Archives de catégorie : cyberattaque

Patch Tuesday Juillet 2022

Microsoft corrige 84 vulnérabilités dont 4 critiques, ainsi que 2 concernant Microsoft Edge (basé sur Chromium). Adobe publie 4 avis de sécurité et corrige 27 vulnérabilités dont 18 critiques.

Microsoft a corrigé en ce mois de juillet 2022 pas moins de 84 vulnérabilités. Quatre sont classées comme critiques car facilitant une exécution de code à distance (RCE).

La mise à jour cumulative de Windows dans le cadre du Patch Tuesday de ce mois comprend le correctif pour une vulnérabilité Zero-Day (CVE-2022-22047) activement exploitée. Le 06 juillet 2022, Microsoft a également publié deux mises à jour de sécurité pour Microsoft Edge (sur Chromium) .

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et de falsification ainsi que dans Microsoft Edge (sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Classement des vulnérabilités corrigées par Microsoft en juillet 2022

Déni de Service

5

Importante

5

Élévation de privilèges

50

Importante

50

Divulgation d’informations

11

Importante

11

Microsoft Edge (basé sur Chromium)

2

N/A

2

Exécution de code à distance

12

Critique

4

Importante

8

Contournement des fonctions de sécurité

4

Importante

4

Falsification

2

Importante

2

CVE-2022-22047 Vulnérabilité d’élévation de privilèges dans le composant CSRSS Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10. Élévation de privilèges – Important – L’attaquant qui parvient à exploiter cette vulnérabilité peut obtenir des privilèges SYSTEM (Article 5015874). Évaluation d’exploitabilité : Exploitation détectée

Zoom sur les vulnérabilités Microsoft critiques et importantes

L’avis de sécurité du mois concerne de nombreuses familles de produits Microsoft, dont Azure, le navigateur, les mises à jour de sécurité étendue (ESU), Microsoft Dynamics, Microsoft Office, System Center et Windows. Au total 63 produits/versions Microsoft sont concernés. Les téléchargements concernent Monthly Rollup (Déploiement mensuel), Security Only (Sécurité uniquement) et Security Update (Mise à jour de sécurité).

CVE-2022-30221 | Vulnérabilité d’exécution de code à distance dans le composant graphique de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour l’exploiter, l’attaquant doit d’abord convaincre l’utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant exécutera du code sur le système de l’utilisateur ciblé. Seuls Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 sont affectés par cette vulnérabilité si RDP 8.0 ou RDP 8.1 est installé. Si aucune de ces deux versions de RDP n’est installée sur Windows 7 SP1 ou Windows Server 2008 R2 SP1, vous n’êtes pas concernés par cette vulnérabilité. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22029 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données en mode permanent ou intermittent. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22038 | Vulnérabilité d’exécution de code à distance au niveau du runtime d’appel de procédure à distance (RPC)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données de manière permanente ou intermittenteÉvaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22039 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,5/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit gagner une situation de course. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Évaluation d’exploitabilité : Exploitation moins probable

Autres vulnérabilités Microsoft majeures

Début juillet, Microsoft a publié des correctifs pour les vulnérabilités CVE-2022-2294 et CVE-2022-2295 dans Microsoft Edge (sur Chromium). La vulnérabilité attribuée à chacune de ces CVE est présente dans le logiciel Open Source (OSS) Chromium utilisé par Microsoft Edge. Elle est décrite dans le guide des mises à jour de sécurité pour signaler que la toute dernière version de Microsoft Edge (sur Chromium) n’est plus vulnérable. Pour plus d’information cf Security Update Guide Supports CVEs Assigned by Industry Partners

Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive

Dans le monde entier, des entreprises font confiance à des services de stockage tels que DropBox et Google Drive pour leurs opérations quotidiennes. Cette confiance est pourtant mise à mal par des acteurs malveillants qui, comme le montrent les dernières recherches, redoublent d’ingéniosité pour exploiter la situation au profit d’attaques extrêmement difficiles à détecter et à prévenir.

Les dernières campagnes orchestrées au moyen d’une menace persistante avancée (APT), que l’Unit 42 connait et suit sous le nom de Cloaked Ursa (également appelée APT29, Nobelium ou Cozy Bear) ont donné à voir un niveau de sophistication inédit ainsi que des capacités à s’immiscer rapidement dans des services populaires de stockage sur le cloud afin d’échapper à la détection.

Ce groupe n’en est d’ailleurs pas à son coup d’essai dans le détournement de services cloud légitimes et fiables. Au fil de leurs recherches, les spécialistes ont découvert que leurs deux campagnes les plus récentes exploitaient pour la première fois les services de stockage Google Drive.

La réplication des données opérée sur le cloud Google Drive, à laquelle s’ajoute la confiance de millions de clients à travers le monde, rend les opérations de ce malware particulièrement inquiétantes. En effet, lorsque l’utilisation de services fiables est associée au chiffrement, comme c’est le cas ici, il devient bien plus difficile pour les entreprises de détecter les activités malveillantes en lien avec la campagne.

Cloaked Ursa

Depuis longtemps, le secteur de la cybersécurité considère la menace Cloaked Ursa comme affiliée au gouvernement russe. Ce lien expliquerait notamment la mission historique du groupe, qui remonte aux campagnes de malware lancées en 2008 contre la Tchétchénie et d’anciens pays du bloc soviétique. Un autre des faits d’armes plus récents attribués au groupe est le piratage du Comité national démocrate (DNC) des États-Unis, en 2016, de même que la cyberattaque SolarWinds de 2020 qui a compromis toute une chaîne d’approvisionnement.

Plus précis quant à l’identification des auteurs de l’attaque, les États-Unis comme le Royaume-Uni ont publiquement pointé du doigt le Service des renseignements extérieurs de la Fédération de Russie (SVR), c’est-à-dire les activités d’espionnage. Les dernières campagnes de cet acteur ont servi à faire croire qu’un rendez-vous se préparait avec un ambassadeur. L’Unit 42 pense que ces campagnes ciblaient des missions diplomatiques occidentales qui se sont déroulées entre mai et juin 2022. Les leurres inclus dans ces campagnes suggèrent qu’une ambassade étrangère au Portugal, ainsi qu’une ambassade étrangère au Brésil, ont été prises pour cible. Dans les deux cas, les documents de phishing contenaient un fichier HTML malveillant (EnvyScout) utilisé pour entreposer d’autres fichiers similaires dans le réseau ciblé, notamment un payload Cobalt Strike.

Penser comme un attaquant pour contrer les nouvelles attaques DDoS

Le télétravail a considérablement changé les modes de fonctionnement en entreprise. En effet, selon l’Insee, 22 % des salariés français télétravaillent au moins une fois par semaine. Cette pratique élargit les modes de communications entre collaborateurs, rendant les environnements numériques de travail accessibles depuis n’importe quel appareil connecté, professionnel comme personnel. Cette accessibilité augmente la surface d’attaque et donc les possibilités de corruption des cybercriminels. Ces derniers s’appuient en effet désormais sur cette informatique de périphérie pour s’immiscer insidieusement dans les réseaux, soulignant ainsi la nécessité d’adapter les approches de protection des réseaux à ces nouvelles pratiques.

