L’introduction du travail à domicile et du confinement causé par la pandémie du Covid-19 ont déplacé l’attention des professionnels de la cybersécurité. En fait, les cybercriminels ont développé des moyens plus sophistiqués pour compromettre les systèmes des entreprises.
Un rapport sur les risques mondiaux indique que l’année 2021 sera axée sur de meilleures stratégies de cybersécurité pour détecter et arrêter le phishing et les attaques de ransomware. Ces deux méthodes d’attaque sont de plus en plus courantes et efficaces pour permettre aux escrocs de voler des données ou d’extorquer des millions d’euros aux entreprises ciblées.
Le paysage actuel des menaces
Selon Osterman Research, les trois principaux enjeux de la cybersécurité en 2021 sont :
La protection des points d’extrémité (par exemple, les appareils des utilisateurs ou les ordinateurs connectés à Internet) ;
La sensibilisation des utilisateurs aux ransomwares et le fait de les empêcher d’en être victimes ;
La protection des sauvegardes pour lutter contre les attaques de ransomwares.
Ces malwares chiffrent les données à l’aide d’un code cryptographique sécurisé, de sorte qu’il est techniquement impossible pour la victime de remédier au problème.
La seule façon de se remettre d’une attaque de ransomware est d’utiliser les sauvegardes pour restaurer les données ou de payer la rançon. Pour des raisons évidentes, la plupart des entreprises préfèrent utiliser les sauvegardes pour récupérer leurs données.
Comme les sauvegardes sont une solution de récupération pour les victimes, la troisième préoccupation doit être une priorité pour les organisations au cas où elles deviendraient une cible réussie.
Les développeurs des ransomwares programment leurs malwares pour rechercher les sauvegardes sur le réseau, ce qui réduit les chances de récupération pour les victimes ciblées. Sans la sauvegarde des données, la victime ciblée est obligée de payer la rançon, ce qui est l’objectif principal des escrocs.
Si l’entreprise victime ne paie pas la rançon, la stratégie finale des pirates informatiques consiste à menacer de divulguer les données privées de l’organisation. Ils menacent souvent de divulguer la violation des données au public, ce qui pourrait nuire à la réputation de la marque et entraîner des poursuites judiciaires et des sanctions de conformité supplémentaires.
Si l’entreprise ne parvient pas à récupérer les sauvegardes, elle peut parfois négocier avec le propriétaire du ransomware.
Dans les attaques actuelles, le propriétaire du ransomware inclut un numéro de contact numérique (par exemple, WhatsApp ou Telegram) que les victimes peuvent utiliser si elles ont des questions. Par exemple, le district scolaire du comté de Broward a pu négocier avec les auteurs d’un ransomware pour que le paiement passe de 40 à 10 millions de dollars.
Le phishing et le ransomware fonctionnent ensemble lors d’une compromission
Pour installer un ransomware sur un système ciblé, l’attaquant a besoin d’un vecteur. Dans de nombreux cas, le début de la compromission est un courrier électronique. Le message électronique peut contenir un lien vers un site web malveillant.
Le pirate peut également joindre un document contenant une macro qui télécharge le malware sur l’appareil ciblé. La plupart des systèmes de messagerie bloquent les fichiers exécutables, mais les attaquants peuvent utiliser un fichier exécutable ou un script malveillant pour installer le ransomware.
Les utilisateurs doivent être formés pour identifier les emails suspects, mais l’erreur humaine est un problème majeur en matière de cybersécurité. Il suffit qu’un seul utilisateur tombe dans le piège d’un email de phishing pour que les attaquants réussissent à installer un ransomware, ce qui en fait une stratégie efficace.
Comme il suffit d’un seul email de phishing réussi, un attaquant peut en envoyer des centaines à des utilisateurs spécifiques au sein de l’organisation.
La cybersécurité de la messagerie électronique est une défense primaire
La formation à la cybersécurité est souvent la première défense contre les ransomwares et le phishing, mais elle laisse l’organisation ouverte à l’erreur humaine. La seule façon d’empêcher l’erreur humaine est d’empêcher les messages malveillants d’atteindre la boîte de réception du destinataire.
La cybersécurité de la messagerie électronique — qui détecte et filtre les messages suspects — est la principale défense contre les ransomwares et les autres attaques qui commencent par une campagne de phishing.
Les ransomwares sont dommageables pour toute organisation, mais le phishing est également utilisé pour l’injection d’autres malwares. Il est également utilisé pour voler les informations d’identification des utilisateurs pour les comptes personnels ou l’accès au réseau de l’entreprise.
La cybersécurité de la messagerie électronique détecte tous ces messages malveillants et les met en quarantaine avant de permettre aux messages d’atteindre la boîte de réception de l’utilisateur.
Lorsque les défenses de cybersécurité mettent un email en quarantaine, les administrateurs peuvent examiner les messages. En permettant aux administrateurs d’examiner les messages au lieu de les supprimer purement et simplement, les administrateurs peuvent vérifier si les messages sont faussement positifs et envoyer au destinataire ceux qui devraient l’être.
Sans la méthode de mise en quarantaine, les utilisateurs pourraient perdre des messages importants contenant des pièces jointes essentielles. Les administrateurs peuvent également déterminer si une campagne de phishing ciblée est en cours afin de former et d’éduquer davantage les utilisateurs pour qu’ils soient plus vigilants en cas de faux négatifs.
Les ransomwares étant de plus en plus populaires, la cybersécurité des emails est plus importante que jamais. Les sauvegardes sont toujours nécessaires, mais la cybersécurité des emails est votre première défense contre ces attaques.
Le blocage des messages malveillants permet d’économiser de l’argent, du temps et des problèmes potentiels liés à une attaque réussie de ransomware et sert de stratégie pour protéger l’entreprise contre l’erreur humaine.
Nous aimerions vous inviter à découvrir les résultats de notre webinaire qui s’est déroulé le 30 juin lors de laquelle la nouvelle recherche d’Osterman Research a été dévoilée.
Cette étude a été menée auprès de 130 professionnels de la cybersécurité et porte spécifiquement sur les menaces croissantes du phishing et du ransomware, et sur la manière dont les risques de ces deux phénomènes peuvent être réduits.
Telegram est une application de messagerie populaire qui a vu son nombre d’utilisateurs monter en flèche ces derniers mois. En fait, de nombreux utilisateurs de WhatsApp ont opté pour Telegram après les récents changements apportés aux politiques de confidentialité et de gestion des données de l’application.
Telegram s’est également révélé populaire auprès des cybercriminels qui l’utilisent pour distribuer et pour communiquer avec des malwares.
Comment les cybercriminels utilisent Telegram pour distribuer des malwares ?
Récemment, une campagne a été identifiée, impliquant une nouvelle variante de malware appelée ToxicEye. Le malware ToxicEye est un cheval de Troie d’accès à distance (RAT) qui donne à un attaquant le contrôle total d’un appareil infecté. Le malware est utilisé pour voler des données sensibles et télécharger d’autres variantes de malware.
Le malware utilise un compte Telegram pour ses communications avec le serveur de commande et de contrôle. Grâce au compte Telegram de l’attaquant, il peut communiquer avec un appareil infecté par ToxicEye ; exfiltrer des données et transmettre des charges utiles malveillantes supplémentaires.
Il est facile de voir l’intérêt d’utiliser Telegram pour communiquer avec des malwares. Tout d’abord, l’application est populaire. L’application Telegram était l’application la plus populaire en janvier 2021, avec plus de 63 millions de téléchargements, et environ 500 millions d’utilisateurs actifs dans le monde.
Pendant la pandémie, l’appli a été adoptée par de nombreuses entreprises qui l’ont utilisée pour permettre à leurs travailleurs à distance de communiquer et de collaborer. L’application prend en charge la messagerie sécurisée et privée et la plupart des entreprises autorisent l’utilisation de Telegram et ne bloquent ni n’inspectent les communications.
