ransomware WannaCry pour mener des attaques cybercriminelles à l’échelle mondiale.
Une campagne d’emails a été découverte au Royaume-Uni, visant les clients de la marque BT (anciennement British Telecom). Les hackers ont été capables d’usurper des noms de domaines de BT pour rendre leurs emails de phishing très réalistes. Ils ont utilisé le logo BT et bien conçu les messages. Ceux-ci prétendaient avoir été envoyés par Libby Barr, responsable des ventes et du service à la clientèle chez BT. Les emails semblaient donc authentiques et ils étaient parvenus à tromper de nombreux clients.
Les emails affirment que BT souhaite améliorer sa sécurité informatique, notamment contre la campagne de ransomwares qui a touché plus de 300 000 ordinateurs dans 150 pays le 12 mai 2017. Au Royaume-Uni, 20 % des NHS (Service national de santé) ont été touchées par cet incident. Ils ont vu leurs données chiffrées et leurs services gravement endommagés par les attaques de ransomware. Si votre organisation est basée au Royaume-Uni, il vous serait extrêmement difficile d’éviter ces attaques et d’en subir les dommages qu’elles ont infligés.
Les emails de phishing qui distribuent WannaCry incitent les clients de BT à agir rapidement. En effet, ils proposaient une mise à niveau de sécurité pour empêcher les utilisateurs d’être victimes des attaques de ransomwares. Les emails affirment que, pour protéger les données sensibles des clients, l’accès à certaines fonctions a été désactivé sur les comptes BT. Ces derniers sont donc informés que, pour restaurer toutes les fonctionnalités, ils doivent confirmer la mise à niveau de sécurité en sélectionnant la case de mise à niveau contenue dans l’email.
Bien entendu, si la victime ouvre le lien, cela n’entraînera pas l’application d’une mise à jour de sécurité. Au lieu de cela, ils sont tenus de partager leurs identifiants de connexion avec les hackers.
D’autres emails de phishing utilisant WannaCry sont susceptibles d’être envoyés par d’autres fournisseurs de services aux intentions malveillantes. Des campagnes similaires pourraient être utilisées pour installer discrètement des malwares ou des ransomwares.
Les pirates informatiques profitent souvent des actualités internationales qui suscitent beaucoup d’intérêt dans les médias pour mener des attaques. Il y avait par exemple beaucoup de spams envoyés sur le thème des Jeux olympiques au cours de cet évènement. Les emails de phishing étaient également répandus pendant les élections présidentielles américaines, la Coupe du monde et l’épidémie du virus Zika.
Il est essentiel de ne jamais cliquer sur des liens envoyés par emails et par des personnes que vous ne connaissez pas. Vous devriez également être extrêmement prudent lorsque vous visitez des liens envoyés par des personnes que vous connaissez et supposez toujours que les messages électroniques que vous recevez pourraient toujours être un email de phishing ou malveillant.
Un seul email de phishing envoyé à un membre de votre personnel peut entraîner une atteinte à la protection des données ou une atteinte à votre réseau informatique. Il est donc crucial que les employeurs soient prudents. Vos employés devraient recevoir une formation de sensibilisation au phishing et apprendre à adopter les mesures nécessaires lorsqu’ils se doutent de l’authenticité des messages qu’ils reçoivent.
Vous devriez également mettre en place une solution avancée de filtrage du spam pour empêcher la plupart des emails de phishing d’arriver dans les boîtes de réception de vos employés. TitanHQ est là pour vous aider dans cette démarche. Contactez notre équipe dès maintenant pour voir comment notre solution de filtrage des emails, SpamTitan, peut protéger votre entreprise contre le phishing, les malwares et les ransomwares.
Les cybercriminels utilisent SharePoint pour envoyer des documents malveillants aux entreprises au Royaume-Uni. Cette tactique a permis à de nombreux e-mails de contourner les défenses de sécurité de la messagerie électronique et d’arriver dans les boîtes de réception des employés.
La campagne semble cibler les entreprises du secteur des services financiers et vise à obtenir des informations d’identification Office 365 des victimes et des combinaisons de nom d’utilisateur et de mot de passe des fournisseurs de services de messagerie. Ces informations d’identification peuvent être utilisées pour accéder à des informations sensibles dans les comptes de messagerie et dans les systèmes de stockage dans le cloud comme OneDrive.