La part importante des salariés en télétravail nécessite des ajustements que l’informatique de périphérie est capable d’offrir. En revanche, cette dernière présente de nouvelles failles que les cybercriminels exploitent déjà dans les attaques par déni de service distribué (DDoS) : « L’adoption d’une architecture de périphérie – edge computing – qui rapproche le traitement et le stockage des données de leur source, permet entre autres aux entreprises d’accroître les performances de leur réseau, tout en réduisant la nécessité de renvoyer les données recueillies à la périphérie du réseau vers un datacenter. Ainsi, plus de la moitié des entreprises seraient susceptibles d’y recourir pour au moins six cas d’utilisation, d’ici fin 2023. Toutefois, si les entreprises se tournent de plus en plus vers la périphérie, les cyberattaquants s’y intéressent également de très près afin d’adapter leurs modes d’attaques aux pratiques en place. » explique Philippe Alcoy, de chez NETSCOUT

Par ailleurs, outre la lutte contre les attaques par déni de service distribué (DDoS) à la périphérie, il est également essentiel d’accorder une attention particulière aux attaques DDoS plus granulaires au niveau des applications, cibles de choix pour les cybercriminels qui peuvent bloquer les activités des utilisateurs par ce biais.

Il existe trois types d’attaques DDoS courantes de la couche applicative communément utilisées par les acteurs malveillants : Slowloris, Slow Post et les attaques par épuisement des tables d’état TCP.

Tout d’abord, Slowloris, une attaque de la couche applicative qui utilise des requêtes HTTP partielles pour ouvrir des connexions entre un seul ordinateur et un serveur web ciblé. Son objectif est de garder ces connexions ouvertes le plus longtemps possible afin de submerger et de ralentir la cible. Ensuite, avec l’attaque de type Slow Post, le cybercriminel envoie des en-têtes HTTP Post légitimes à un serveur web. Dans les en-têtes, les tailles du corps du message qui suivra sont correctement spécifiées. Cependant, le corps du message est envoyé à une vitesse très lente, avec pour but de ralentir le serveur. Enfin, les attaques par épuisement des tables d’état TCP cherchent à consommer les tables d’état de connexion présentes dans de nombreux composants d’infrastructure tels que les répartiteurs de charge, les pares-feux et les serveurs d’application eux-mêmes. Ces attaques peuvent même détruire des dispositifs de grande capacité permettant de maintenir l’état de millions de connexions.

Les attaques par déni de service distribué sont de plus en plus courantes et sophistiquées, surtout depuis les changements amenés par le travail en distanciel. Les réseaux, encore soumis à des zones d’ombres – en raison des multiples appareils, applications, accès et utilisateurs humains et machines qui y circulent – sont sujets à toujours plus de vulnérabilités. C’est pourquoi les équipes IT doivent rivaliser de précision et de réactivité afin de protéger au mieux la périphérie du réseau et ainsi garantir la disponibilité des applications critiques pour l’entreprise ; de même que les cybercriminels continuent de chercher à garder une longueur d’avance sur les entreprises, pour en dérober les informations et bloquer les accès, ces dernières doivent penser comme des attaquants et partir du principe qu’à chaque changement ou nouveauté, elles seront probablement ciblées. En anticipant ces potentielles attaques, elles seront ainsi plus à même de les contrer.

Managed Detection & Response pour entreprise

L’entreprise F-Secure, nouvellement baptisée WithSecure, renforce les solutions cybersécurité à destination des entreprises hexagonales. Rencontre avec Benoit Meulin, consultant. Depuis maintenant 2 années chez WithSecure, après de nombreuses années passées dans la cyber, il a en charge du portfolio de la BU Solution créé, cette année, par le spécialiste des solutions de protection numérique.

Les besoins pour protéger les entreprises se sont accentués ?

Ces besoins sont en constante évolution et la pression ne cesse d’augmenter sur les entreprises. L’accélération est très importante. Nous avons fait le choix de mettre en place une organisation spécifique afin de suivre cette accélération et toujours mieux protéger nos clients.

WithSecure propose de nouveaux services. Pouvez-vous nous les présenter ?

Nous disposions d’une offre de Managed Detection & Response (MDR) bien implantée en France qui s’appelle COUNTERCEPT. Nous avons décidé de soutenir cette offre de protection par une offre de gestion de la surface d’attaque (EASM : Enterprise Attack Surface Management) qui permet aux clients de mieux appréhender et maîtriser leur surface d’attaque externe et donc de la réduire. Nous proposons également dans le prolongement de ces offres des accompagnements à la préparation des incidents cyber ainsi que des services d’Incident Response.

Quelles seraient les priorités à mettre en place, pour une entreprise souhaitant prendre à bras-le-corps sa cybersécurité ?

Il me semble que la première marche à passer est celle du choix d’un partenaire pour accompagner ce gain en maturité. Commencer par la mise en place d’un MDR permet d’acheter du temps et de la sérénité pour démarrer des chantiers plus structurant autour des aspects de gouvernance et gestion de risque, qui sont les piliers d’une démarche efficace et qui permet à terme de faire les bons choix stratégiques. Je le dis souvent mais mon client idéal est celui qui trois années après avoir souscrit à notre offre MDR nous dit qu’il n’a plus besoin de nous car il est à un niveau de maturité suffisant pour assurer sa propre défense.

Que faut-il craindre, demain, des pirates ?

Nous avons en face de nous une R&D motivée par des sujets aussi bien géopolitiques que financiers. Ces innovations couvrent bien des domaines, de la technique à la stratégie. Nous avons vu évoluer les approches des cybercriminels pour augmenter leurs chances de gain financier lors des attaques, par de la méthode et de la technologie : voler de la donnée (commerciale, R&D etc…) avant de la rendre inaccessible et demander une rançon par exemple. Les supports disponibles pour attaquer une organisation sont de plus en plus nombreux (applications, mobiles, cloud etc…) et une fois de plus, la créativité des attaquants ne doit en aucun cas être sous-estimée. Nous monitorons les évolutions des attaques constamment pour être au plus près de la menace.

Bref, être pro actifs devient indispensable, que ce soit à l’extérieur, mais aussi et surtout à l’intérieur de l’entreprise ?

Je ne serais pas de ces gens qui disent que la faiblesse est entre la chaise et le clavier. L’intérieur de l’entreprise est un des rideaux de défense qui doit être pris en compte, aussi bien au niveau des postes des utilisateurs que des utilisateurs eux-mêmes. Cela passe par des couches de protections technologiques comme par des mesures de sensibilisation et de formation des collaborateurs. Que l’attaquant soit interne ou externe, il finira par essayer de se faire passer pour quelqu’un de légitime sur le réseau et il faudra s’assurer qu’on l’attrape à ce moment là.

Augmentation de 550% du vishing, arnaque téléphonique

Les attaques par hameçonnage vocal (vishing ou voice phishing) auraient augmenté de près de 550 % au cours des douze derniers mois, selon le dernier rapport trimestriel sur les tendances en matière de menaces. Une hausse peu étonnante à la vue des méthodes pirates mises en place pour passer outre la double authentification.

Au cours du premier trimestre 2022, les sociétés Agara/Phishlabs ont détecté des centaines de milliers d’attaques phishing en provenance des réseaux sociaux, messageries électroniques ciblant un large éventail d’entreprises et de marques. Ce rapport analyse les principales tendances du paysage des menaces actuel.

Les attaques par vishing dépassent la compromission des e-mails

Depuis le troisième trimestre 2021, les attaques par vishing ont dépassé la compromission des e-mails professionnels, se positionnant comme deuxième source de menaces pesant sur les systèmes de messagerie électronique. À la fin de l’année, ces dernières représentaient plus d’une menace sur quatre, et cette tendance s’est poursuivie au premier trimestre 2022.