La création d’un compte Telegram est facile et les attaquants peuvent rester anonymes. Tout ce qui est nécessaire pour créer un compte est un numéro de téléphone mobile. L’infrastructure de communication permet aux attaquants d’exfiltrer facilement des données et d’envoyer des fichiers à des appareils infectés par des malwares sans être détectés.
Telegram est également utilisé pour distribuer des malwares. Les attaquants peuvent créer un compte, utiliser un robot Telegram pour interagir avec d’autres utilisateurs et envoyer des fichiers. Il est également possible d’envoyer des fichiers à des non-utilisateurs de Telegram par le biais d’emails de phishing avec des pièces jointes malveillantes.
Les emails de phishing sont souvent utilisés pour diffuser le malware ToxicEye. Les emails sont envoyés avec un fichier .exe en pièce jointe, une campagne utilisant un fichier nommé « paypal checker by saint.exe » pour installer le malware.
Si la pièce jointe est ouverte et exécutée, une connexion est établie avec Telegram, ce qui permet au robot Telegram de l’attaquant de télécharger le malware.
Les attaquants peuvent réaliser toute une série d’activités malveillantes une fois le malware installé. Leurs principaux objectifs sont de recueillir des informations sur l’appareil infecté ; de localiser et d’exfiltrer des mots de passe et de voler des cookies et des historiques de navigation.
Le malware ToxicEye peut tuer les processus actifs et prendre le contrôle du gestionnaire des tâches ; enregistrer des fichiers audio et vidéo ; voler le contenu du presse-papiers et déployer d’autres variantes de malware, à l’instar des enregistreurs de frappe et des ransomwares.
Quelles sont les solutions pour se protéger des malwares ?
TitanHQ propose deux solutions permettant de se protéger contre ToxicEye et d’autres campagnes de phishing et de malware basées sur Telegram.
SpamTitan est une solution puissante de sécurité des emails qui bloque les emails malveillants contenant les fichiers exécutables qui installent le RAT ToxicEye et d’autres malwares.
Pour une protection encore plus grande, SpamTitan doit être associé à la solution de sécurité WebTitan.
WebTitan est une solution de filtrage web basée sur le DNS qui peut être configurée pour bloquer l’accès à Telegram s’il n’est pas utilisé et surveiller le trafic en temps réel pour identifier les communications potentiellement malveillantes.
Une recrudescence du phishing a commencé en 2020 avec le confinement causé par la pandémie Covid-19, et il continue d’être une menace sérieuse pour la cybersécurité en 2021. Les attaquants changent leurs méthodes à mesure que davantage de personnes prennent conscience de leurs escroqueries et que les défenses de cybersécurité fonctionnent efficacement pour les arrêter.
Les fichiers PDF permettent aux utilisateurs de partager des informations en texte riche, y compris des liens, des images, des animations et même des scripts internes liés au fichier.
Lors du dernier groupe d’attaques, les campagnes de phishing utilisaient des pièces jointes PDF qui exécutent diverses méthodes pour rediriger les utilisateurs vers un site malveillant dans le but de voler leurs informations.
Pour éviter d’être la prochaine victime d’une telle attaque, découvrez les différentes tactiques que les escrocs utilisent actuellement.
Fausses redirections CAPTCHA
Un CAPTCHA est un symbole reconnu par tous les utilisateurs d’Internet. Il s’agit donc d’un moyen facile et pratique pour inciter les utilisateurs à cliquer sur un lien. Dans cette campagne de phishing, un attaquant insère une image de l’interface CAPTCHA courante de Google.
Les utilisateurs reconnaissent l’image, cliquent sur « Continuer » et s’attendent à voir un site qu’ils reconnaissent. Lorsqu’ils cliquent sur le lien, ils sont redirigés vers un site contrôlé par les escrocs, où ils sont demandés de saisir leurs informations privées.
Utilisation de logos populaires pour des redirections malveillantes
Il est facile d’amener les utilisateurs à cliquer sur des liens générés par des logos reconnaissables. Lorsque les attaquants utilisent le logo d’une marque connue, ils peuvent inciter leurs cibles à cliquer sur le logo.
Lors d’une attaque récente, l’image d’une marque populaire est incluse dans le fichier PDF avec la promesse d’une réduction. Cela ressemble à une vente de marque courante, ce qui a incité les utilisateurs à cliquer sur l’image.
Après qu’un utilisateur a cliqué sur l’image, un navigateur s’ouvre et cible un site de redirection. Le site de redirection l’envoie alors vers une page de phishing contrôlée par l’attaquant.
Comme dans le cas de l’arnaque CAPTCHA, les utilisateurs qui ne remarquent pas la redirection pensent qu’ils accèdent à un site populaire et peuvent saisir leurs informations privées ou leurs identifiants de connexion pour accéder au site.
Boutons de lecture sur des images statiques
Lorsque vous voyez un bouton de lecture sur une image, votre premier réflexe est de cliquer sur le bouton et de regarder les vidéos. Cette réaction naturelle à un bouton de lecture est ce que les attaquants attendent lorsqu’ils envoient un fichier PDF avec une image statique contenant un bouton de lecture de type vidéo.
Cette arnaque est courante lors des attaques de phishing ciblant les traders et les investisseurs en cryptomonnaies. Les victimes ouvrent le fichier PDF et cliquent sur le lien de la fausse image vidéo. Au lieu de lire une vidéo, ils sont redirigés vers un site malveillant qui les invite à saisir leurs informations de carte de crédit pour un site de rencontre.
Partage de fichiers et phishing
La plupart des utilisateurs possèdent un compte Google Drive ou un compte Microsoft OneDrive. En obtenant l’accès à l’un ou l’autre de ces comptes, les attaquants disposent d’une grande quantité de documentation et de données privées provenant des fichiers stockés sur ces comptes de stockage dans le cloud.
Ils utilisent des liens images dans les fichiers PDF pour inciter leurs cibles à divulguer leurs informations d’identification afin d’accéder à leurs comptes.
L’image affiche une invitation à accéder à un fichier dont l’utilisateur sait instinctivement qu’il devrait ouvrir son disque dur. Pourtant, il s’agit d’une page de phishing qui s’ouvre lorsqu’il clique sur le lien.
Cette page de phishing ressemble exactement à la page d’accueil d’OneDrive ou de Google Drive, de sorte que la victime qui ne remarque pas le nom de domaine dans la fenêtre de son navigateur va instinctivement saisir son nom d’utilisateur et son mot de passe.
Une fois qu’il aura saisi ces informations, les informations seront envoyées à l’attaquant qui peut alors accéder à son compte cloud.
Escroqueries sur les sites de commerce électronique
L’utilisation de logos populaires est beaucoup plus convaincante que celle d’images de marque inconnues. Les logos de sites comme eBay, PayPal, Microsoft, Google et Amazon sont connus dans le monde entier, de sorte que les attaquants ont de nombreuses victimes potentielles lorsqu’ils envoient des emails de phishing à des milliers de destinataires.
Les dernières attaques de phishing utilisant des fichiers PDF incluent des logos de commerce électronique courants pour convaincre les lecteurs de cliquer sur des liens. Les sites de commerce électronique contiennent des informations privées et des données de cartes de crédit, de sorte que les attaquants peuvent voler des produits en utilisant les informations de la victime ciblée.
Par exemple, le fichier PDF peut contenir le logo Amazon et demander aux utilisateurs de cliquer sur le lien pour acheter des produits. Au lieu d’ouvrir Amazon dans le navigateur de l’utilisateur, un site web contrôlé par l’attaquant se faisant passer pour le site légitime demande aux utilisateurs de s’authentifier.
