Archives par mot-clé : fortinet

Les cybercriminels misent toujours davantage sur les techniques de contournement des antimalwares

De nombreux outils modernes de malware intègrent des fonctionnalités pour contourner les antivirus et autres mesures de détection : les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter.

À titre d’exemple, une campagne de spam illustre comment les assaillants utilisent et affinent ces techniques contre leurs cibles. Lors de cette attaque, un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante, dont l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire et de ne cibler que les systèmes japonais. Une de ses propriétés recherche plus particulièrement une variable xIDate, mais ce mode opératoire semble encore non documenté à ce jour.

Autre exemple, celui du cheval de troie bancaire Dridex qui modifie le nom et les hash des fichiers à chaque connexion de la victime, ce qui rend plus difficile l’identification du malware sur les systèmes hôtes infectés.

L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces.

Les attaques furtives visent le long terme

Le malware Zegost de détournement de données, au cœur d’une campagne de spear phishing, présente des techniques pour le moins intrigantes. À l’instar d’autres outils similaires, l’objectif principal de Zegost est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Cependant, Zegost se distingue par sa furtivité, grâce notamment à une fonction de « nettoyage » des logs applicatifs, qui permet de masquer sa présence. D’autre part, Zegost présente également une commande de mise en attente jusqu’au 14 février 2019, date à laquelle il a initié son processus d’infection.

Les auteurs de Zegost ont su utiliser tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes, ce qui en fait une menace sur le long terme par rapport aux autres malware similaires.

Le ransomware continue à se transmettre via des attaques toujours plus ciblées

Les attaques ciblant de multiples villes, collectivités locales et acteurs de l’enseignement rappellent que le ransomware reste d’actualité et qu’il continue à viser de nombreuses organisations. Les attaques par ransomware se font de moins en moins en masse et de manière opportuniste. Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon. Dans certains cas, les cybercriminels procèdent à une phase amont approfondie de reconnaissance avant de déployer leur ransomware sur des systèmes identifiés avec précision, ce qui maximise les opportunités d’infection.

À titre d’exemple, le ransomware RobbinHood s’en prend à l’infrastructure réseau des entreprises. Il est capable de désactiver les services Windows qui préviennent le chiffrement des données, mais aussi de déconnecter les disques partagés.

Un autre nouveau ransomware appelé Sodinokibi pourrait bien devenir la prochaine menace majeure pour les entreprises. D’un point de vue fonctionnel, il n’est pas vraiment différent de la majorité des outils de ransomware. Il se distingue néanmoins par son vecteur d’attaque puisqu’il exploite une nouvelle vulnérabilité qui permet l’exécution de code arbitraire et n’a pas besoin d’interaction de la part de l’utilisateur, comme c’est le cas pour d’autres logiciels de ransomware livrés par email phishing.

Quel que soit le vecteur utilisé, le ransomware reste, et restera, une menace sérieuse pour les entreprises : plus que jamais, le patching doit être prioritaire, au même titre que la sensibilisation des collaborateurs aux risques de cybersécurité.

De plus, les vulnérabilités du protocole RDP (Remote Desktop Protocol), comme BlueKeep, sont un avertissement que les services d’accès à distance peuvent être des opportunités pour les cybercriminels et qu’ils peuvent également être utilisés comme vecteur d’attaque pour diffuser des logiciels de rançon.

De nouvelles opportunités sur la surface d’attaque

Entre l’imprimante personnelle et les infrastructures critiques, émergent désormais de nombreux systèmes de contrôle à usage résidentiel et pour les petites entreprises. Ces systèmes intelligents attirent moins l’attention des assaillants que leurs homologues industriels, mais les choses peuvent évoluer compte tenu de l’augmentation observée de l’activité ciblant ces dispositifs de contrôle tels que les capteurs environnementaux, les caméras de sécurité, ou encore les systèmes de sécurité. Une signature liée aux solutions de gestion techniques du bâtiment émise par 1% des entreprises. Ce chiffre peut paraître peu élevé, mais il reste néanmoins supérieur à ce qu’on observe parmi les systèmes de contrôle industriel (ICS) et SCADA.

Les cybercriminels sont à la recherche de nouvelles possibilités de détourner les dispositifs de contrôle, tant au sein des espaces résidentiels que des entreprises. Parfois, ces types d’appareils ne sont pas aussi prioritaires que d’autres ou ne sont pas intégrés dans les processus traditionnels de gestion IT. La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, d’autant que la possibilité d’y accéder pourrait lourdement peser sur la sécurité. Ceci est particulièrement vrai pour les environnements de travail distants où la sécurité des accès reste critique. (Fortinet)

Fortinet protége Eurosport

Fortinet annonce aujourd’hui qu’Eurosport, première chaine de télévision sportive pan-européenne, a déployé les appliances de sécurité réseau FortiGate® pour protéger un réseau de 1000 collaborateurs répartis sur 17 pays à travers l’Europe, le Moyen-Orient et l’Asie. Eurosport a également implémenté les points d’accès sans-fil FortiAP de Fortinet pour offrir à ses salariés un accès Internet Wifi sécurisé. Les appliances Fortinet ont été choisies principalement pour leurs performances, leurs capacités de redondance ainsi que leurs facilités de déploiement et de gestion.