« Les campagnes de vishing hybride continuent de générer des chiffres stupéfiants, puisqu’elles constituent 26,1 % du volume total des attaques enregistrées jusqu’à présent en 2022 », indique John LaCour, de chez HelpSystems. « On assiste à une multiplication des acteurs de la menace qui délaissent les campagnes de phishing vocal standards pour lancer des attaques par e-mail malveillant en plusieurs étapes. Au cours de ces attaques, les hackers se servent d’un numéro de rappel inséré dans le corps de l’e-mail comme appât, puis s’appuient sur l’ingénierie sociale et l’usurpation d’identité pour inciter la victime à appeler et à interagir avec un faux représentant. »

Un chiffre qui pourrait étonner, mais qui pourtant montre l’évolution des pirates. Le blog ZATAZ, référence en matière des actualités liées à la lutte contre le cybercrime, révélait en 2021, une méthode pirate baptisée la méthode du « ALLO » qui consiste à appeler les victimes, par téléphone, pour leur soutirer les informations que les pirates informatiques ne possèdent pas déjà !

Autres enseignements de ce rapport

Les attaques par usurpation d’identité sur les réseaux sociaux sont en hausse. Depuis le deuxième trimestre 2021, le volume des usurpations d’identité ciblant les marques a bondi de 339 % et celui des usurpations d’identité de dirigeants de 273 %. D’après les résultats, les marques constituent des cibles faciles pour les cyber criminels, surtout lorsqu’elles sont associées à des opérations de contrefaçon de produits vendus au détail. Cependant, pour certaines attaques ciblées, des comptes sociaux de dirigeants sont utilisés pour renforcer le réalisme.

Les escroqueries par e-mail dont l’objectif est le vol d’identifiants restent le type de menaces par messagerie électronique le plus courant signalé par les collaborateurs, à hauteur de près de 59 % de tous les typologies de menaces rencontrées. Les vols d’identités ont augmenté de 6,9 % en volume par rapport au quatrième trimestre 2021.

Le paysage des malware est en constante évolution

Qbot a été une fois de plus le malware le plus usité par les acteurs de la menace pour servir leurs attaques par ransomware, mais Emotet a refait surface au premier trimestre prenant la première place du podium.

Alors que près de la moitié des sites d’hameçonnage s’appuient sur un outil ou un service gratuit, le premier trimestre 2022 a été le premier de cinq trimestres consécutifs où les services payants ou compromis (52 %) ont dépassé les solutions gratuites pour les mises en scène des sites de phishing.

« Comme la diversité des canaux numériques utilisés par les entreprises pour conduire leurs activités et communiquer avec les consommateurs se développe, les hackers disposent de multiples vecteurs pour conduire leurs exactions », ajoute John LaCour. « La plupart des attaques ne démarrent pas de zéro ; elles reposent sur la refonte de tactiques traditionnelles et l’intégration de multiples plateformes. Pour continuer à se protéger, les entreprises ne doivent plus uniquement se concentrer sur une protection périmétrique mais augmenter leur visibilité sur différents canaux externes, afin de recueillir des renseignements et de surveiller les menaces de manière proactive. En outre, les équipes de sécurité doivent investir dans des partenariats qui garantiront la prévention rapide et complète des attaques avant qu’elles n’entraînent des préjudices financiers et des atteintes à la réputation. »

Patch Tuesday mars 2022

92 vulnérabilités dont 3 critiques chez Microsoft et 3 avis de sécurité et 6 vulnérabilités dont 5 critiques pour Adobe.

Ce mois, Microsoft a corrigé 92 vulnérabilités (dont 21 pour Microsoft Edge), 3 étant classées comme critiques car susceptibles de provoquer une vulnérabilité par exécution de code à distance (RCE). Ce Patch Tuesday comprend aussi des correctifs pour 3 vulnérabilités Zero-Day divulguées publiquement. Au moment de la publication de cet article, aucune des vulnérabilités figurant dans la liste publiée ce mois-ci n’est exploitée en mode aveugle.

Microsoft a corrigé différents problèmes dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), avec élévation de privilèges, de divulgation d’information, par exécution de code à distance (RCE), avec contournement des fonctions de sécurité et d’usurpation concernant notamment Edge–Chromium.

Vulnérabilités Microsoft importantes corrigées

L’avis de sécurité de ce mois concerne différents produits Microsoft, dont .NET et Visual Studio, Azure Site Recovery, Defender, Edge (basé sur Chromium), MS Exchange Server, HEIF Image Extension, HEVC Video Extension, Intune, les applications Microsoft 365, Office, Paint 3D, le service Bureau à distance (Remote Desktop), le serveur SMB et le système d’exploitation Windows.

CVE-2022-21990 et CVE-2022-23285 – Vulnérabilité par exécution de code à distance (RCE) sur le client Bureau à distance 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. S’il se connecte au service Bureau à distance, l’attaquant qui contrôle un serveur Bureau à distance peut lancer une exécution de code à distance (RCE) sur la machine cliente RDP lorsqu’un utilisateur ciblé se connecte au serveur rendu malveillant depuis un client de bureau à distance vulnérable. 

Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-23277 – Vulnérabilité par exécution de code à distance (RCE) sur le serveur Microsoft Exchange

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. L’attaquant qui exploite cette vulnérabilité peut cibler les comptes serveur via une exécution de code à distance (RCE) ou arbitraire. En tant qu’utilisateur authentifié, il peut tenter de déclencher du code malveillant au niveau du compte du serveur via un appel réseau.

Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-24469 – Vulnérabilité avec élévation de privilèges pour Azure Site Recovery

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Un attaquant peut appeler les API Azure Site Recovery fournies par le serveur de configuration et accéder dans la foulée aux données de configuration, y compris aux certificats associés aux systèmes protégés. À l’aide de ces API, l’attaquant peut également modifier/supprimer des données de configuration et ainsi impacter les opérations de récupération d’un site.

Évaluation d’exploitabilité :Exploitation moins probable.

CVE-2022-24508 – Vulnérabilité par exécution de code à distance (RCE) sur le client/serveur Windows SMBv3 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. En plus de publier une mise à jour pour cette vulnérabilité, Microsoft fournit une solution de contournement qui peut être utile selon votre situation. Dans tous les cas, Microsoft recommande fortement d’installer les mises à jour concernant cette vulnérabilité dès qu’elles seront disponibles, y compris si vous prévoyez de conserver cette solution de contournement. En effet, cette vulnérabilité est présente au sein d’une nouvelle fonctionnalité ajoutée à Windows 10 version 2004 ainsi que dans des versions plus récemment supportées de Windows. Les versions plus anciennes de Windows ne sont pas concernées.

Évaluation d’exploitabilité : Exploitation plus probable.

Vulnérabilités Adobe importantes corrigées 

Adobe a publié des mises à jour pour corriger 6 CVE affectant After Effects, Illustrator et Photoshop. Parmi ces 6 vulnérabilités, 5 sont classées critiques.

APSB22-14 : Mise à jour de sécurité disponible pour Adobe Photoshop

Cette mise à jour corrige une vulnérabilité classée comme importante. En cas d’exploitation réussie, une fuite de mémoire pourrait affecter l’utilisateur ciblé.

APSB22-15 : Mise à jour de sécurité disponible pour Adobe Illustrator.

Cette mise à jour corrige une vulnérabilité critique pouvant entraîner l’exécution de code arbitraire.

APSB22-17 : Mise à jour de sécurité disponible pour Adobe After Effects

Cette mise à jour corrige des vulnérabilités de sécurité classées comme critiques. En cas d’exploitation réussie, une exécution de code arbitraire pourrait affecter l’utilisateur concerné.

Echapper aux espions : comment éviter de devenir une victime ?

Nous pensons de manière générale qu’il est impossible de se protéger complètement des logiciels de surveillance professionnels. Les utilisateurs peuvent néanmoins prendre certaines mesures pour que les attaquants ne puissent pas les cibler aisément.