Lors de la dernière campagne, le pirate informatique a utilisé un compte de messagerie compromis d’un cabinet d’avocats de Londres pour envoyer des e-mails aux employés d’entreprises du secteur des services financiers. L’attaquant a utilisé SharePoint pour envoyer une demande de révision d’un document. Pour visualiser le document, l’utilisateur doit cliquer sur un lien intégré dans l’e-mail.
Si l’utilisateur clique sur le lien, il est dirigé vers SharePoint et vers une autre URL malveillante où il sera invité à télécharger un document OneNote. Pour télécharger le document, il doit saisir ses identifiants de connexion.
Puisque l’URL initiale utilise le nom de domaine SharePoint, de nombreuses solutions de sécurité de messagerie ne parviennent pas à identifier le lien comme malveillant. Des tactiques similaires ont été utilisées dans les campagnes de phishing liées à OneDrive, Citrix ShareFile, Google Drive et Windows.net. Étant donné que les noms de domaine utilisés semblaient authentiques et que les e-mails ne contenaient aucun malware, les messages ont été transmis aux utilisateurs finaux.
L’URL utilisée dans cette campagne aurait pu susciter des soupçons même si elle utilisait un nom de domaine SharePoint. Pourtant, tous les utilisateurs ne vérifient pas soigneusement les URL, ou bien ils ne pouvaient pas lire l’URL complète sur les appareils mobiles. Ceci augmente le risque qu’un utilisateur final soit dupé pour divulguer ses identifiants de connexion.
Le portail OneDrive for Business vers lequel l’utilisateur est dirigé est également une mauvaise imitation, mais il est suffisamment réaliste pour tromper de nombreux utilisateurs finaux. D’autres campagnes de phishing utilisant des sites web de partage de fichiers sont beaucoup plus convaincantes et il est peu probable qu’elles soient détectées comme malveillantes même par des employés peu soucieux de la sécurité.
Lorsque les informations d’identification sont compromises, le compte de messagerie est souvent utilisé pour envoyer d’autres e-mails de phishing à d’autres employés de l’entreprise. Comme ces e-mails proviennent d’un compte interne, les utilisateurs sont plus susceptibles de répondre. Les attaquants peuvent également consulter les messages dans le compte compromis et les utiliser pour engager une conversation avec leurs cibles. De plus, ils peuvent imiter le style rédactionnel du titulaire du compte usurpé pour ajouter plus de réalisme aux e-mails de phishing.
Souvent, les entreprises parviennent à détecter un compte de messagerie compromis, mais l’enquête susmentionnée a révélé que l’attaque était beaucoup plus répandue. De nombreux comptes de messagerie ont été ainsi usurpés.
Pour bloquer ces menaces, une solution avancée de sécurité de la messagerie électronique est nécessaire. Les entreprises devraient chercher une solution qui intègre la DMARC. DMARC intègre les protocoles d’authentification SPF et DKIM. Elle permet donc de vérifier si l’adresse IP utilisée pour envoyer l’e-mail est authentique ou non. Si cette vérification échoue, l’e-mail est bloqué. C’est l’une des méthodes les plus importantes et les plus efficaces pour détecter et bloquer les attaques d’usurpation d’identité par e-mail, y compris les attaques BEC et les tentatives de phishing.
Heureusement, la combinaison d’une solution avancée de filtrage de spams et d’une formation de sensibilisation à la sécurité des utilisateurs finaux permet de s’assurer que les e-mails malveillants n’atteignent pas leurs boîtes de réception. Le cas échéant, les employés devraient être conscients des menaces cybercriminelles et éviter de cliquer sur les liens contenus dans un e-mail. Et surtout, ils ne devraient pas divulguer leurs identifiants de connexion, ni leurs mots de passe sans avoir bien vérifié l’identité de l’expéditeur de l’e-mail.
Les escroqueries liées à la compromission des e-mails d’affaires (BEC – Business Email Compromise) sont maintenant la principale cause des pertes financières liées aux cyberattaques. Des milliards sont perdus chaque année et on prévoit que le nombre d’attaques et de pertes continuera d’augmenter.
Business Email Compromise : quelles sont les pertes ?
