Une récente vague d’e-mails de phishing chez le fournisseur de technologie de signature numérique DocuSign a été liée à une atteinte à la protection des données.
Un pirate informatique a eu accès à un sous-système périphérique qu’il a utilisé pour transmettre des informations aux utilisateurs par le biais de la messagerie électronique et pour voler leurs adresses électroniques. La société privée, qui fabrique des logiciels pour ajouter des signatures électroniques conformes à la loi, a indiqué que seules les adresses e-mail ont été consultées.
L’atteinte à la protection des données a été découverte au cours des deux dernières semaines lorsque des campagnes de spams ciblant des clients ont été détectées. Comme c’est souvent le cas pour les attaques de phishing, tous les e-mails utilisaient une marque officielle et ont été créés pour ressembler aux e-mails officiels de DocuSign.
Les lignes d’objet des e-mails étaient également typiques des récentes escroqueries de phishing de PDG, faisant référence à des factures et des instructions de virement électronique. Les e-mails de phishing contenaient un lien vers un document Microsoft Word téléchargeable qui contient un malware.
L’atteinte à la protection des données n’a concerné que les titulaires de compte DocuSign, et non les utilisateurs enregistrés sur le système eSignature. On ne sait pas exactement combien d’adresses e-mail ont été volées, mais sur le site web de DocuSign, l’entreprise indique qu’elle compte plus de 200 millions d’utilisateurs.
Basée à San Francisco, l’entreprise DocuSign a suivi les e-mails de phishing et rapporté qu’il y a deux variantes principales de lignes d’objet, à savoir « Terminé : docusign.com – Instructions de Transfert par Virement électronique pour *nom du destinataire*, Document Prêt pour Signature », ou « Terminé *nom de l’entreprise* – Facture Comptable *numéro* Document Prêt pour Signature ».
En réfléchissant et en planifiant soigneusement leur politique de sécurité web, les organisations peuvent réduire considérablement leur exposition à une attaque de phishing et à une atteinte potentielle à la sécurité des données. Sans cela, elles risquent de subir des pertes financières directes et leur réputation pourrait gravement être atteinte.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que les données et les appareils sensibles de vos clients et de votre personnel soient protégés ? Parlez à un de nos spécialistes de la sécurité web ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.
Les attaques de ransomwares sont de plus en plus fréquentes, mais vous pouvez vous protéger !
Les ransomwares sont une variante moderne de malwares, qui combinent des tactiques sophistiquées et basiques. Les cybercriminels ne demandent généralement pas de montants exorbitants, étant donné que la rançon se situe généralement entre 300 $ et 1 000 $.
Cependant, sachez que le Hollywood Presbyterian Medical Center a dû payer 17 000 $ à cause d’une attaque impliquant l’accès à ses propres données. À cela s’ajoutaient la perte de revenus et la perte de réputation de l’entreprise suite à l’attaque, le temps que le centre puisse se redresser.
Il n’existe aucun paquet ou ensemble de pratiques uniques qui immunisera un réseau contre une attaque de ransomwares. De plus, les auteurs de malwares modifient continuellement leur « produit ». Par exemple, une infection commence habituellement par des e-mails de phishing. Cela se produit lorsqu’un utilisateur clique sur un lien JavaScript dans un e-mail ou télécharge un document joint contenant des macros qui lancent le ransomware.
À l’origine, les ransomwares utilisaient exclusivement des documents Microsoft Office avec des scripts VBA malveillants. Maintenant, n’importe quelle application et tout document qui exécute le code JavaScript peuvent lancer l’attaque. Cependant, il existe de nombreuses mesures qu’une organisation peut prendre pour atténuer les dépenses liées aux rançons, voire prévenir une attaque de ransomwares.
Mesures générales de sécurité pour se protéger contre les ransomwares
Les petites organisations peuvent éventuellement utiliser des listes blanches pour restreindre l’accès à un nombre limité de sites web et d’applications.
C’est une excellente solution, mais elle est peu pratique pour la plupart des grandes entreprises.
Restriction des privilèges pour se protéger des ransomwares
L’une des mesures souvent négligées consiste à limiter les privilèges de l’utilisateur. Cela devrait être fait sur une base régulière, que ce soit pour se protéger des ransomwares ou non. La fréquence requise dépend du taux de roulement et de mutation au sein de l’organisation.
Les privilèges d’utilisateur « Runaway » peuvent provoquer la propagation de n’importe quel malware comme une traînée de poudre sur le réseau, ce qui le rend difficile à éliminer.