Pegasus, Chrysaor, Phantom et bien d’autres sont des logiciels dits de « surveillance légale », développés par des entreprises privées et largement déployés par le biais de divers exploits, dont plusieurs zero-days zero-click sur iOS. La version la plus ancienne de Pegasus a été identifiée par des chercheurs en 2016. Depuis lors, plus de 30 000 militants des droits de l’homme, journalistes et avocats à travers le monde pourraient avoir été ciblés à l’aide de Pegasus.

Conseils

Tout d’abord, il est important de redémarrer quotidiennement les appareils mobiles. Les redémarrages aident à « nettoyer » l’appareil, pour ainsi dire, ce qui signifie que les attaquants devront continuellement réinstaller Pegasus sur l’appareil, ce qui rend beaucoup plus probable la détection de l’infection par les solutions de sécurité.

Maintenez l’appareil mobile à jour et installez les derniers correctifs dès qu’ils sont disponibles. En fait, de nombreux kits d’exploitation ciblent des vulnérabilités déjà corrigées, mais ils restent dangereux pour les personnes qui utilisent des téléphones plus anciens et reportent les mises à jour.

Ne cliquez jamais sur les liens reçus par messages. Il s’agit d’un conseil simple mais efficace. Certains clients de Pegasus comptent davantage sur les exploits à 1 clic que sur ceux à zéro clic. Ceux-ci arrivent sous la forme d’un message, parfois par SMS, mais peuvent aussi se propager via d’autres messageries ou même par e-mail. Si vous recevez un SMS intéressant (ou par tout autre biais) avec un lien, ouvrez-le sur un ordinateur de bureau, de préférence en utilisant TOR Browser, ou mieux encore en utilisant un système d’exploitation non persistant sécurisé tel que Tails.

En outre, n’oubliez pas d’utiliser un autre navigateur web pour la recherche sur Internet. Certains exploits ne fonctionnent pas aussi bien sur les navigateurs alternatifs comme Firefox Focus par rapport aux navigateurs plus traditionnels comme Safari ou Google Chrome.

Utilisez systématiquement un VPN ; il est ainsi plus difficile pour les attaquants de cibler les utilisateurs en fonction de leur trafic internet. Lorsque vous souscrivez à un abonnement VPN, il y a quelques éléments à prendre en compte : recherchez des services établis qui existent depuis un certain temps, qui peuvent accepter le paiement avec des crypto-monnaies et qui ne vous demandent pas de fournir des informations d’enregistrement.

Installez une application de sécurité qui vérifie et prévient si l’appareil est soumis à un « jailbreak ». L’espionnage de votre téléphone peut débuter ainsi. Pour persister sur un appareil, les attaquants utilisant Pegasus auront souvent recours au jailbreak de l’appareil ciblé. Si un utilisateur a installé une solution de sécurité, il peut alors être alerté de l’attaque.

Si vous êtes un utilisateur iOS, déclenchez souvent des sysdiagnose et enregistrez-les dans des sauvegardes externes. Des analyses approfondies de l’objet malveillant peuvent vous aider à déterminer ultérieurement si vous avez été ciblé. Les experts de Kaspersky recommandent également aux utilisateurs iOS à risque de désactiver FaceTime et iMessage. Comme ils sont activés par défaut, il s’agit d’un mécanisme d’infection de premier plan pour les chaînes de zéro-clics et ce, depuis de nombreuses années.

En général, les attaques Pegasus sont très ciblées – ce qui signifie qu’elles n’infectent pas les gens en masse mais plutôt des catégories spécifiques. De nombreux journalistes, avocats et militants des droits de l’homme ont été identifiés comme des cibles de ces cyberattaques sophistiquées, mais ils ne sont pas toujours les plus équipés pour se défendre. C’est pourquoi, nous faisons de notre mieux pour fournir les meilleures techniques de protection contre les logiciels malveillants, les hackeurs et les menaces sophistiquées telles que celles-ci, afin de continuer à construire un monde plus sûr.

Troubler les assaillants

Changez d’appareil – si vous étiez sur iOS, essayez de passer à Android pendant un certain temps. Si vous étiez sur Android, passez à iOS. Cela pourrait dérouter les attaquants pendant un certain temps ; par exemple, certains acteurs malveillants sont connus pour avoir acheté des systèmes d’exploitation qui ne fonctionnent que sur certaines marques de téléphone et d’OS.

Procurez-vous un appareil secondaire, fonctionnant de préférence sous GrapheneOS, pour les communications sécurisées. Utilisez une carte SIM prépayée dans celui-ci, ou, ne vous connectez que par Wi-Fi et TOR en mode avion.

Évitez les messageries où vous devez fournir votre numéro de téléphone à vos contacts. Une fois qu’un attaquant a votre numéro de téléphone, il peut facilement vous cibler à travers plusieurs messageries différentes par ce biais – iMessage, WhatsApp, Signal, Telegram, ils sont tous liés à votre numéro de téléphone. Une nouvelle alternative pourrait être Session, qui achemine automatiquement vos messages à travers un réseau de type Onion et ne repose pas sur les numéros de téléphone.

« La sécurité n’est jamais une solution instantanée unique devenant une preuve fiable à 100 % ; considérez-la comme un cours d’eau qui coule et où vous devez ajuster votre navigation en fonction de la vitesse, des courants et des obstacles. » confirme Costin Raiu, responsable de l’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky.

326 millions de dollars volés en deux clics !

La plateforme cryptographique Wormhole qui permet d’envoyer des cryptos vers d’autres blockchains se voit voler 326 millions de dollars.

Un pirate informatique a trouvé un exploit qui lui a permis de libérer 120 000 ETH sans aucun investissement.

La plateforme a déjà offert au hacker une prime de 10 millions de dollars. Il semble que s’il accepte l’offre, il s’agirait d’un versement de prime record dans l’histoire.

En utilisant l’exploit, le pirate a volé 120 000 jetons Ether enveloppés sur la blockchain Solana. Sur ces 120 000 jetons, il en a converti 80 000 en Ethereum et laissé le reste sur la blockchain Solana.

Le pirate n’a pas encore répondu à la proposition de la société. La société d’analyse de blockchain Elliptic lui offre une prime de 10 millions de dollars dans le cadre d’un « accord whitehat ».

Mais vu qu’il a déjà récupéré une partie de la somme, et vendue le reste, 10 millions de dollars ne semblent pas l’intéresser ! (voir ici, et encore ici)

L’attaque Wormhole est désormais la deuxième plus grande cyberattaque contre les services DeFi, la plus importante a visé au mois d’août 2021 Poly Network, avec plus de 600 millions de dollars.

Un ransomware attaque un partenaire d’Apple et de Tesla

Les pirates du groupe CONTI met à mal l’un des principaux contractants d’Apple et de Tesla. Preuve une fois de plus que sécurité, éducation et règles de sauvegardes sont indispensables pour la continuité de service.

L’un des plus puissants groupes de ransomware, le groupe Conti (plus de 300 victimes à son actif) a pris en otage et chiffré la société Delta Electronics. Une entreprise à l’envergure internationale. Delta Electronics est l’un des sous-traitant d’Apple et de Tesla. Delta développe une large gamme de solutions électroniques avec un chiffre d’affaires annuel de plus de 7,7 milliards de dollars (2016).

Basée à Taïwan, l’entreprise emploie plus de 83 000 personnes dans le monde. Le site web de l’entreprise est resté plusieurs jours en « Maintenance du système« . Pas moins de 1 500 serveurs et 12 000 PC (65 000 PC au total sur le réseau) ont été bloqués. Les pirates ont demandé une rançon de 15 millions de dollars.