Eurosport, 1ère chaîne de télévision pan-européenne disponible en 20 langues est diffusée dans 130 millions de foyers à travers 54 pays. Le siège social du Groupe Eurosport est basé à Issy-les-Moulineaux, en région parisienne, en France. En outre, le Groupe dispose de 17 bureaux à travers l’Europe, le Moyen-Orient et Asie: l’Allemagne, l’Italie, les Pays-Bas, la Suisse, la Suède, le Danemark, la Norvège, la Finlande, la Pologne, l’Espagne, le Royaume-Uni (2 bureaux), la Grèce, le Portugal, les Emirats Arabes Unis, le Japon et Hong Kong. En 2012, le groupe Eurosport décide de remplacer ses anciennes solutions de pare-feu Check Point et Juniper par une solution mutualisée de pare-feu et VPN SSL offrant plus de souplesse en termes de gestion et d’administration. Après avoir analysé les différentes offres existantes du marché, le département informatique d’Eurosport a sélectionné les appliances de sécurité multi-menaces FortiGate pour les raisons principales suivantes: une gamme d’appliances dotées de différents niveaux de performances adaptés aux besoins des différents sites, une performance trois fois supérieure par rapport à Check Point, des options de redondance simples et économiques, l’authentification nominative de chaque utilisateur, la standardisation des configurations des pare-feux, et la facilité de déploiement et d’administration.

« Nous sommes présents dans 17 pays sans pour autant disposer de ressources techniques dans chacun de ces pays, c’est pourquoi notre priorité était la simplicité d’administration et de gestion. Fortinet a été le seul fournisseur à pouvoir entièrement satisfaire cette priorité grâce à l’option de configuration et de mises à jour des boitiers via une simple clé USB. Ainsi, pour configurer les appliances situées à Tokyo par exemple, nous avons envoyé par mail le fichier de configuration ainsi que le firmware que nous souhaitions intégrer au dispositif, puis nos commerciaux de l’agence de Tokyo ont transféré ces fichiers sur une clé USB, l’ont ensuite branché à l’appliance Fortinet, allumé celle-ci et 5 minutes après, la FortiGate était opérationnelle » déclare Thierry Landeau, Chef de projet Réseau et Sécurité chez Eurosport.

En raison d’une demande importante de bande passante, trois clusters Fortinet ont été déployés sur le site central du groupe Eurosport en France : l’un, comprenant deux appliances FortiGate-1000C, et les deux autres, dotés de deux appliances FortiGate-200B. Egalement, 15 clusters FortiGate-80C ont été déployés au sein des agences situées aux Pays-Bas, Norvège, Danemark, Finlande, Pologne, Suisse, Grèce, Italie, Espagne, Portugal, Emirats Arabes Unis, Japon et Hong Kong tandis que 4 clusters FortiGate-110C ont été déployés au sein des agences basées au Royaume-Uni, Allemagne et Suède car ces dernières comptent environ une cinquantaine de salariés et donc requièrent une demande de bande passante plus importante.

De plus, avec la prolifération et l’utilisation des appareils mobiles tels que les smartphones et tablettes PC en entreprise, le groupe Eurosport avait décidé de se doter d’un accès Internet Wifi sécurisé pour permettre à ses salariés, notamment à ses commerciaux, d’effectuer des démonstrations de leurs services sur les plateformes mobiles. Le département informatique a de nouveau opté pour Fortinet plutôt que pour des spécialistes de sécurité de réseau sans-fil tels que Aruba Networks : « Etant donné que les appliances FortiGate de Fortinet sont dotées de contrôleurs Wifi, il nous a semblé judicieux de choisir les points d’accès sans-fil FortiAP de Fortinet dans le but d’homogénéiser les constructeurs au sein d’Eurosport et d’éviter les multiples exploitations et administrations », déclare à Data Security Breach Pascal Delorme, Responsable Système, Réseaux et Télécoms chez Eurosport.

« Les FortiAP de Fortinet répondent parfaitement à notre besoin de mobilité optimisée car ces appliances nous ont permises de normaliser le Wifi, c’est-à-dire d’attribuer le même nom et le même SSID sur toutes les agences. Ainsi, aujourd’hui, un salarié du Groupe Eurosport qui se connecte habituellement en Wifi au bureau de Paris, pourra se connecter dans n’importe quelles autres agences du groupe avec le même SSID et mot de passe », ajoute à DataSecurityBreach.fr Nicolas Perrault, Ingénieur Réseau et Sécurité chez Eurosport. 23 FortiAP-220B sont déployés au sein des différentes agences.

L’implémentation est en phase finale et le déploiement des FortiGate et FortiAP s’est déroulé progressivement depuis Avril 2012 sur les différents sites distants. Ces solutions sont infogérées depuis le siège social en France par un système d’administration centralisé, le FortiManager™-100C. Le FortiAnalyzer™-400B, outil de reporting de Fortinet, permet quant à lui, de collecter de façon sécurisée les données quotidiennes des boitiers FortiGate et de générer des rapports techniques et des statistiques sur les événements de sécurité survenus.

« Nous sommes très fiers de compter parmi nos clients le groupe Eurosport qui, en déployant les solutions Fortinet, dispose aujourd’hui d’une sécurité et d’un contrôle plus étendus sur l’ensemble de leur infrastructure, tout en optimisant les coûts et la facilité de gestion et d’administration » déclare à Data Security Breach Patrice Perche, Vice Président Sénior des Ventes Internationales et du Support chez Fortinet. « Nous nous positionnons comme un partenaire de sécurité de bout en bout auprès de sociétés internationales telles que le Groupe Eurosport et ce, de façon unique grâce à l’intégration la plus complète et ultra performante des services de sécurité clés de l’entreprise. »