Lorsque les utilisateurs saisissent leurs informations d’identification sur le site de phishing, l’attaquant dispose désormais de leurs informations de connexion pour accéder à leurs comptes de commerce électronique.
Conclusion
Les attaques de phishing restent la menace numéro un contre les utilisateurs et les entreprises. Utilisez des filtres de la messagerie électronique pour mettre fin à ces attaques.
Les filtres de messagerie détectent les pièces jointes malveillantes et les empêchent d’atteindre la boîte de réception du destinataire.
Grâce à la cybersécurité des emails, les entreprises peuvent réduire considérablement le risque de phishing et empêcher vos employés de devenir la prochaine victime d’une attaque cybercriminelle.
Le filtre de messagerie SpamTitan bloque les spams, les virus, les malwares, les tentatives de phishing et d’autres menaces utilisant la messagerie électronique des entreprises, les fournisseurs de services gérés et les écoles du monde entier.
Découvrez l’ensemble des fonctionnalités de SpamTitan dans cette démo. Voir la démo.
Un autre mois, une autre souche de ransomware. Celle-ci s’appelle Epsilon Red, un nom qui fait référence à un personnage ennemi peu connu de la série de comics Marvel X-Men. Le personnage de bande dessinée « Super Soldier » est d’origine russe et armé de quatre tentacules mécaniques.
Quant à la souche Epsilon du ransomware, elle utilise des scripts PowerShell plutôt que des tentacules et traque sélectivement les serveurs Exchange non patchés.
Si les noms des descripteurs et les extraits de code changent, les méthodologies restent les mêmes. On ne sait pas si le malware tire parti de l’exploit ProxyLogon rendu célèbre au début de l’année. Ce qui est clair, c’est qu’il a été identifié la semaine dernière après avoir fait sa première victime une semaine plus tôt, pour un montant d’environ 177000 euros.
Le plan d’attaque d’Epsilon Red consiste pour les attaquants à obtenir un point d’entrée dans un serveur Microsoft Exchange non patché. À partir de là, ils utilisent des outils de script pour installer d’autres logiciels sur des machines accessibles depuis le serveur Exchange.
Il s’agit notamment d’une série de scripts PowerShell portant des noms rudimentaires tels que 1.pas1 à 12.ps1.
Bien que les scripts eux-mêmes n’aient rien de très avancé, les analystes affirment qu’ils pourraient être en mesure d’échapper à l’attention des outils antimalware de base suffisamment longtemps pour accomplir les tâches qui leur sont assignées.
Voici quelques-unes des tâches assignées :
Modifier les règles du pare-feu local pour permettre aux attaquants d’établir des connexions à distance ;
Désactiver le processus susceptible de verrouiller les fichiers et d’empêcher leur chiffrement ;
Supprimer toute copie d’ombre de volume afin d’empêcher la récupération locale des fichiers ;
Désinstaller les logiciels de sécurité tels que Trend Micro, MalwareBytes, Webroot, etc. ;
Désactiver Windows Defender ;
Supprimer les journaux de Windows Even ;
Étendre les permissions sur le système afin que le groupe « Tout le monde » ait accès à tous les lecteurs ;
Copier le gestionnaire de comptes de sécurité de Windows pour récupérer les mots de passe stockés sur un ordinateur local.
Jusqu’à présent, les attaquants ont également téléchargé et installé une application commerciale appelée « Remote Utilities » et le navigateur Tor comme alternative de secours pour obtenir le contrôle d’un réseau.
La dernière étape effectuée par les scripts consiste à livrer la charge utile proprement dite. La charge utile consiste en un fichier appelé Red.exe. Une fois téléchargée, la charge utile se met au travail et analyse les disques durs locaux afin de compiler une liste de tous les fichiers et chemins de répertoire.
C’est à ce moment-là que le processus de chiffrement commence. Une fois qu’un fichier est chiffré, il porte l’extension « .epsilonred ».
L’étape finale consiste à déposer une note de rançon pour alerter la victime et lui fournir des instructions supplémentaires.
Bien que la note du ransomware présente des points communs avec les notes émises par le gang du ransomware REvil, on pense que le groupe à l’origine de la variante EpsilonRed est composé d’armatures.
Certains experts sont sceptiques quant à la récupération des fichiers, car le processus de chiffrement utilisé n’exclut pas les fichiers système critiques et les bibliothèques de liens dynamiques, ce qui peut empêcher l’ordinateur de redémarrer correctement.
Une autre tendance croissante en matière de ransomware
Nous avons parlé de Ransomware 2.0 à plusieurs reprises sur le blog de TitanHQ, et de la façon dont les pirates exfiltrent les fichiers avant de les chiffrer afin de doubler leur pouvoir d’extorsion. De cette façon, si l’organisation victime est en mesure de récupérer ses fichiers par elle-même, elle peut menacer de rendre les fichiers publics ou de les vendre sur le marché libre.
Récemment, une nouvelle méthode d’attaque a été découverte, impliquant un double chiffrement. Dans ce cas, les attaquants utilisent plusieurs types de ransomwares en tandem pour chiffrer les fichiers d’un réseau ciblé.
Il existe deux façons d’utiliser ces souches multiples dans une attaque. La première consiste à chiffrer les fichiers à l’aide d’un type de ransomware, puis à les rechiffrer avec une autre variante.
L’autre consiste à utiliser ce que l’on appelle le chiffrement côte à côte, c’est-à-dire que les fichiers ne sont chiffrés qu’une seule fois, mais que différents systèmes sont chiffrés avec des variantes différentes.
Cette nouvelle tactique s’explique par un certain nombre de raisons. Au minimum, l’utilisation de plusieurs souches de ransomware complique et allonge le processus de restauration.
Par conséquent, la probabilité qu’une victime se remette d’une attaque par ses propres moyens est considérablement réduite. Cela donne également aux attaquants la possibilité de déterminer l’efficacité de différentes souches à la fois.
Le véritable avantage est toutefois la possibilité d’augmenter le montant de la rançon. Les attaquants peuvent émettre deux notes de rançon au début pour s’assurer que la victime est consciente de la complexité supplémentaire de sa situation.
Dans d’autres cas, les victimes ne voient qu’une seule note de rançon et ne découvrent la deuxième couche de chiffrement qu’après avoir payé pour éliminer la première.
La cybersécurité est une cible mouvante. Les créateurs de ransomwares continuent de publier de nouvelles souches pour tirer parti des nouveaux kits d’exploitation découverts ainsi que de nouvelles innovations furtives pour éviter la détection.
En même temps, les escrocs expérimentent de nouvelles tactiques et stratégies afin d’améliorer leur efficacité. Voici pourquoi il est important de s’allier à d’excellents partenaires en matière de cybersécurité.
Vous pouvez protéger votre entreprise contre la menace toujours plus grande des ransomwares.
TitanHQ protège votre entreprise en utilisant une sécurité multicouche pour bloquer les menaces avancées.
Les douze derniers mois ont été terribles pour les compagnies aériennes du monde entier. La pandémie du Covid-19 a cloué les avions au sol et provoqué un impact économique considérable. Selon une étude de KPMG, les pertes mondiales du secteur aérien devraient atteindre plus de 252 milliards de dollars en 2020.
Cependant, les cybercriminels ont décidé de frapper les compagnies aériennes même pendant qu’elles sont à terre, avec des fraudes et des cyberattaques qui continuent de sévir dans le secteur de l’aviation.
Parmi ces attaques, citons la violation de données « sophistiquée » de la part de SITA Passenger Service System Inc. en février 2021, entraînant le vol de données personnelles de passagers et affectant plusieurs compagnies aériennes.
Indépendamment de cette violation, SITA a déclaré précédemment que seuls environ 35 % des compagnies aériennes et 30 % des aéroports sont correctement préparés aux cyberattaques.