Autant dire qu’un cloud sécurisé ne fait pas de mal dans une telle situation pour remettre en place l’ensemble de son infrastructure, sans perte de productivité et de contacts avec ses partenaires, clients, etc…

Patch Tuesday Janvier 2022

Microsoft a corrigé 126 vulnérabilités dont 9 sont classées comme critiques. Au moment de la publication de cette analyse aucune des 126 vulnérabilités n’est exploitée de manière active. Microsoft a  dans ses logiciels, dont des vulnérabilités exploitées par exécution de code à distance (RCE), des failles de sécurité facilitant une élévation de privilèges, l‘usurpation d’identité et de déni de service (DoS).

Vulnérabilités Microsoft critiques corrigées 

CVE-2022-21907 – Vulnérabilité par exécution de code à distance dans la pile du protocole HTTP 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Elle affecte les serveurs Windows configurés comme serveurs Web. Pour exploiter cette vulnérabilité, un attaquant non authentifié peut envoyer une requête fabriquée de toute pièce vers un serveur vulnérable en s’appuyant sur la pile du protocole HTTP pour traiter des paquets. Cette vulnérabilité est connue pour se propager sous la forme de vers. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-21849 – Vulnérabilité par exécution de code à distance dans le composant IKE Extension de Windows 

Affichant un score de sévérité CVSSv3.1 de 9,8/10, cette vulnérabilité affecte les systèmes fonctionnant avec la version 2 du composant IKE (Internet Key Exchange). Même si pour l’instant peu d’informations sont disponibles sur cette vulnérabilité, un attaquant à distance peut déclencher plusieurs vulnérabilités lorsque le service IPSec est exécuté sur le système Windows, sans besoin d’être identifié. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21846 – Vulnérabilité par exécution de code à distance sur Microsoft Exchange Server 

Cette vulnérabilité a été découverte et signalée à Microsoft par la NSA (National Security Agency). Elle affiche un score de sévérité CVSSv3.1 de 9,0/10. L’attaque associée à cette vulnérabilité se limite au niveau protocolaire à une topologie logiquement adjacente. Elle ne peut donc tout simplement pas être lancée sur Internet et doit plutôt s’appuyer sur un élément spécifiquement lié à la cible, par exemple un même réseau physique partagé (Bluetooth ou IEEE 802.11 notamment), un réseau logique (par ex. un sous-réseau IP local) ou depuis un domaine administratif sécurisé ou limité (par exemple MPLS, un VPN sécurisé vers une zone administrative du réseau). De nombreuses attaques exigeant des configurations de type Man-in-the-middle ou tributaires d’un ancrage dans un autre environnement fonctionnent de la sorte. Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-21837 – Vulnérabilité par exécution de code à distance sur Microsoft SharePoint Server 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,3/10. Un attaquant peut exploiter cette vulnérabilité pour accéder au domaine puis exécuter du code à distance sur le serveur SharePoint pour s’élever lui-même au rang d’administrateur SharePoint. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21840 – Vulnérabilité par exécution de code à distance dans Microsoft Office 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Elle ne peut être exploitée que si l’utilisateur ciblé ouvre un fichier malveillant.

Dans un scénario d’attaque par email, l’attaquant exploitera la vulnérabilité en envoyant un fichier malveillant spécifique sur la messagerie de la cible avant de le convaincre de l’ouvrir. 

L’attaquant peut aussi héberger un site Web (ou utiliser un site Web compromis qui accepte ou héberge du contenu fourni par un utilisateur) qui contient un fichier malveillant personnalisé pour exploiter une vulnérabilité dans le cas d’une d’attaque via le Web. Évaluation d’exploitabilité :Exploitation moins probable

Adobe Patch Tuesday – Janvier 2022 

Adobe a publié des mises à jour pour corriger 41 CVE affectant Adobe Acrobat et Reader, Bridge, Illustrator, InCopy et InDesign. Parmi ces 41 vulnérabilités, 22 sont considérées comme critiques. Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS qui permettent de corriger de nombreuses vulnérabilités critiques, importantes et modérées. L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution de code arbitraire, une fuite de mémoire, un déni de service de type applicatif ainsi qu’un contournement des fonctions de sécurité et une élévation de privilèges.  

Le secteur industriel plus que jamais menacé

Cloudflare, spécialiste de la sécurité, la fiabilité et la performance d’internet, présente son rapport sur les attaques DDoS du 4ème trimestre 2021. Un palmarès qui souligne l’importance de la fortification des cyberattaques. La découverte, en décembre, de la vulnérabilité Log4, considérée comme l’une des plus importante et dangereuse en est la preuve.
  • Le secteur industriel plus que jamais menacé : Pour la première fois, l’industrie arrive en tête des secteurs les plus attaqués. Au dernier trimestre 2021, Cloudflare enregistrait une hausse de 641% du nombre d’attaques par rapport au trimestre précédent. Ces menaces viennent affaiblir un secteur déjà très affecté par la pénurie de matières premières et des difficultés de livraison qui l’empêchent de répondre à la demande croissante. En deuxième et troisième position, on retrouve respectivement les services aux entreprises et le secteur du gaming.
  • Les ransomwares continuent de progresser : Alors que le botnet Meris était en première ligne au trimestre précédent, la fin de l’année a vu le nombre de ransomwares augmenter de 175%. Dans une enquête réalisée par Cloudflare, 22% des répondants affirmaient avoir reçu une demande de rançon.
  • Une attaque de 2 Tbps déjouée : En novembre dernier, Cloudflare a subi une tentative d’attaque qui, à son plus haut pic, enregistrait de 2 Tbps. A ce jour, il s’agit de l’attaque la plus puissante ayant ciblée l’entreprise et ce, alors qu’elle n’a duré qu’une minute.

En savoir plus.

Fraude au président : une arnaque qui profite de l’essor du télétravail

La fraude au président est devenue l’une des principales cyberattaques dans le monde. La fraude au président a profité de l’essor massif du télétravail en 2020 pour se développer.

Selon le baromètre 2020 “Etude sur la fraude” du cabinet Euler Hermes, la fraude au président est devenue l’une des principales cyberattaques dans le monde (la troisième d’après le cabinet). Cette escroquerie, qui a recours à l’usurpation d’identité des dirigeants d’entreprise, est en hausse notable et est mentionnée par 38% des entreprises ayant répondu à l’étude. Tout comme les rançongiciels, la fraude au président a profité de l’essor massif du télétravail en 2020 pour se développer. Si, dans le cas des rançongiciels, ce sont les technologies d’accès à distance qui ne sont pas adaptées au télétravail, ici c’est le manque d’interactions sociales en présentiel et de communication qui est l’une des causes majeures de la multiplication de ce type d’arnaque.

Comment se déroule une fraude au président ?

Dans le cadre de la fraude au président, un escroc qui a préalablement fait des recherches sur l’entreprise cible se fait passer pour le PDG ou pour un administrateur pour demander, par e-mail, au comptable de la société, un virement bancaire pour une opération confidentielle et urgente. Cet escroc usurpe ainsi l’identité d’une personne de confiance, via une adresse e-mail créée pour l’occasion, et s’adresse directement au bon interlocuteur (le comptable). Cette tâche apparaissant comme urgente, la personne contactée va parfois s’exécuter sans prendre le temps de la réflexion et, puisqu’il s’agit d’une opération confidentielle, elle n’en parlera pas à ses collègues et n’éveillera donc pas les soupçons. En décembre 2020, le CDER, l’une des associations de gestion et comptabilité les plus importantes en France, a subi une attaque de ce type avec un préjudice annoncé de 14,76 M€ (source : L’Union). La comptable de l’association a été licenciée pour faute grave pour avoir “contourné les procédures internes.