Environ 1 % du PIB mondial est perdu chaque année à cause de la cybercriminalité et ce chiffre augmente rapidement. Actuellement, environ 600 milliards de dollars sont perdus chaque année à cause des attaques cybercriminelles. Un rapport publié par le bureau du département du Trésor des États-Unis, Financial Crimes Enforcement Network ou FinCEN, le juillet 2018 montre que les déclarations d’activités suspectes (DAS) sont passées de plus de 98 millions d’euros par mois en 2016 à plus de 270 millions d’euros par mois en 2018. Cybersecurity Ventures prévoit que les pertes mondiales atteindront près de 5,4 milliards de dollars en 2021. Selon le FBI, plus d’un milliard d’euros ont été perdus aux États-Unis en 2018 à cause d’escroqueries liées à la compromission des emails professionnels.
Business Email Compromise : comment fonctionne l’attaque ?
Les emails de Business Email Compromise impliquent l’usurpation de l’identité d’un cadre supérieur ou d’une autre personne, dont le compte e-mail compromis est utilisé pour envoyer des demandes frauduleuses de virement électronique. Une autre variante vise à usurper l’identité d’un associé de l’entreprise et les demandes envoyées exigent des rançons qui doivent être d’être payés. Cette dernière est maintenant plus fréquente que les attaques qui usurpent l’identité du PDG.
Les attaques BEC commencent généralement par une attaque de spear phishing dont le but est d’obtenir des informations d’identification de compte de messagerie. Une fois les informations d’identification compromises, le compte est utilisé pour envoyer des messages à d’autres personnes de l’organisation, telles que les employés du service de la paie, le personnel des ressources humaines ou de la finance. Comme les e-mails semblent provenir d’une source fiable au sein de l’organisation et les demandes de virement bancaire ne sont pas inhabituelles, le paiement est souvent effectué.
Une attaque réussie peut entrainer des virements bancaires importants effectués sur des comptes contrôlés par les attaquants. Les paiements s’élèvent souvent à des dizaines de milliers d’euros ou, dans certains cas, à plusieurs millions d’euros. Une attaque récente contre une filiale du constructeur automobile Toyota Boshoku Corporation a donné lieu à un transfert frauduleux de plus de 33 millions d’euros aux agresseurs.
Bien que cet incident se distingue des autres par l’ampleur de la perte d’argent causée, les transferts frauduleux de millions d’euros sont loin d’être inhabituels. Dans de nombreux cas, seul un faible pourcentage des fonds transférés est recouvré. Comme ces attaques peuvent être extrêmement rentables, il n’est pas surprenant que tant de cybercriminels le fassent.
Un nouveau rapport de l’assureur AIG montre que les attaques BEC sont maintenant la principale raison des réclamations d’assurance liées à la cybersécurité, ayant dépassé pour la première fois les attaques de ransomwares. 23 % de toutes les réclamations liées aux cyberattaques sont dues à des escroqueries de la BEC.
Business Email Compromise : comment éviter ces attaques ?
Dans la plupart des cas, ces attaques BEC peuvent être évitées grâce à des mesures de cybersécurité de base. AIG attribue l’augmentation des réclamations à de mauvaises mesures de sécurité dans les organisations ciblées. Les enquêtes ont révélé de nombreuses défaillances de base en matière de cybersécurité, comme le fait de ne pas offrir de formation de sensibilisation à la sécurité aux employés, le fait de ne pas imposer l’utilisation de mots de passe forts, l’absence d’authentification multifactorielle et la faiblesse des contrôles de sécurité de la messagerie.
Si les entreprises ne parviennent pas à mettre en œuvre ces mesures de cybersécurité de base, les attaques sont inévitables. Les polices d’assurance peuvent couvrir une partie des pertes, mais de nombreuses PME ne seront pas en mesure de faire une réclamation. Pour eux, les attaques BEC peuvent être catastrophiques.
Si vous dirigez une entreprise et que vous vous inquiétez de vos défenses contre le phishing, le spear phishing et les attaques BEC, contactez TitanHQ. Nous nous ferons un plaisir de vous faire découvrir nos solutions de sécurité web qui peuvent bloquer les attaques BEC.
Google a reconnu une vulnérabilité dans l’application Google Agenda, laquelle a été exploitée par les cybercriminels pour injecter des articles faux et malveillants.