Les types de cyberattaques visant le secteur de l’aviation sont variés et comprennent les attaques de ransomwares, les attaques par déni de service distribué (DDoS) sur les sites web et les menaces persistantes avancées (APT). Une récente attaque du groupe APT LazyScripter démontre la sophistication et les méthodes très ciblées que les cybercriminels utilisent contre les compagnies aériennes.
Une menace persistante avancée (APT) pour les compagnies aériennes
L’attaque APT de LazyScripter contre l’industrie aéronautique montre à quel point les attaques sont devenues insidieuses et complexes.
LazyScripter est un groupe de pirates informatiques qui a été récemment identifié bien qu’il soit probablement actif depuis 2018. Le groupe a récemment été détecté par Malwarebytes, utilisant un cheval de Troie d’accès à distance ou RAT pour cibler spécifiquement les demandeurs d’emploi des compagnies aériennes.
Les cibles comprennent l’Association internationale du transport aérien (IATA) et diverses compagnies aériennes. Le lien commun entre ces différentes menaces semble être l’utilisation d’un logiciel appelé « BSPLink », utilisé par l’IATA comme application de facturation et de règlement.
Le RAT a été découvert par les chercheurs de Malwarebytes, qui ont identifié des tactiques et des mises à jour de boîtes à outils à distance permettant d’échapper à la détection. Par exemple, les pirates ont récemment modifié la façon dont ils trompent les utilisateurs en imitant une nouvelle fonctionnalité de la pile logicielle de l’IATA, connue sous le nom de « IATA ONE ID ». Il s’agit d’un outil de traitement des passagers sans contact.
Les chercheurs ont remarqué que certaines tactiques étaient utilisées pour déployer le RAT
Des emails de phishing ont été utilisés pour diffuser des téléchargeurs de malwares sous la forme de fichiers batch, de VBScript et de fichiers de registre, cachés dans des zips ou des documents. Ce type de mécanisme de diffusion est appelé « maldocs » ou « documents Office malveillants », c’est-à-dire les fichiers malveillants qui se font passer pour des icônes PDF, Word ou Excel.
Les emails de phishing utilisaient des thèmes liés à l’IATA ou à l’emploi pour faire croire aux utilisateurs que les messages étaient légitimes. Ils avaient également des thèmes associés aux mises à jour de Microsoft et au Covid-19.
Des documents ou des fichiers zip en pièces jointes des emails étaient utilisés comme vecteur d’infection initial. Ce sont ces fichiers qui contenaient le téléchargeur du malware.
Certains emails de spam contenaient un lien raccourci. En cliquant sur le lien, l’utilisateur était redirigé vers un téléchargeur de malware nommé « KOCTOPUS ». Ou bien, un document contenait une version intégrée de KOCTOPUS.
On peut par exemple citer l’utilisation du fichier téléchargeur de script PowerShell qui était utilisé pour exposer les ports locaux du système victime sur Internet. Au total, sept exécutables ont été trouvés associés à KOCTOPUS. Les signaux émis par ces fichiers indiquaient que des mises à jour à distance avaient été effectuées.
GitHub a été utilisé par LazyScripter pour héberger ses boîtes à outils, qui comprenaient des boîtes à outils de sécurité open source, mais les comptes ont été supprimés par la suite.
Comment prévenir une cyberattaque ciblée ?
Il est important de retenir de l’exemple de LazyScripter que les cybercriminels réfléchissent soigneusement à la manière dont ils mènent une attaque. Ces groupes de pirates sont des criminels dévoués, déterminés à semer le chaos et la destruction, et leur objectif est souvent financier : voler des données pour les revendre ou pour commettre une fraude financière.
Il n’existe pas d’approche unique pour faire face aux cybermenaces qui visent des secteurs spécifiques. Les pirates à l’origine des attaques prennent le temps de comprendre leurs cibles pour trouver les meilleurs moyens pour faire en sorte que leurs scénarios d’attaques réussissent.
Le gang derrière l’attaque contre LazyScripter a utilisé des logiciels reconnus comme légitimes et des emails de marque pour faire croire aux utilisateurs qu’ils étaient en sécurité. La détection et la prévention de ces types de cybermenaces très ciblées nécessitent une position proactive en matière de sécurité et des outils adaptés.
Outre la protection des données des clients, il est essentiel de veiller à ce que le personnel soit sensibilisé à la cybersécurité. Cependant, même les employés les plus conscients peuvent encore être dupés en cliquant sur un lien lorsque des tactiques astucieuses telles que les maldocs sont utilisées.
Les emails de phishing — en particulier les emails de spear-phishing — sont très difficiles à repérer, même pour les employés les plus avertis en matière de sécurité. Une prévention robuste contre le phishing et les liens vers des sites malveillants est nécessaire pour servir de « premier filet de capture ». Ces outils empêchent les emails malveillants d’entrer dans la boîte de réception d’un employé et — s’ils parviennent à passer – empêchent l’employé d’accéder à un site web dangereux.
Protection contre les sites web malveillants
Les outils de filtrage de contenu intelligents empêchent les employés de consulter des sites malveillants en cliquant sur un lien dans un email de phishing, même s’il s’agit de liens habilement déguisés comme dans les emails de phishing de LazyScripter. Ces outils d’apprentissage automatique vérifient un site web pour s’assurer qu’il ne contient aucun malware et qu’il ne s’agit pas d’un site de phishing.
Protection contre le phishing
Le phishing peut être évité grâce à une solution de protection des emails. Ces outils analysent tous les emails entrants à la recherche de signaux indiquant qu’un email est un spam ou contient des pièces jointes malveillantes ou des liens dangereux.
Certains outils, comme SpamTitan, protègent les organisations contre les vulnérabilités de type « Zero-Day » grâce à des technologies intelligentes. Cette dernière capacité est importante, car les cybercriminels continuent d’utiliser les failles de type « zero-day » pour contourner vos systèmes de protection tels que les correctifs et les logiciels antimalware pour les points d’accès.
Les cybercriminels se moquent de savoir si un secteur a été gravement touché par une mauvaise économie ou une catastrophe telle que la pandémie du Covid-19. Tout ce qui les intéresse, c’est de créer des chaînes d’attaques complexes et sophistiquées qui sont difficiles à détecter et à prévenir. Heureusement, les professionnels de la sécurité cherchent constamment des solutions pour contrer les cybermenaces avec leurs propres outils sophistiqués.
TitanHQ fournit une protection contre les menaces avancées pour protéger votre organisation des attaques de phishing. Apprenez-en davantage sur la protection multicouche de TitanHQ dès aujourd’hui. Contactez-nous.
La pandémie a changé la façon dont le monde travaillait et apprenait. Les enseignants ont fait l’expérience unique de changer leur façon de travailler et d’enseigner à leurs élèves. Ils étaient contraints de proposer un enseignement en ligne, ce qui signifie que les étudiants communiquaient principalement par le biais d’applications VoIP (voix sur IP) et de messages électroniques.
Les escrocs se sont emparés du changement de communication dans l’enseignement et ont utilisé des attaques de phishing conçues pour ressembler à des étudiants rendant leur travail. Les emails contenaient des pièces jointes malveillantes avec des macros qui téléchargeaient un ransomware et cryptaient les fichiers des enseignants. Pour récupérer leurs données, ils avaient trois choix : payer une rançon pour obtenir la clé de déchiffrement ; les restaurer à partir d’une sauvegarde ou perdre définitivement leurs fichiers essentiels.
Les enseignants victimes de nouvelles campagnes de ransomware
Alors que tout le monde s’acclimatait aux changements de leur mode de travail à cause du confinement, les enseignants ont mis en place une communication en ligne et des sites Web pour que les élèves puissent poser des questions et rendre leurs devoirs. La dernière campagne de phishing a imité les communications entre élèves et enseignants. Le message électronique prétendait être le parent d’un élève et comportait un fichier joint contenant une macro malveillante.