Suite à la pandémie et la mise en place du télétravail au sein des organisations, de nombreux collaborateurs travaillent depuis chez eux au moins une partie de la semaine. En conséquence, une forte diminution voire une absence d’interactions et de discussions de vive voix avec les dirigeants et administrateurs. Les échanges à distance se sont multipliés et les opérations qui avaient pour habitude d’être confirmées ou évoquées en présentiel ont fait place à des réponses par simples emails qui, dans le cas d’une fraude au président réussie, engendrent des dommages irréversibles”, explique Christophe Corne, de Systancia.

Quelques bonnes pratiques pour s’en prémunir

La gendarmerie nationale, la Direction Générale du Renseignement Intérieur, l’ANSSI, votre serviteur ne cessent d’expliquer comment ne pas se faire « filouter ». Seulement, rien de plus aveugle et sourde qu’une personne qui ne pense que cela n’arrive qu’aux autres. Le Service Veille de ZATAZ a d’ailleurs reçu, il y a quelques jours, un cadeau d’une société (qui en a profité pour souscrire un abonnement, merci 🙂 aprés que le SVZ a découvert des données internes qui servaient à la préparation d’une fraude au président. Les factures et les informations incluent dans l’ensemble des documents étaient exploités, au téléphone, par un/des escroc(s).

Plusieurs actions peuvent en effet être mises en place pour limiter drastiquement le risque qu’une telle arnaque aille à son terme. Dans un premier temps, il est indispensable de sensibiliser les comptables à ce type de fraude puisque ce sont eux qui sont spécifiquement visés. Deux éléments doivent les alerter : les caractères urgents et confidentiels de l’opération. En cas de doute, il conviendra alors de contacter le président par téléphone pour valider cette opération de vive voix.

Cependant, si ce type de vérification est faisable au sein des PMEs, lorsqu’il s’agit d’une grande entreprise, il est parfois plus compliqué d’obtenir une confirmation orale. C’est dans ce cas qu’une fonctionnalité telle que la séparation des tâches (SoD – Segregation of Duties) prend tout son sens.

Les virements bancaires étant, en tout état de cause, critiques pour toute organisation, ceux-ci doivent être soumis à un mécanisme de SoD pour tout virement non récurrent ainsi que lors de la mise en place d’un virement récurrent. La réalisation d’un virement bancaire par le comptable serait soumise à une validation électronique d’un administrateur de la société ou de tout autre personne habilitée à valider ce type d’opération. Ainsi, si le virement semble suspect, celui-ci sera investigué et stoppé avant même que le virement ne soit effectué.

La fraude au président, comme tout autres principales cybermenaces, doit être intégrée aux actions de sensibilisation à la cybersécurité dispensées par les organisations. Il s’agit là de la première barrière face aux cyberattaques et parfois la seule disponible, dès lors qu’une société ne dispose pas de solutions de cybersécurité adéquates face aux différentes menaces qui pèsent sur les systèmes d’information. Les collaborateurs sont en première ligne face aux cyberattaques et doivent donc être au cœur de la stratégie de sécurisation des systèmes. Un collaborateur formé et informé voit son statut passer de celui de faille à celui de maillon fort de l’organisation.

Des millions de dollars en cryptomonnaie volés ces dernières semaines !

Les propositions frauduleuses de dons de Bitcoin, Ethereum, Dogecoin, Cardano, Ripple et Shiba Inu ont prolifère sur YouTube Live ces dernières semaines. Des pièges grossiers, mais qui fonctionnent.

On peut toujours s’étonner de certaines escroqueries comme le pseudos dons du cousin du frère de l’ami du facteur d’un milliardaire africain ou encore de cette superbe blonde/rousse/brune tombée amoureuse de vous en un e-mail. Mais dites vous que si des pirates continuent d’exploiter de gros hameçons, c’est qu’en face, chez les pigeons 2.0, ça mord à pleines dents dans l’arnaque.

Les mois d’octobre et novembre 2021 auront été les mois des escroqueries autours des cryptomonnaies (BTC, ETH, DOGE, ADA, XRP ou SHIB). Satnam Narang, ingénieur de recherche Tenable, s’est rendu compte, mais il n’est pas le seul, plusieurs lecteurs de ZATAZ.COM et DataSecurityBreach.fr ont aussi alerté sur le sujet, de l’impressionnant nombre de fausses vidéos sur Youtube concernant de « bonnes affaires » dans le petit monde des Bitcoin, Ethereum, Dogecoin, Cardano, Ripple et autre Shiba Inu.

En octobre 2021, et selon les adresses crypto analysées, les sommes engrangées représentaient plus de 8,9 millions de dollars.

Comment ça fonctionne ?

Les arnaqueurs utilisent des comptes YouTube préalablement piratés pour lancer des campagnes d’offres frauduleuses de Bitcoin, Ethereum, Dogecoin, et autres cryptomonnaies. Ils récupèrent des comptes par divers moyens : phishing, rachat de base de données. Pour vous donner une petite idée du problème, le Service Veille ZATAZ (SVZ) a référencé, depuis le 1er janvier 2021, pas moins de 10 milliards (oui, oui, 10 milliards) d’adresses électroniques diffusées dans des espaces pirates (Le Service Veille ZATAZ en cyber surveille plus de 40 000). Sur cette même période, le SVZ a référencé pas moins de 190 000 bases de données piratées et diffusées par des hackers malveillants. Des diffusions sous forme de mise en ligne gratuite ou payante. Bref, autant d’information pouvant être exploitées dans des escroqueries 2.0.

« Les arnaques aux Bitcoin, explique Satnam Narang, ont collecté 8,2 millions de dollars, avec un montant moyen de 1,6 million de dollars par campagne. » un joli pactole tout droit sorti de cette nouvelle génération d’internautes rêvant cryptomonnaie. A noter, d’ailleurs, que je croise énormément d’adolescents investissant quelques dizaines d’euros dans un miroir aux alouettes dont ils ne sortiront pas gagnants. Intéressant, l’arnaque autour du Bitcoin permet aux pirates de ramasser le plus d’argent. L’Ethereum ne représente que 400 000 dollars détournés. Les arnaques aux Shiba Inu est impacté au hauteur de 34 000 dollars, en moyenne, par campagne malveillante.

Fausses vidéos et influenceurs détournés

Les arnaqueurs le savent très biens. La grande majorité des utilisateurs sont des moutons qui accordent plus facilement leur confiance à des voix qui ont de l’influence. Bilan, ils créent de fausses vidéos mettant en scène les créateurs et cocréateurs des cryptomonnaies, des patrons d’entreprises … On y retrouve Michael Saylor, président-directeur général de MicroStrategy, Xavier Niel patron d’Iliade (Free), Vitalik Buterin, cocréateur de l’Ethereum ou encore Elon Musk (Tesla/SpaceX). Le point commun de toutes ces arnaques sur les fausses émissions YouTube Live, c’est que les utilisateurs sont renvoyés vers des sites externes qui proposent aux utilisateurs de doubler leur avoir en cryptomonnaie. Cette technique est la plus efficace dans les arnaques à la cryptomonnaie.

45 millions de données de clients d’un VPN diffusées sur le web

Tout aurait pu se passer tranquillement entre un lanceur d’alerte et la société ActMobile. Une menace plus tard, et 45 millions de données sont diffusées sur Internet.

L’américain ActMobile est une société spécialisée dans les services VPN. Elle permet à ses clients de surfer de manière sécurisée, anonymat entre le client et les sites visités.