Plusieurs campagnes de phishing sur Google Agenda ont été détectées au cours de l’été 2019. Lors de ces campagnes, des spams de Google Agenda ont été envoyés à un grand nombre d’utilisateurs, notamment des invitations à des événements et d’autres demandes et offres spéciales qui sont apparues sur les écrans des utilisateurs sans méfiance.
Ces notifications contenaient des liens qui redirigent les utilisateurs vers des pages Web où les utilisateurs pouvaient trouver plus d’informations sur les événements et les offres spéciales. S’ils acceptent les événements, ceux-ci vont être insérés dans les calendriers des utilisateurs et déclencher des notifications automatiques. Les offres et les invitations continuent à apparaître jusqu’à ce que les utilisateurs cliquent sur le lien. Pourtant, ces liens dirigent les utilisateurs vers des pages de phishing où leurs informations d’identification vont être recueillies par les pirates.
Certaines escroqueries exigeaient la saisie des renseignements concernant la carte de crédit de leurs victimes. D’autres exigent que l’utilisateur ouvre une session à l’aide de ses renseignements d’identification Office 365. Des liens peuvent également diriger les utilisateurs vers des pages web où entrainer le téléchargement de malwares par « drive-by » (une des méthodes utilisées par les cybercriminels pour pénétrer un ordinateur à l’insu de son propriétaire).
La plupart des gens sont conscients de la menace que représentent les courriels de phishing, les e-mails malveillants et les messages via les médias sociaux qui recueillent des informations sensibles. Mais les attaques contre les services de Google Agenda sont relativement rares. Par conséquent, de nombreux utilisateurs ne reconnaîtront pas ces notifications et éléments de calendrier comme étant malveillants, en particulier lorsqu’ils apparaissent dans une application de confiance telle que Google Agenda.
Malheureusement, ces attaques sont possibles, car n’importe qui peut envoyer un événement de Google Agenda à un utilisateur. Cet événement sera inséré dans le calendrier de l’utilisateur et déclenchera automatiquement des notifications, comme c’est le cas pour les événements légitimes.
En plus des événements, les messages peuvent inclure des offres spéciales, des notifications de prix en espèces, des alertes sur des transferts d’argent et toutes sortes d’autres messages pour inciter l’utilisateur à cliquer sur un lien malveillant, divulguer des informations sensibles ou télécharger des malwares.
Google Agenda n’est pas le seul service de calendrier qui est sujet à ces attaques. Les utilisateurs d’Apple ont également été ciblés, tout comme les utilisateurs d’autres applications de calendrier.
Comment bloquer les attaques de phishing par Google Agenda ?
Récemment, un employé de Google a reconnu l’augmentation du « spam du calendrier » et a confirmé que des mesures étaient prises par Google pour régler le problème.
En attendant, les utilisateurs peuvent empêcher l’apparition de ces messages malveillants et le phishing en modifiant les paramètres de l’application. Les utilisateurs doivent naviguer dans Paramètres d’événement > Ajouter automatiquement des invitations, et sélectionner l’option « Non, n’afficher que les invitations auxquelles j’ai répondu » et décocher l’option « Afficher les événements refusés » dans « Options de vue ».
Les entreprises devraient également envisager d’inclure les escroqueries de phishing sur Google Agenda dans leurs programmes de sensibilisation à la sécurité. Le but est de s’assurer que les employés sachent que les attaques de phishing ne se font pas seulement via des e-mails, des messages texte, des appels téléphoniques et des messages via les médias sociaux.
Après un été tranquille, le botnet Emotet est de retour. Les acteurs de la menace derrière Emotet envoient des centaines de milliers de spams malveillants qui diffusent le cheval de Troie Emotet via des documents Word.
Emotet est apparu pour la première fois en 2014. Initialement, ce botnet était considéré comme un cheval de Troie bancaire utilisé pour obtenir des informations d’identification sur les comptes bancaires en ligne. Les justificatifs d’identité volés sont utilisés pour effectuer des virements télégraphiques frauduleux et pour vider les comptes bancaires des entreprises. Au fil des ans, le cheval de Troie a considérablement évolué. De nouveaux modules ont été ajoutés pour donner au malware une multitude de fonctionnalités. Emotet est également polymorphe, ce qui signifie qu’il peut muter à chaque fois qu’il est téléchargé pour éviter d’être détecté par les solutions antimalware basées sur des signatures. Jusqu’au début de 2019, plus de 750 variantes d’Emotet ont été détectées.