Le message indiquait à l’enseignant que les messages précédents n’avaient pas permis de remettre le devoir de l’élève. Les chercheurs pensent que les attaquants ont récolté les adresses électroniques des enseignants ciblés en utilisant les listes de contacts des professeurs sur le site Web de l’école. Comme ces pages contiennent le nom de l’enseignant, l’attaquant pouvait alors adresser l’email avec le nom de l’enseignant, faisant croire que le message était légitime. Après que l’enseignant a ouvert le fichier joint, la macro a téléchargé les fichiers exécutables du ransomware.
L’un des aspects de cette attaque était que les exécutables malveillants envoyaient un message SMS à l’attaquant pour l’avertir de la présence d’une nouvelle victime. Un autre aspect unique de cette souche de ransomware est qu’elle a été écrite dans le langage de programmation Go, contrairement à de nombreuses autres souches standards. Les fichiers chiffrés par le ransomware sont répertoriés dans un fichier texte nommé « About_Your_Files.txt » et stocké sur le bureau de l’utilisateur.
Le ransomware visait les particuliers et non les entreprises. Les attaques au niveau des entreprises demandent des dizaines de milliers d’euros, ce qui oblige l’entreprise à payer la rançon ou à perdre l’accès à ses données essentielles.
Les ransomwares ciblant les enseignants demandent environ 60 euros en bitcoins, ce qui les rend abordables pour que les particuliers choisissent de payer la rançon au lieu de récupérer les sauvegardes. Les auteurs de ransomwares destinés aux entreprises demandent généralement des montants plus élevés, sachant que les entreprises disposent de plus de fonds.
Des ransomwares retardent les cours dans tous les États-Unis
Comme les écoles ne disposent pas souvent des ressources nécessaires pour stopper les attaques sophistiquées, elles sont des cibles privilégiées pour les attaques de ransomwares. Tout au long de l’année 2020, les ransomwares ont retardé les sessions de cours dans plusieurs écoles aux États-Unis. Par exemple, un ransomware a retardé le premier jour de classe d’une école de Hartford, dans le Connecticut. Le ransomware de cette attaque a visé 200 serveurs de la ville, ne permettant pas à l’école d’obtenir des listes et des informations sur les élèves.
En septembre 2020, une attaque de ransomware a touché le district scolaire du comté de Clark à Las Vegas, dans le Nevada. Les responsables de l’école ont refusé de payer la rançon et, en retour, les attaquants ont publié les numéros de sécurité sociale, les notes des élèves et d’autres données privées recueillies par leur malwares.
Cet incident décrit de nombreux scénarios lorsque les victimes refusent de payer la rançon. Dans de nombreux cas, les attaquants font chanter la victime ciblée en exposant des données privées, ce qui peut être tout aussi dommageable, voire plus que la perte des données elles-mêmes.
Comment les écoles peuvent-elles se défendre contre les ransomwares ?
Outre les contrôles de cybersécurité qui bloquent les malwares traditionnels, le blocage des ransomwares nécessite l’éducation des utilisateurs finaux, des filtres de messagerie et des sauvegardes. Les sauvegardes constituent la première défense réactive contre les ransomwares. Si un malware parvient à chiffrer des fichiers, les sauvegardes permettent aux écoles et autres organisations de restaurer les données sans payer la rançon.
Les sauvegardes doivent être stockées hors site afin que les ransomwares ne puissent pas y accéder. Les sauvegardes dans le cloud sont principalement utilisées dans les stratégies de reprise après sinistre requises après une attaque de ransomware.
L’utilisation de filtres de messagerie est une autre stratégie de cybersécurité. En étant proactive, une organisation éducative peut arrêter les pièces jointes de ransomware avant qu’elles n’atteignent les boîtes de réception des utilisateurs ciblés. Avec les filtres de messagerie, votre système de sécurité pourra détecter les messages et pièces jointes malveillants et les envoyer en quarantaine.
La quarantaine est un lieu de stockage sûr où les administrateurs peuvent examiner le contenu du courriel et déterminer s’il s’agit d’un faux positif. S’il s’agit d’un faux positif, les administrateurs le transmettent à la boîte de réception du destinataire. Les messages contenant des malwares peuvent être supprimés ou examinés en vue d’améliorer la stratégie de l’organisation.
L’éducation des utilisateurs est une troisième option. Comme les enseignants communiquent souvent avec leurs élèves en ligne, les sensibiliser aux dangers des malwares et du phishing leur permet d’identifier ces messages.
Les enseignants sont des cibles récentes, et leurs propres appareils sont à risque s’ils continuent à enseigner depuis leur domicile. En dispensant l’éducation et la formation à la cybersécurité nécessaires pour identifier le phishing, les enseignants seront moins susceptibles d’être la prochaine victime d’une telle attaque. Ils doivent également savoir que l’ouverture des pièces jointes doit se faire avec prudence et que les macros ne doivent jamais être exécutées.
Technologie et éducation
La plupart des écoles ont adopté le numérique pour communiquer et collaborer avec les élèves. Les appareils tels que les Chromebooks et les iPads sont monnaie courante. La productivité et la collaboration entre le corps enseignant, les élèves et les parents ont augmenté en conséquence.
Cette transformation numérique du secteur de l’éducation présente des défis en matière de sécurisation des communications et de protection des étudiants contre les attaques en ligne. Les universités et les écoles doivent être en mesure de protéger rapidement et facilement leurs étudiants et leur personnel contre les menaces en ligne.
WebTitan on-the-go (OTG) pour les Chromebooks est maintenant disponible, pour protéger tous les utilisateurs de vos Chromebooks contre les menaces en ligne. Conçu pour le secteur de l’éducation, il s’agit d’une solution de filtrage de sécurité rapide et abordable pour les Chromebooks qui prend en charge la conformité CIPA, ce qui permet à votre école ou votre bibliothèque de bénéficier de réductions E-rate pour des services autres que la téléphonie.
Le nombre d’attaques de ransomwares est de nouveau en hausse. Découvrez les dernières tendances en matière de ransomware dans ce dossier.
Alors que les gouvernements réduisent lentement les exigences en termes de confinement en cas de pandémie ; et qu’une plus grande partie de la population se fait vacciner, les auteurs de malwares continuent de créer des logiciels. Ces derniers tirent parti des anciennes et nouvelles craintes créées par le Coronavirus.
Les chercheurs se sont focalisés sur les dernières tendances concernant l’évolution de nouvelles formes de ransomware ciblant les entreprises. Rappelons qu’en 2020, les malwares visaient principalement les particuliers travaillant à domicile.
Alors que de plus en plus d’employés retournent dans leurs bureaux, les attaquants tournent leur attention vers les entreprises et les nombreuses erreurs humaines qui permettent une violation de données réussie.
Le ransomware Babuk et ses caractéristiques
Le tout dernier ransomware — appelé Babuk — a été conçu pour cibler les données des entreprises. Les pirates l’utilisent pour chiffrer les données des organisations en vue de demander aux victimes ciblées de payer une rançon d’environ 50 000 à 70 000 euros en échange des clés privées nécessaires au déchiffrement des données.
Les chercheurs ont constaté que Babuk était principalement un ransomware standard, mais qu’il présentait quelques caractéristiques qui le rendaient spécifiquement conçu pour les entreprises plutôt que pour les particuliers. Principalement, il désactive de nombreux services utilisés dans un environnement d’entreprise et non par des utilisateurs individuels.
Babuk désactive de nombreuses fonctions de sauvegarde disponibles dans Windows. La première fonction désactivée est le service de copie d’ombre de volume (VSS – Volume Shadow Copy) utilisé pour effectuer des sauvegardes des fichiers en cours d’utilisation.