Un chercheur a expliqué, dernièrement, avoir trouvé un stockage ActMobile mal sécurisé, laissant ainsi la possibilité à qui sait chercher de mettre la main sur les données internes du service. ActMobile précise dans son mode d’emploi ne stocker aucune information sur ses clients.

Seulement, c’est mal connaître les pirates qui ont trouvé, eux aussi, le dit serveur fuiteur. Bilan, les informations copiées du cloud mal sécurisé ont été mis en ligne.

45 millions de lignes de logs avec, entre autres : IP du client ; IP du VPN utilisé ; nom de l’appareil ; version Android / iOS ; Etc. 1 577 970 courriels uniques dont 3 185 @yahoo.fr ; 8 797 @mail.ru ou encore 698 737 @gmail.com.

Le chiffre aurait pu être plus important, mais fort heureusement, le nom des utilisateurs et les adresses e-mails sont dorénavant hachés.

Piratage informatique : pendant ce temps, en Chine !

538 millions d’utilisateurs du site chinois Weibo à vendre dans le blackmarket.

Un pirate informatique que je baptiserai Торговец-изгой vient de proposer à la vente une base de données d’une taille non négligeable. Elle concerne les données des utilisateurs du site Weibo, un portail chinois.

Pour 150$ US, ce malveillant commercialise pas moins de 538 millions d’identifiants et les numéros de téléphones portables attenant. De quoi orchestrer quelques spams et autres phishing pour le blacknaute acquéreur.

Faire face aux attaques de ransomware de type « Living Off the Land »

Les cyberattaques de type « living off the land » (ou LotL) constituent désormais l’une des menaces les plus redoutables pour les entreprises. La récente campagne de ransomware contre Kaseya n’est ainsi que le dernier exemple en date, dans lequel les cybercriminels ont utilisé les ressources technologiques de l’organisation contre elle. Ces types d’attaques procurent en effet aux cybercriminels deux leviers clés : l’accès et le temps.

Si ces attaques LotL ne se concluent pas toujours par un ransomware, les deux vont de plus en plus souvent de pair et sont aussi difficiles à évaluer qu’à prévenir. Une stratégie de protection efficace commence donc par une solide compréhension de ce qui constitue une attaque par ransomware LotL et des dommages qu’elle peut causer.

Dès 2017, les attaques de malwares sans fichier ont commencé à attirer l’attention du grand public après la divulgation de rapports faisant état d’infections de systèmes IT de plusieurs grandes organisations. Or, ces malwares sans fichier ont rendu possibles les attaques LotL. En éliminant la nécessité de stocker la charge utile malveillante dans un fichier, ou de l’installer directement sur une machine, les cybercriminels peuvent alors échapper aux antivirus, et aux autres outils traditionnels de sécurité des terminaux. Ils se déplacent ensuite latéralement dans l’environnement, en escaladant les privilèges et en dévoilant de nouveaux niveaux d’accès, jusqu’à ce qu’ils atteignent le but ultime : les systèmes, les applications et les bases de données contenant des actifs commerciaux essentiels, tels que les données clients, la propriété intellectuelle, les ressources humaines.

Malwares sans fichier

Pour se maintenir dans les systèmes sans être détectés, ces malwares sans fichier se font souvent passer pour un outil de confiance doté de privilèges et d’accès élevés. Cela permet aux attaquants de surveiller l’environnement, de récupérer des identifiants, en prenant tout le temps nécessaire. Il est extrêmement difficile d’identifier, et encore plus d’arrêter, ces attaques, surtout s’il s’agit d’un ransomware sophistiqué qui cible spécifiquement l’organisation. Pour y faire, il n’y a pas d’autre choix que de penser comme des attaquants, tout en gardant à l’esprit qu’une campagne n’est pas nécessairement identique à une autre. Le cheminement des attaques LotL n’est en effet pas linéaire. L’objectif est donc de déchiffrer l’environnement et de développer une approche fondée sur ce qui s’y trouve.

La plupart des attaques LotL suivent ainsi un schéma similaire : usurper des identités pour s’infiltrer dans un réseau d’entreprise, compromettre des systèmes, élever des privilèges et se déplacer latéralement jusqu’à obtenir l’accès aux systèmes sensibles nécessaires à l’exécution de l’attaque ou à la propagation du ransomware. Mais à chaque étape, il existe des possibilités divergentes qui rendent le suivi et l’anticipation de ces attaques très complexes. Les équipes IT doivent donc bénéficier des outils nécessaires pour décomposer les comportements et les indicateurs d’alerte à surveiller, lors des étapes critiques d’une attaque par ransomware LotL, et ce, afin d’accélérer la détection et de réduire l’exposition et les dommages.

Cependant, compte tenu du nombre de techniques éprouvées dont disposent les cybercriminels, il peut se révéler difficile de savoir comment traiter les points de vulnérabilité ou par où commencer. L’élaboration d’une stratégie de protection efficace contre les ransomwares exige des organisations qu’elles étudient les maillons de la chaîne d’attaque qui présentent les niveaux de risque les plus élevés et qu’elles les classent par ordre de priorité. Ainsi, une sécurisation des terminaux à plusieurs niveaux – combinant la défense par le moindre privilège, l’authentification forte des identités, la protection contre le vol d’informations d’identification, le contrôle des applications et le blocage des ransomwares – compliquera considérablement la tâche des hackers qui voudront s’introduire et maintenir leur présence. Car une fois qu’ils ont un pied dans le réseau informatique, il leur est facile de brouiller les pistes et d’intensifier leur action. (Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud chez CyberArk)

Cyberattaques : l’immobilisation des entreprises coûte bien plus cher qu’on ne le pense

Il faudra s’y habituer, la digitalisation croissante amène avec elle son lot de problèmes et parmi ceux-ci se trouvent les cyberattaques. Leur puissance et leur structure varient selon la cible choisie mais la conséquence est identique pour toutes les victimes : une immobilisation totale ou partielle de l’appareil productif pour une durée indéterminée. S’en suit alors un véritable chemin de croix pour les structures qui cherchent à se remettre de ces attaques.

Cyberattaque : une méthodologie précise et difficilement détectable

A l’origine de telles attaques se trouve, encore et toujours, l’argent comme principale motivation. Qu’il soit réclamé via une demande de rançon ou obtenu par la revente de données entreprises, il est toujours au centre des préoccupations des hackers. Pour parvenir à leurs fins, ces derniers doivent donc déployer une stratégie qui nécessite parfois plusieurs mois de préparation selon la structure ciblée. Dans certains cas, les hackers cherchent à s’infiltrer très tôt et mettent leurs programmes en dormance via la technique de l’obfuscation. Ils peuvent ainsi effacer leurs traces et déclencher leur attaque quelques semaines/mois plus tard.

Au cœur de la méthodologie d’une cyberattaque, la première étape est celle de la reconnaissance, elle consiste à récupérer un maximum d’informations – mails, téléphones, noms – sur une ou plusieurs personnes de l’entreprise. Cette phase de social engineering permet de trouver un point d’entrée qui est, dans la majorité des cas, celui de l’email. Qu’il s’agisse d’employer la méthode du phishing, l’installation de malware ou en ayant recours aux arnaques au président, l’objectif, une fois à l’intérieur des systèmes d’informations, est d’effectuer des mouvements latéraux permettant aux hackers d’infiltrer et de toucher d’autres éléments du réseau de l’entreprise. L’attaque se déploie plus largement et capte ainsi davantage de données et paralyse les serveurs internes.

Une production durement et durablement touchée

L’un des premiers réflexes pour les entreprises est de couper leurs systèmes d’informations pour limiter la casse et éviter que l’attaque ne se propage davantage en interne. Un réflexe de survie qui leur permet d’organiser une riposte et d’accélérer le retour à une situation normale. Si les directions des systèmes d’information, pour les entreprises qui en disposent, sont sur le pied de guerre pour colmater les brèches, elles ne peuvent cependant que constater les dégâts causés.