La dernière version d’Emotet est capable de voler les informations bancaires et d’autres types de données. Il est également capable de télécharger des malwares, et c’est pour cela que les chercheurs en matière de sécurité l’appellent « malware à triple menace », étant donné qu’il a été utilisé récemment pour télécharger les ransomwares TrickBot, Trojan et Ryuk. Ces trois malwares et l’ampleur de la menace font d’Emotet l’un des vecteurs d’attaques cybercriminelles les plus dangereuses auxquelles doivent faire face les entreprises. C’est sans doute le botnet le plus destructeur jamais vu.
L’été dernier, l’activité d’Emotet était si intense et la menace si grave que le ministère de la Sécurité intérieure américain a lancé une alerte à destination de toutes les entreprises en juillet 2018 pour les prévenir de la menace.
Cette mise en garde a été reprise par le National Cyber Security Center du Royaume-Uni, qui a publié sa propre mise en garde contre ce malware en septembre 2018. L’activité est restée élevée pendant une bonne partie de l’année 2019, mais s’est soudainement arrêtée au début du mois de juin lorsque l’activité du serveur de commandement et de contrôle est tombée à presque rien.
L’interruption de l’activité n’a été que brève. Les chercheurs de Cofense Labs ont découvert que ses serveurs de commande et de contrôle avaient été réactivés fin août et qu’une campagne massive de spamming avait débuté le 16 septembre en Allemagne. La campagne était initialement axée sur les entreprises aux États-Unis, en Allemagne et au Royaume-Uni, mais elle s’est maintenant étendue à l’Autriche, l’Italie, la Pologne, l’Espagne et la Suisse.
Après avoir été téléchargé, Emotet se propage latéralement et infecte autant d’appareils que possible sur le réseau. Les comptes de messagerie sur les machines infectées sont détournés et utilisés pour envoyer d’autres spams à tous les contacts du compte. Enfin, le module de téléchargement de logiciels malveillants est utilisé dans une variante secondaire et souvent tertiaire des logiciels malveillants.
La dernière campagne utilise des documents Word contenant des macros malveillantes, qui lancent des scripts PowerShell et qui récupèrent le cheval de Troie Emotet sur une variété de sites web compromis, dont la plupart utilisent le CMS WordPress.
La campagne utilise une variété de leurres, y compris des factures, des avis de paiement et des relevés, dont les détails sont contenus dans des documents Word qui exigent que le contenu soit activé pour voir le contenu du document.
En ouvrant le document, l’utilisateur est invité à accepter le contrat de licence Office 365. Si le contenu n’est pas activé, selon le document, les fonctions de Microsoft Word seront désactivées.
Cette campagne comprend des lignes d’objet personnalisées incluant le nom du destinataire afin d’augmenter la probabilité qu’un utilisateur prenne l’action demandée. Les e-mails sont également conçus pour faire croire au destinataire qu’il a déjà communiqué avec l’expéditeur. En réalité, environ un quart des attaques utilisent ce genre d’arnaque. Selon les données fournies par Cofense, des courriels ont été envoyés à partir de 3 362 comptes de messagerie piratés, utilisant 1 875 noms de domaine.
Pour le moment, on ne sait pas encore si des logiciels de ransomware Ryuk ont été distribués dans le cadre de cette campagne. Plusieurs chercheurs ont confirmé que TrickBot est téléchargé en tant que charge utile secondaire.
Pour bloquer les attaques de malwares polymorphes, vous pouvez mettre en œuvre des mesures de sécurité multicouches, y compris une solution avancée de filtrage de spams, un logiciel antivirus et un filtre web. Vous devez également vous assurer que vos employés sont informés des éventuelles menaces cybercriminelles et des e-mails qui sont utilisés pour distribuer des chevaux de Troie.
Les dangers des attaques de ransomware ont été démontrés lorsque plus de 5 000 patients en Californie ont définitivement perdu leurs dossiers médicaux stockés dans un établissement de soins de santé à la suite d’une attaque de ransomware.