Lorsque cette fonction est désactivée, les utilisateurs ne peuvent plus récupérer leurs fichiers actifs. Elle désactive également le mécanisme de verrouillage des fichiers utilisé sur les fichiers ouverts et actifs. Pour les entreprises qui utilisent les fonctions de sauvegarde de Microsoft Office, Babuk désactive également ces fonctions.
Après avoir désactivé les fonctions de sauvegarde de Windows, Babuk lance la phase de chiffrement. Il double le chiffrement des petits fichiers de moins de 41 Mo et divise les gros fichiers en petites parties avant de les chiffrer. Le ransomware utilise un algorithme de chiffrement appelé ChaCha8, généré à partir d’un hachage SHA-256, un algorithme qui représente une famille de fonctions de hachage.
Pour les ransomwares qui ciblent les particuliers, les pirates utilisent plusieurs clés pour chaque utilisateur. Babuk n’utilise qu’une seule clé privée, ce qui est une autre indication qu’il cible les entreprises. La plupart des activités de Babuk sont similaires à celles d’autres ransomwares, mais il est tout aussi dangereux pour l’intégrité et la confidentialité des données d’entreprise que ses prédécesseurs.
Comment se protéger de Babuk et des autres ransomwares ?
Les ransomwares sont considérés comme des applications malveillantes très agressives et représentent une grande menace pour l’intégrité des données. Ils peuvent paralyser une organisation en détruisant des données et en menaçant la réputation de sa cybersécurité. À cause de ces malwares, les clients peuvent également perdre confiance dans la cybersécurité de l’organisation ciblée et peuvent choisir de travailler avec un concurrent.
Aucune stratégie de cybersécurité ne permet de réduire à 100 % ces menaces, mais vous pouvez prendre des mesures pour réduire considérablement les risques d’être la prochaine victime de Babuk. La première stratégie consiste à chiffrer les fichiers importants. En faisant cela, vous rendez beaucoup plus difficile pour Babuk d’identifier les fichiers qui pourraient contenir vos informations importantes.
La deuxième stratégie consiste à utiliser des sauvegardes en ligne. Babuk désactive de nombreux services de sauvegarde intégrés à Windows, mais une solution de sauvegarde secondaire qui stocke les fichiers hors site ou dans le cloud améliore la reprise après sinistre. Même si vous êtes victime de Babuk, vous disposez alors de sauvegardes qui peuvent être utilisées pour récupérer les données au lieu de vous retrouver dans une situation où les sauvegardes sont également chiffrées et où il faut payer une rançon pour avoir accès à vos données essentielles.
Les ransomwares pénètrent dans les entreprises de plusieurs façons, c’est pourquoi il faut plus d’un produit pour les combattre. Une troisième stratégie consiste à adopter une approche de la sécurité par couches. La sécurité multicouche ne consiste pas simplement à superposer de nouveaux outils de sécurité à l’infrastructure existante. Il s’agit d’une architecture qui nécessite un plan bien conçu. La mise en œuvre n’est pas toujours simple, car elle exige de la planification et de l’expertise.
S’appuyer sur une seule couche de sécurité n’est plus judicieux dans le paysage actuel des menaces cybercriminelles. Les organisations doivent se concentrer sur les données qu’elles protègent et construire des couches de sécurité autour d’elles. Vos clients vous en remercieront et vos résultats financiers n’en seront que meilleurs.
Cette approche de sécurité multicouche doit également inclure le filtrage des emails. Les filtres de messagerie dotés d’intelligence artificielle (IA) identifient les messages et les pièces jointes suspects et les envoient en quarantaine, où ils peuvent être examinés par un administrateur.
En empêchant les messages malveillants d’atteindre la boîte de réception d’un utilisateur ciblé, on réduit les risques en éliminant l’erreur humaine. Toute pièce jointe contenant des macros, des fichiers exécutables ou des messages dont l’adresse d’expéditeur est usurpée est bloquée par les filtres de messagerie. Les administrateurs examinent les messages mis en quarantaine et envoient les faux positifs au destinataire prévu afin que les courriels ne soient jamais perdus ou automatiquement supprimés.
Les logiciels de surveillance détectent le trafic suspect sur le réseau. Il s’agit donc également d’une stratégie utilisée pour détecter les malwares lorsqu’ils recherchent des ressources. La surveillance de la détection et de la prévention des intrusions empêche les malwares de chiffrer des fichiers ou d’exfiltrer des données, puis elle alerte les administrateurs.
Les administrateurs peuvent alors enquêter et identifier tous les fichiers et services suspects actifs sur le réseau. N’oubliez pas que les appareils des utilisateurs peuvent également exécuter des malwares qui vont analyser le réseau à la recherche de données et de fichiers critiques.
Enfin, l’éducation des employés contribue à réduire les risques. Les erreurs humaines constituent toujours une menace pour l’organisation, mais en leur donnant les connaissances nécessaires à la détection des menaces, vous réduisez le risque qu’ils se laissent prendre au piège d’une attaque de phishing ou de malwares via la messagerie électronique.
Lorsqu’ils voient les drapeaux rouges inclus dans un message électronique malveillant, ils seront capables de le reconnaître et d’alerter les administrateurs. En même temps, ils pourront éviter d’exécuter les pièces jointes sur leurs appareils.
En combinant l’éducation des utilisateurs avec les bonnes stratégies de cybersécurité, votre organisation pourra éviter d’être la prochaine victime d’un ransomware.
Protégez votre organisation contre les attaques de phishing avec SpamTitan Email Security. Commencez un essai gratuit pour découvrir comment SpamTitan peut aider votre organisation à prévenir les attaques de ransomwares. Démarrer l’essai gratuit dès aujourd’hui.
Lorsque nous parlons d’application de la loi en relation avec une attaque de ransomware, nous nous attendons à ce qu’il s’agisse d’une enquête en cours menée par la police locale et d’autres agences. Nous ne nous attendons certainement pas à ce que le service de police soit la véritable victime de l’attaque. Or, c’est exactement ce qui s’est passé dans la capitale américaine il y a plus d’une semaine, lorsque la police de Washington DC a été victime d’une attaque de ransomware.
Le département est l’une des 26 agences gouvernementales qui ont été touchées par cette menace de ransomware en 2021 jusqu’à présent. Ce n’est pas non plus la première fois que le service de police d’une grande ville américaine est victime d’une attaque. Le département de police de Miami Beach a été touché en février de l’année dernière, tandis que quelques mois plus tôt, la Policy Academy du Queens, à New York, avait été attaquée.
L’attaque contre la Policy Academy de Washington DC a utilisé ce que l’on appelle le ransomware 2.0. Avec cette nouvelle approche du ransomware, les attaquants commencent par exfiltrer les données d’une organisation avant de les chiffrer. Les données sont transférées vers un cloud sécurisé géré par les attaquants. Ceux-ci disposent ainsi d’une autre possibilité d’extorsion pour se faire payer. Si la tentative de chiffrement échoue ou si l’organisation remédie à l’attaque sans la clé obligatoire, les attaquants utilisent alors la menace de la divulgation des données pour se faire payer.
Dans le cas de la police de Washington, le groupe à l’origine de l’attaque a remis une demande de rançon, accordant à la police un délai de grâce de trois jours, après quoi il a menacé de remettre toute information volée entre les mains d’organisations criminelles. Ils ont ensuite publié des captures d’écran sur le dark web pour confirmer qu’ils avaient soulevé des données pendant l’attaque.
Ils ont affirmé être en possession de 250 Go de données comprenant des informations sensibles, notamment des dossiers personnels d’agents de police et d’informateurs, ainsi que des informations concernant des enquêtes en cours.
Selon les experts, les services de police sont une cible de plus en plus importante pour les pirates informatiques en raison de l’immense quantité d’informations qu’ils détiennent sur le public. Les pirates ciblent leurs données afin d’altérer les enquêtes en cours ou d’obtenir des informations à des fins de chantage. Les organisations criminelles sont prêtes à payer pour des données qui les aideront à échapper aux efforts de la police.