Et ces derniers peuvent avoir un impact très important sur la production et la mener à son immobilisation pendant un certain temps. En témoigne la récente cyberattaque dont a été victime Colonial Pipeline, un important réseau d’oléoducs qui transporte près de 45% des carburants de la côte Est des Etats-Unis, et qui a provoqué un arrêt de l’approvisionnement durant plusieurs jours. Cela a généré des mouvements de panique au sein de la population qui ont eu pour conséquence des pénuries dans certaines stations essence. En fin de compte, la société a dû verser près de 4,4 millions de dollars de rançon aux hackers.

Des exemples comme celui-ci montrent qu’une immobilisation de la production, même de courte durée, peut entraîner de lourdes pertes financières pour les entreprises touchées par les cyberattaques ainsi que pour les acteurs de leur écosystème.

Prévention des cyberattaques : un défi humain

Dans un processus de retour à la normale, il est possible que certaines entreprises décident de payer immédiatement une rançon contrairement à d’autres qui tentent de contrer l’intrusion dans leur système d’information. Dans les deux cas, il n’est jamais tout à fait certain que ce type d’attaque ne se reproduise pas. Il est donc utile de s’assurer en interne qu’il existe une stratégie de prévention comme les plans de reprise d’activité (PRA) qui se déclenchent à la suite d’un sinistre. Cela revient également à investir dans des solutions de protection d’application ainsi que dans celles qui visent à détecter les attaques et à les bloquer en amont. En somme, Il ne s’agit pas de savoir si le système d’information sera touché, mais plutôt quand il le sera.

Malgré toutes les dispositions technologiques prises, de nouvelles attaques toujours plus puissantes et vicieuses parviendront à contourner les nombreux systèmes de sécurité mis en place par les entreprises. L’un des enjeux de ces prochaines années se situe donc au niveau de la prévention humaine. L’idée d’un firewall humain n’est possible que si les collaborateurs d’une entreprise sont formés à reconnaître les signes d’une cyberattaque. Cet aspect sera d’autant plus important que la transition digitale des entreprises s’est largement accélérée depuis la crise du Covid-19 et avec elle le nombre de cyberattaques qui a été multiplié par quatre entre 2019 et 2020 en France. Il est donc essentiel et urgent d’instaurer un système de responsabilité partagée qui permettra, à défaut d’atteindre le risque zéro, de préparer au mieux les entreprises à de futures attaques.

Payer la rançon : le meilleur moyen d’être attaqué une seconde fois…

Les résultats d’une étude mondiale sur le ransomware menée en avril 2021 auprès de 1263 professionnels de la sécurité (aux États-Unis, en Allemagne, Espagne, Royaume-Uni, à Singapour et aux Émirats Arabes Unis, et comptant 150 professionnels français) affiche que la moitié des organisations interrogées au niveau mondial ont été victimes d’un ransomware lors des deux dernières années. L’étude démontre surtout que payer la rançon n’est pas la meilleure voie à suivre.

Dans la très grande majorité des cas, les entreprises ayant payé ont été attaquées une seconde fois : c’est le cas pour 60% des entreprises en France et 80% dans le monde.

Dans de nombreux cas les données ont tout de même été compromises, malgré le paiement : 53% des entreprises françaises estiment que leurs données ont été compromises, et sont donc toujours exposées, malgré le paiement de la rançon (45% au niveau mondial).

« Le paiement d’une rançon ne garantit en effet pas une reprise réussie. Et surtout cela ne fait qu’exacerber le problème en encourageant de nouvelles attaques. Il faut encourager les entreprises à prendre les devants sur la menace en sensibilisant et en s’équipant en solutions de sécurité axée sur la prévention » déclare Lior Div, directeur général et cofondateur de Cybereason.

Autre élément d’intérêt : les 3 pays (de l’étude) les plus ciblés par les ransomwares sont aussi ceux qui payent le moins les rançons !

Avec 70% d’entreprises ciblées au cours des 24 derniers mois, la France est bien plus ciblée par les ransomwares que les États-Unis par exemple, où environ 30% des entreprises ont dû affronter ces acteurs malveillants. L’Espagne (72%) et l’Allemagne (70%) sont les deux autres nations analysées dans le cadre de l’étude ayant été les plus ciblées.

En revanche, contrairement aux idées reçues, les pays les plus ciblés ne sont pas forcément ceux qui payent le plus : plus de 80% des entreprises américaines ont déclaré avoir accepté de payer la rançon, plus de 73% au Royaume-Uni, alors qu’elles sont moins de 50% en France (environ 43% en Espagne et 40% en Allemagne).

Les entreprises subissent des conséquences sur le long terme

  • 39% des organisations françaises ont fait état d’une perte significative de revenus à la suite d’une attaque par ransomware. Elles sont 44% au niveau mondial.
  • En France, 19% des organisations ont déclaré la démission de cadres dirigeants suite à une attaque (45% au Royaume-Unis et 50% aux Émirats arabes unis)
  • Pire, 22% des entreprises attaquées par rançongiciel ont été contraintes de cesser leur activité (c’est environ 26% au niveau mondial).

Le rapport complet mis à disposition de la presse par Cybereason révèle également dans quelles mesures les pertes subies par l’entreprise peuvent être couvertes par une cyberassurance, dans quelles mesures les organisations sont préparées à faire face aux menaces de ransomware avec des politiques de sécurité et des ressources adaptées, et des informations plus détaillées sur l’impact des attaques par ransomware par région, taille d’entreprise et secteur vertical.

En outre, le rapport fournit des données exploitables sur les types de solutions de sécurité que les organisations avaient en place avant une attaque, ainsi que sur les solutions les plus souvent mises en œuvre par les organisations après avoir subi une attaque par ransomware.

Les pirates ont eu accès à un code source de Rapid7 à la suite du piratage de Codecov

Comme a pu l’indiquer le spécialiste de la cybersécurité Rapid7, des pirates informatiques ont eu accès à une petite partie de ses référentiels de code source à la suite du piratage d’un outil de développement logiciel, Codecov.

« Des personnes non autorisées, en dehors de Rapid7, ont obtenu un accès à un petit sous-ensemble de nos référentiels de code source pour les outils internes de notre service Managed Detection and Response. Ces référentiels contenaient des informations d’identification internes. Des informations remplacées et des données liées aux alertes pour un sous-ensemble de nos clients » indique l’entreprise dans un communiqué de presse.

Le 15 avril 2021, le développeur d’outils d’audit logiciel, la startup Codecov, a averti les utilisateurs que son outil Bash Uploader avait été malmené. Une cyberattaque datant du 31 janvier 2021. Des inconnus avaient modifié l’outil de Rapid7 en y plaçant une porte cachée. Par cette méthode, les attaquants ont pu accéder aux réseaux de centaines de clients Codecov.

Les pirates ont réussi à accéder aux réseaux Codecov en raison d’une erreur de démarrage lors du processus de création d’image Docker, ce qui leur a permis d’extraire les informations d’identification nécessaires pour modifier le script Bash Uploader.

Les pirates ont apporté des « modifications périodiques non autorisées » au code, ce qui leur a permis d’envoyer des informations stockées dans les environnements d’intégration continue (CI) des utilisateurs du script à un serveur tiers.

Selon l’avis de Rapid7, il n’y avait aucune preuve que les malveillants aient pu accéder à d’autres systèmes ou environnements de production, ou que des modifications malveillantes avaient été apportées à ces référentiels.