Wood Ranch Medical de Simi Valley, en Californie, a subi l’attaque le 10 août 2019. Des ransomwares ont été déployés et exécutés sur ses serveurs, contenant les dossiers médicaux de 5 835 patients. L’attaque a causé des dommages permanents aux systèmes informatiques, et comme les copies de sauvegarde des dossiers des patients étaient également chiffrées, ils ont été définitivement perdus. On ne connait pas le montant exigé par les pirates pour qu’ils fournissent les clés de déchiffrement au cas où la rançon aurait été payée.
Sans les dossiers des patients et à cause du fait que l’organisation devait reconstruire totalement sa pratique médicale à partir de zéro, la décision a été prise de fermer définitivement l’établissement. Les patients ont été forcés de trouver d’autres prestataires de soins de santé et n’ont plus accès à leur dossier médical.
Il s’agit du deuxième fournisseur de soins de santé aux États-Unis qui a été forcé de fermer ses portes en raison d’une attaque de ransomware. Le Brookside ENT and Hearing Center de Battle Creek, au Michigan, a également fermé son cabinet cette année à la suite d’une attaque similaire. Dans cette affaire, les propriétaires de l’établissement ont refusé de payer la rançon, et les dossiers des patients étaient restés chiffrés. Ils ont été conscients qu’il n’était pas possible de reconstruire le cabinet à partir de zéro et ont annoncé leur retraite anticipée.
On ne sait pas exactement comment le ransomware a été installé dans chacun de ces incidents. Il n’est donc pas possible de déterminer les mesures qui auraient dû être mises en œuvre et améliorées pour prévenir les attaques. Toutefois, dans les deux cas, la récupération des fichiers à partir des sauvegardes n’était pas possible.
Le but d’une sauvegarde est de s’assurer qu’en cas de problème, les données seront récupérables. La récupération des fichiers peut prendre beaucoup de temps et nécessiter des temps d’arrêt en raison de l’attaque qui risque d’être coûteuse, mais les données ne seront pas perdues définitivement.
Afin de s’assurer que la récupération des fichiers est possible, les sauvegardes doivent être testées. Les fichiers peuvent être corrompus pendant le processus de sauvegarde et la restauration des données peut ne pas être possible. Si les sauvegardes ne sont pas testées pour s’assurer que les fichiers peuvent être restaurés, il ne sera pas possible de garantir leur restauration en cas de sinistre.
Ces incidents mettent également en lumière une autre règle fondamentale de la sauvegarde. En fait, il ne faut jamais stocker une seule copie de sauvegarde sur un ordinateur en réseau ou connecté à Internet.
En cas d’attaque de ransomwares, il est fort probable que les copies de sauvegarde sur les périphériques en réseau seront chiffrées et le seul moyen de les récupérer est de payer la rançon.
Là encore, il n’est pas certain que le paiement d’une rançon offre une garantie que les données seront récupérées. Les fichiers peuvent être corrompus par le processus de chiffrement/déchiffrement et les attaquants peuvent décider de ne pas fournir tout simplement les clés pour déchiffrer les fichiers.
Une bonne alternative que vous pouvez adopter pour prévenir de telles catastrophes est d’adopter la règle de sauvegarde 3-2-1. Cela signifie que 3 sauvegardes doivent être créées et être stockées sur 2 supports différents, avec 1 copie gardée en toute sécurité hors site sur un appareil qui n’est pas en réseau ou connecté à Internet.
Le botnet Emotet est revenu à la vie après une période de dormance de 4 mois au cours de l’été. Les premières campagnes, qui impliquaient des centaines de milliers de messages, utilisaient des leurres tels que de fausses factures, des avis de paiement et des relevés pour inciter les destinataires à ouvrir un document Word malveillant, à activer le contenu et à lancer par inadvertance une série d’actions résultant au téléchargement d’Emotet. Emotet est l’une des variantes de malwares les plus dangereuses actuellement distribuées via des messages électroniques.
Cela ne fait que quelques jours que ces menaces ont été détectées. Pourtant, une nouvelle campagne a été détectée, notamment le Malware Spam (MalSpam), un terme utilisé pour désigner les malwares qui sont envoyés par e-mail, qui livre Emotet. Cette fois-ci, le leurre s’est présenté sous la forme d’une copie gratuite du livre d’Edward Snowden, Permanent Record. Le livre est un compte rendu de la vie d’Edward Snowden, notamment concernant les actions de dénonciation qu’il a menées en 2013.