Le service de police a confirmé qu’une partie non autorisée avait accédé à son système et que des informations personnelles identifiables concernant des employés avaient été compromises. Il a assuré le public que les opérations de base n’avaient pas été affectées, mais n’a pas confirmé si l’attaque impliquait un ransomware. Ils ont également déclaré que le FBI avait été appelé pour enquêter sur cette affaire.
Qui est Babuk ?
Le groupe à l’origine de l’attaque est connu sous le nom de Babuk, une organisation de piratage dont les membres résident en Russie ou dans les pays voisins. Le groupe a été découvert au début de l’année 2021, selon un document d’analyse publié par McAfee. Le rapport attribue à ce groupe une série d’attaques similaires au cours de l’année écoulée.
Babuk est en fait plus qu’un groupe de cyberattaquants. Le code de leur ransomware est disponible en tant que service pour les affiliés prêts à payer pour le logiciel. Le groupe est entré en scène l’année dernière et a lancé la première attaque connue de ransomware en 2021, et il est actif depuis.
Pas d’échappatoire aux attaques de ransomware
L’une des attaques les plus notoires mises en œuvre par Babuk concernait la franchise de la NBA, les Houston Rockets. Le groupe a réussi à installer un ransomware sur divers systèmes internes des Rockets. Bien qu’un porte-parole de l’équipe ait déclaré que ses systèmes de défense avaient limité la portée de l’attaque et nié que des opérations de l’équipe aient été affectées, Babuk affirme avoir volé 500 Go de données dans les systèmes des Rockets. Les données volées comprenaient des contrats, des accords de non-divulgation et des données financières.
Une autre attaque en 2021 a impliqué une entreprise de défense et d’aérospatiale appelée PDI Group, basée à Dayton, dans l’Ohio. L’entreprise est un important fournisseur d’équipements militaires pour l’armée de l’air américaine et d’autres armées dans le monde. Babuk a pu obtenir un ensemble d’informations sensibles, notamment des contrats, des informations sur les paiements des clients et des données sur les employés.
La fin des attaques de ransomware de Babuk
Ironiquement, le groupe a indiqué sur son site Web que l’incident de la police de Washington serait sa dernière attaque de ransomware et qu’il ne mettrait plus son logiciel à la disposition de ses affiliés. Bien que le groupe ait cessé d’orchestrer des attaques par ransomware, il prévoit de se concentrer sur le vol de données de grandes organisations bien financées. Même si Babuk se retire de la lutte contre les ransomwares, ne vous attendez pas à ce que les attaques de ce type disparaissent.
Prévenez les attaques de ransomware avec une sécurité multicouche avancée. TitanHQ fournit une protection contre les menaces avancées et bloque les activités malveillantes telles que les attaques de ransomware.
Contactez dès aujourd’hui un expert en sécurité de TitanHQ et découvrez comment nous pouvons vous aider à protéger votre entreprise contre les attaques de ransomware. Contactez-nous.
Tout le monde sait que les escrocs utilisent des emails malveillants pour inciter leurs cibles à se laisser prendre par des campagnes de phishing. Cependant, la plupart des personnes ciblées ne sont pas familières avec ce type d’attaque.
Même lorsque les utilisateurs connaissent les campagnes de phishing, ils ne savent toujours pas comment les identifier et éviter de devenir une victime.
Une récente campagne de phishing consiste à envoyer des emails liés au COVID pour inciter les utilisateurs à divulguer leurs données personnelles. En réalité, le but de cette campagne est de voler l’identité des patients vaccinés.
Emails de vaccins contre le COVID à la marque du NHS
En raison de la pandémie, le monde entier se précipite actuellement pour se faire vacciner afin de pouvoir profiter de ses étés et de contribuer à accélérer l’immunité collective. Certains pays exigent une preuve de vaccination pour franchir leurs frontières, ce qui motive fortement les voyageurs à se faire vacciner. L’anxiété et la pression exercée sur les voyageurs pour qu’ils se fassent vacciner constituent un levier pour les auteurs d’attaques de phishing.
La peur et le sentiment d’urgence sont des avantages pour les escrocs. Cela joue en leur faveur et trompe même les utilisateurs éduqués sur le plan technologique. Avec cette dernière attaque de phishing, les escrocs utilisent les logos et la marque du National Health Service (NHS) pour donner à leurs messages électroniques une apparence légitime. Le message de phishing informe les utilisateurs ciblés qu’ils ont été sélectionnés pour recevoir le vaccin.
En utilisant le logo du NHS, le message électronique demande diverses informations privées, telles que le nom, les dates de naissance et les détails de la carte de crédit, afin de pouvoir programmer le vaccin. Bien entendu, aucune de ces informations n’est nécessaire et les patients doivent prendre rendez-vous pour se faire vacciner auprès d’un prestataire de soins agréé. Si les patients n’identifient pas le message comme étant malveillant, ils divulguent leur identité à l’expéditeur, et ces détails peuvent être utilisés pour ouvrir des comptes financiers ou être vendus sur les marchés du darknet.
Les attaques de phishing reposent sur l’erreur humaine
L’erreur humaine est le meilleur atout d’un attaquant. Elle est à l’origine d’un grand nombre de violations de données dans le monde. Cette attaque de phishing cible les particuliers pour leurs informations privées, mais les ransomwares sont également courants. Ces deux types d’attaques permettent aux escrocs de toucher des sommes importantes, et le phishing est le moyen le plus courant de tromper les utilisateurs pour qu’ils tombent dans le piège de l’escroquerie.
Selon les experts, les attaques de phishing exploitant les craintes liées à la vaccination contre le COVID ont augmenté de 350 % cette année, ce qui en fait l’une des plus grandes campagnes à ce jour.
Comme la plupart des gens ont peur des problèmes liés au COVID, la campagne de phishing utilise la peur pour susciter un sentiment d’urgence, ce qui entraîne des erreurs humaines. Même les utilisateurs familiarisés avec le fonctionnement des campagnes de phishing pourraient tomber dans le panneau, car la peur est un avantage pour les escrocs qui utilisent le phishing comme principal vecteur d’attaque.
Les filtres de messagerie empêchent les escroqueries par phishing
Les administrateurs de Gmail de Google affirment bloquer chaque jour 240 millions d’escroqueries liées au COVID. Les filtres de messagerie constituent donc une défense de premier plan contre les campagnes de phishing.
Au lieu de compter sur l’intervention humaine pour stopper l’attaque, les filtres de messagerie éliminent les emails malveillants avant même qu’ils n’atteignent la boîte de réception du destinataire ciblé. Cela permet de stopper la plupart des campagnes de phishing et de protéger les personnes qui, autrement, se laisseraient prendre au piège de l’escroquerie.
L’élimination des courriels frauduleux envoyés à des particuliers est une bonne chose pour les comptes personnels, mais la suppression automatique des courriels dans un contexte professionnel peut créer des problèmes dus à de faux positifs.
Si un faux positif supprime des messages importants, cela entraîne des interruptions dans les communications professionnelles, les contrats, les délais et d’autres flux de travail critiques pour la productivité.
Au lieu d’ignorer ou de supprimer les emails dans un environnement professionnel, les filtres de messagerie devraient mettre en quarantaine les messages suspects. En mettant les messages en quarantaine, les administrateurs peuvent alors les examiner pour y déceler tout contenu suspect. Si le contenu s’avère légitime et que la mise en quarantaine du message était un faux positif, les administrateurs peuvent alors le transmettre au destinataire prévu. Si le message est considéré comme malveillant, les administrateurs peuvent examiner les autres messages mis en quarantaine pour déterminer si l’organisation est ciblée par une quelconque attaque.