La campagne comprend des versions en anglais, en italien, en espagnol et en allemand du livre. Elle prétend offrir une copie scannée et gratuite du livre de l’ancien employé de la CIA. La version anglaise est distribuée par e-mail, selon les agresseurs, parce qu’il est « temps d’organiser des lectures collectives du livre Snowden partout ». L’e-mail comprend une copie scannée du livre en pièce jointe et incite le destinataire de l’acheter, de le lire, de le partager et d’en discuter. La copie s’appelle Scan.doc.
L’email informe l’utilisateur que Word n’a pas été activé. Par contre, celui-ci peut continuer à utiliser Word pour visualiser le contenu du document. À ce stade, il suffit d’un simple clic pour installer Emotet. Une fois installé, le botnet va télécharger d’autres variantes de malwares, dont le TrickBot Trojan. Il est également utilisé pour distribuer des charges utiles de ransomwares.
Bien que les leurres des campagnes Emotet changent régulièrement, ils ont tous utilisé des scripts malveillants dans des documents Word qui téléchargent Emotet. Les e-mails peuvent être envoyés par des personnes inconnues. Des adresses électroniques peuvent également être usurpées pour donner l’impression qu’ils proviennent d’une personne connue ou d’un collègue de travail.
Les leurres sont convaincants et sont susceptibles de tromper les utilisateurs finaux. Ces derniers sont donc susceptibles d’ouvrir les pièces jointes et d’activer le contenu du message électronique. Pour les entreprises, cela peut entraîner une infection malveillante coûteuse, le vol de justificatifs d’identité, des virements bancaires frauduleux et des attaques de ransomwares.
Les entreprises peuvent réduire ces risques en s’assurant que leurs employés n’ouvrent jamais les pièces jointes de e-mails non sollicités et provenant d’expéditeurs inconnus. Ils doivent aussi vérifier l’authenticité de toutes pièces jointe par téléphone avant de prendre toute mesure. Par ailleurs, les employés ne devraient jamais activer le contenu d’un document envoyé par e-mail.
Bien qu’une formation de sensibilisation à la sécurité des utilisateurs finaux soit essentielle, des solutions antimalware avancées sont également nécessaires pour empêcher que ces messages n’atteignent les boîtes de réception des utilisateurs.
SpamTitan inclut l’authentification DMARC pour bloquer les attaques de phishing par usurpation d’identité. Il intègre aussi un sandbox alimenté par Bitdefender où les pièces jointes suspectes peuvent être exécutées en toute sécurité et étudiées pour détecter les menaces cybercriminelles.
Ajoutez à cela un large éventail de systèmes de contrôles de contenu, y compris l’analyse bayésienne et la liste noire, et les e-mails malveillants seront bloqués et empêchés d’être envoyés aux utilisateurs finaux.
L’activité des kits d’exploitation a été inférieure à celle de 2016 lorsque le pic d’activité a été atteint, mais la menace n’a pas disparu. En fait, le rapport semestriel de Trend Micro sur la cybersécurité montre que l’activité des kits d’exploitation est trois fois plus importante, comparée à celle de mi-2018. Les sites web hébergeant des kits d’exploitation représentent toujours une menace importante pour les entreprises.
Les kits d’exploitation sont des boîtes à outils contenant des exploits qui tirent parti des vulnérabilités des applications logicielles populaires, comme Internet Explorer et Adobe Flash Player. Lorsqu’un utilisateur atterrit sur une page web qui héberge un kit d’exploitation, il analyse le navigateur de l’utilisateur à la recherche de vulnérabilités. Si une faille est identifiée, un malware est automatiquement téléchargé et exécuté sur l’appareil de l’utilisateur. Dans de nombreux cas, l’utilisateur ne sait pas qu’il télécharge un Cheval de Troie, un ransomware ou un malware.
Le trafic est envoyé pour exploiter les vulnérabilités par le biais d’une publicité malveillante (malvertising) sur des sites web à fort trafic. Les utilisateurs peuvent être dirigés vers des sites web malveillants par le biais des e-mails de phishing. Il est également courant pour les cybercriminels de pirater les sites web à fort trafic et de les utiliser pour héberger leur kit d’exploitation. Autrement dit, les utilisateurs peuvent donc visiter un site web malveillant en naviguant tout simplement sur le web.
Il existe actuellement plusieurs kits d’exploitation tels que Magnitude, Underminer, Fallout, GreenFlash Sundown, Rig, GrandSoft, et Lord. Bien que les ransomwares et les chevaux de Troie bancaires soient les charges utiles les plus connues, ces kits d’exploitations peuvent aussi être utilisés pour lancer des mineurs de cryptomonnaies (variantes de malwares) et des chargeurs de botnet.
De nombreux kits d’exploitation ciblent les anciennes vulnérabilités, mais comme les entreprises sont souvent lentes à appliquer les correctifs nécessaires, ils représentent toujours une menace majeure. Les kits d’exploitation tels que GrandSoft et Rig sont régulièrement mis à jour et peuvent désormais tirer parti des vulnérabilités récentes.
Dans l’une des campagnes les plus récemment identifiées, les acteurs de la menace Nemty Ransomware se sont associés aux opérateurs de RIG pour lancer des ransomwares contre les entreprises qui utilisent encore des versions anciennes et vulnérables d’Internet Explorer.
Par ailleurs, un nouveau kit d’exploitation appelé Lord a été utilisé pour infecter les appareils des utilisateurs avec le ransomware Eris. Pour ce cas précis, le trafic était dirigé vers le kit d’exploitation par le biais des publicités malveillantes sur le réseau publicitaire PopCash. Le kit d’exploitation a été principalement utilisé pour exploiter les failles dans Adobe Flash Player, comme CVE-2018-15982.
La protection contre les kits d’exploitation est simple sur le papier. Il suffit de corriger rapidement les vulnérabilités identifiées. D’une manière générale, s’il n’y a aucune vulnérabilité à exploiter, aucun malware ne peut être téléchargé. Malheureusement, dans la pratique, les choses ne sont pas aussi simples. De nombreuses entreprises tardent à appliquer les correctifs ou ne le font pas sur tous les périphériques qu’elles utilisent.
Les logiciels antispam peuvent aider à réduire les risques en bloquant les e-mails de phishing contenant des liens qui redirigent les utilisateurs vers des sites hébergeant des kits d’exploitation. Pourtant, la majeure partie du trafic provient des moteurs de recherche et des publicités malveillantes, et les logiciels antispam ne peuvent pas les bloquer. Pour améliorer vos défenses contre les kits d’exploitation, les téléchargements par drive-by et les sites de phishing, l’une des meilleures solutions est de mettre en place système de filtrage DNS.
Un filtre DNS permet aux entreprises de contrôler soigneusement les sites web auxquels les employés peuvent accéder lorsqu’ils sont connectés aux réseaux filaires et sans fil de l’entreprise. Il peut être configuré pour bloquer différents types de contenu web tels que les jeux de hasard et les sites web pour adultes. Le fait est qu’il bloque aussi tous les sites web malveillants connus. Pour ce faire, le filtre DNS utilise des listes noires de sites web malveillants connus comme ceux qui hébergent des kits d’exploitation ou des formulaires de phishing. Si un site ou une page web est inclus dans la liste noire, il sera automatiquement bloqué. De plus, le filtre DNS peut analyser en temps réel les sites web pour détecter les contenus malveillants.
Comme le filtrage se fait au niveau du DNS, l’accès aux contenus malveillants ou indésirables est bloqué sans qu’aucun contenu ne soit téléchargé. La mise en place de cette solution est rapide et facile, car il suffit de modifier l’enregistrement DNS pour le diriger vers le fournisseur de services. Aucun matériel supplémentaire n’est donc requis, ni le téléchargement d’un logiciel.
Vous souhaitez améliorer vos défenses contre les logiciels malveillants, les ransomwares, les botnets et le phishing, et vous ne contrôlez pas encore le contenu web auquel vos employés peuvent accéder ? Contactez dès maintenant TitanHQ pour demander des informations sur WebTitan. Bien entendu, vous pouvez aussi vous inscrire pour un essai gratuit de cette solution.