En combinaison avec les filtres de contenu, les organisations réduisent le risque d’être la prochaine victime d’une attaque. Ces messages liés aux vaccins du NHS contiennent des informations convaincantes qui ressemblent à un message légitime. Il n’est donc pas surprenant que de nombreuses victimes ciblées continuent de se laisser prendre au piège des campagnes de phishing.
Les utilisateurs doivent savoir qu’aucun message légitime ne demandera de données privées sensibles, surtout par courrier électronique.
Une façon de traiter les messages de phishing est d’appeler la source de la marque pour valider sa légitimité, mais cela est fastidieux et n’est pas efficace dans un contexte professionnel. Au lieu de cela, les entreprises peuvent utiliser des filtres qui exploitent l’intelligence artificielle pour s’assurer que ces messages malveillants n’atteignent jamais le destinataire prévu.
Il suffit d’un seul courriel de phishing réussi pour nuire à une entreprise, que ce soit parce que la victime divulgue des informations privées à l’attaquant ou que l’utilisateur exécute un malware sur le réseau. Avec les filtres de messagerie en place, vous ne vous soucierez plus de l’erreur humaine et vous vous fierez à la technologie pour détecter et bloquer les attaques.
Le filtrage des emails de SpamTitan fournit une couche protectrice de sécurité aux clients d’Office 365 pour bloquer les spams, les virus, les malwares et les ransomwares. Réduisez le risque d’erreur humaine qui peut entraîner des violations de données avec SpamTitan. Faites un essai de 14 jours pour voir des résultats immédiats. Commencez l’essai gratuit de 14 jours dès maintenant.
Alors que la crise causée par la pandémie du Covid-19 a contraint les entreprises, les écoles et les prestataires de soins de santé à passer au virtuel, les escrocs ont créé des malwares spécifiquement adaptés à la situation mondiale.
Quel que soit le pays ciblé, les développeurs de malwares sont sûrs de trouver des victimes. Ils ne recherchent plus des victimes multiples parmi des milliers d’adresses électroniques. Au lieu de cela, ils se concentrent sur des industries et des individus spécifiques pour augmenter leurs gains.
La cybersécurité ayant été reléguée au second plan alors que de plus en plus d’entreprises et d’écoles devenaient virtuelles, les attaques se sont avérées fructueuses, car de plus en plus de ransomwares ont touché les entreprises et leurs employés.
Les attaques de ransomwares avant le Covid-19
Avant la pandémie, les développeurs de ransomwares ont fait en sorte qu’un maximum de personnes puisse être victimes d’une attaque. Ils utilisaient principalement les emails pour envoyer des pièces jointes malveillantes, et envoyaient des milliers de messages à leurs cibles.
Certains messages électroniques étaient filtrés, tandis que d’autres étaient simplement ignorés ou supprimés par les utilisateurs. Pourtant, un petit pourcentage de destinataires se laissait prendre au piège de l’attaque et installait le malware.
Avec des milliers d’emails envoyés, un escroc pourrait s’attendre à recevoir de l’argent du petit pourcentage de destinataires qui tombent dans le piège du message. Les victimes ouvraient une pièce jointe, exécutaient une macro malveillante, puis payaient la rançon pour récupérer leurs fichiers.
La plupart des ransomwares ciblaient les particuliers et demandaient une petite somme en échange de la clé privée. Un escroc pouvait gagner des milliers d’euros avec des malwares traditionnels ciblant des particuliers.
Attaques de ransomwares depuis le Covid-19
En 2020 et en 2021, les escrocs ont changé de cible pour s’attaquer aux entreprises et à leurs employés travaillant à domicile.
La plupart des entreprises ayant été contraintes de passer au virtuel, les employés travaillaient à domicile et la cybersécurité n’était plus qu’une question de second ordre après la configuration initiale de l’environnement.
En réalité, les entreprises ont migré les données et les applications vers le cloud pour permettre aux employés d’accéder à l’infrastructure nécessaire, mais cela a été fait d’une manière qui a laissé des vulnérabilités.
L’accès d’un seul utilisateur à haut niveau de privilèges peut s’avérer très payant pour un escroc. Les ransomwares peuvent se propager de la machine d’un utilisateur ciblé au réseau mondial, ce qui leur donne l’occasion de chiffrer les fichiers essentiels de toute une organisation.
Si l’organisation ne dispose pas de sauvegardes appropriées et d’un plan de reprise après sinistre, elle sera contrainte de payer la rançon. Les escrocs qui ciblent les entreprises demandent des dizaines de milliers de dollars plutôt que quelques centaines en cryptomonnaie, sachant que les entreprises ont plus d’argent à payer.
Extorsion et déni de service distribué (DDoS)
Si une organisation choisit de ne pas payer la rançon, une autre évolution des nouvelles attaques de ransomware est l’extorsion et le chantage. Les escrocs menacent de rendre les données publiques ou de lancer un DDoS contre l’organisation.
L’extorsion est la sauvegarde secondaire la plus populaire pour les escrocs afin de faire chanter les organisations pour qu’elles paient la rançon, même si elles ont des sauvegardes.
En publiant les données volées, l’organisation souffre d’une atteinte à sa réputation. Il s’agit d’un outil efficace si l’organisation ne parvient pas à payer la rançon.
L’autre option pour les escrocs est de lancer un DDoS sur l’organisation. Cela met hors service les services essentiels, obligeant l’organisation à payer une rançon pour que l’attaque cesse.
La cybersécurité devrait être une priorité pour le personnel distant
Il est inévitable que les entreprises aient plusieurs membres du personnel travaillant à domicile, au moins jusqu’en 2021.
Lorsque les gens reviendront au bureau, le monde du travail reviendra à la normale. Mais les escrocs continueront à se concentrer sur les employés vulnérables travaillant à domicile.
Des contrôles de cybersécurité multicouches doivent être installés pour prévenir les menaces avancées telles que les ransomwares, pour tout employé ouvrant des messages électroniques à la maison.
Les filtres de courrier électronique constituent une couche importante de la cybersécurité. Ils détectent les messages et pièces jointes malveillants avant qu’ils n’atteignent la boîte de réception de l’utilisateur.
Ils sont installés sur les serveurs de messagerie afin que les administrateurs puissent examiner les messages potentiellement malveillants. Les messages signalés par les systèmes de cybersécurité du courrier électronique sont envoyés dans un emplacement de quarantaine où les administrateurs peuvent les examiner.
Les administrateurs peuvent alors transférer les faux positifs au destinataire prévu ou supprimer les messages malveillants.
Les escrocs ne font chanter les entreprises qu’après qu’elles ont été victimes d’un ransomware et d’une violation de données. La suppression des messages sur un serveur de messagerie arrête ces attaques dès le début.
Vous ne dépendez plus de la formation des utilisateurs ou des programmes antivirus locaux. Les appareils des utilisateurs pouvant avoir des programmes antivirus mal gérés, les réseaux d’entreprise ne peuvent pas compter sur les systèmes antimalware des utilisateurs pour détecter les ransomwares.
Avec les filtres de messagerie, l’utilisateur ne reçoit jamais le message, et le contrôle de la cybersécurité est rendu à l’organisation visée.
Les attaques DDoS sont toujours préoccupantes, mais les escrocs qui cherchent à faire chanter leurs cibles par des ransomwares se tourneront vers les organisations qui ne parviennent pas à stopper les messages électroniques malveillants
En éliminant la menace des ransomwares, une organisation réduit considérablement la probabilité d’être victime de chantage, d’extorsion et d’attaques DDoS.
Grâce à la cybersécurité des courriels, le personnel à domicile devient une menace moins importante pour l’organisation en raison du phishing, des malwares et d’autres menaces en ligne.
Une stratégie de sécurité à plusieurs niveaux est essentielle pour toutes les organisations afin de prévenir les attaques de ransomware et les violations de données.