Certes, un audit complet des privilèges des utilisateurs représente une tâche ardue. Mais pour commencer, vous pouvez attribuer des privilèges aux utilisateurs pour les tâches administratives telles que la sauvegarde, les serveurs et le support réseau. Pour réduire au minimum l’utilisation des comptes administratifs, n’autorisez pas ces comptes à recevoir des e-mails et assignez à des employés ayant des rôles administratifs leurs propres comptes restreints habituels pour une utilisation quotidienne.
Configuration du pare-feu contre les ransomwares
Utiliser un pare-feu moderne est essentiel pour protéger votre réseau. Comme les menaces évoluent en permanence, vous devriez donc utiliser un service de mise à jour qui bloque automatiquement les dernières menaces connues.
De nombreux sites web non classés par catégorie sont utilisés dans le cadre de campagnes de phishing ciblées qui distribuent des malwares. Ainsi, il importe de configurer votre pare-feu/proxy, de manière à ce qu’il nécessite l’interaction des utilisateurs finaux — par exemple en intégrant un bouton « continuer » —, qui communiquent avec des sites web non catégorisés.
Comment se protéger contre les attaques de ransomwares ?
Maintenez vos logiciels à jour. Cela n’empêchera pas les kits d’exploitation « zéro-day » d’attaquer votre organisation, mais corrigera les vulnérabilités logicielles les plus récentes.
Déployez un « endpoint » qui empêche les appareils contenant des malwares, des logiciels manquants d’accéder au réseau et maintenez les correctifs à jour.
Désactivez les scripts et macros Microsoft Office. Dans un environnement Microsoft Server, cela nécessite la modification de la stratégie de groupe Active Directory. Avant de mettre en œuvre cette politique, vérifiez qu’aucun département ne serait affecté. Certains bureaux utilisent des templates et des applications avec Visual Basic comme substitut aux logiciels de comptabilité et de vente.
Les services informatiques devraient bloquer les réseaux informatiques superposés (TOR) puisque le réseau et les serveurs mandataires des TOR sont couramment utilisés par la majorité des ransomwares.
Pour les lecteurs Dropbox, Google, OneDrive et iCloud, chaque utilisateur doit, autant que possible, mettre en pause la synchronisation. Beaucoup d’utilisateurs ne savent pas comment le faire. Envoyez un mémo ou un e-mail ou ajoutez les étapes à votre bannière de connexion pour former les utilisateurs.
Implémentez plusieurs produits antimalware pour augmenter vos chances d’empêcher une infection de se produire. À noter qu’aucune solution antimalware ne détecte à elle seule toutes les infections possibles. L’utilisation d’une combinaison de produits réputés renforce grandement votre défense. Assurez-vous également d’implémenter des paquets compatibles entre eux (bien entendu, tous les paquets ne le sont pas).
Installez un filtre antispam avancé pour les e-mails. Les attaques de ransomwares commencent par un e-mail de phishing. Une solution filtrage de spams peut donc constituer votre première ligne de défense.
Conception d’une stratégie de sauvegarde pour minimiser l’impact des ransomwares
Si votre organisation dispose d’un bon ensemble de sauvegardes, elle aura le choix de payer ou non la rançon en cas d’attaque de ransomware. Sinon, vous n’aurez pas d’autre choix que de payer.
La seule façon de savoir si vous disposez d’un bon ensemble de sauvegardes est de les tester en effectuant une restauration. Dans le cadre d’une maintenance mensuelle, testez la restauration de vos données à partir des solutions de sauvegarde différentes.
Il n’est pas rare que les sauvegardes soient mal configurées ou incomplètes en raison d’une augmentation inattendue de la taille du support requis. En même temps, assurez-vous de vérifier les privilèges de l’utilisateur pour la sauvegarde.
Au sein de la communauté Spiceworks, les professionnels de l’informatique ont discuté de la façon dont ils ont changé leur stratégie de sauvegarde face aux menaces des ransomwares. La plupart des participants ont mis en place plus de procédures de sauvegarde, notamment en stockant leurs données dans plus d’endroits qu’auparavant.
Heureusement, les options de sauvegarde sont plus nombreuses que jamais. La déduplication est par exemple essentielle pour les organisations qui disposent d’un volume considérable de données. La technologie Snapshot (avec des sauvegardes adéquates) peut aussi vous permettre de mettre à jour les données de votre entreprise en un clin d’œil.
Sur ce point, voici quelques conseils à prendre en compte :
Sauvegardez souvent les données
Respectez la règle 3-2-1, en conservant au moins trois copies de vos données dans deux formats différents, dont une copie est stockée hors site. Mieux encore, considérez 4 copies, 3 supports différents et gardez 2 copies hors site.
Certains ransomwares n’infectent que les lecteurs réseau locaux et mappés. (Rappelez-vous que les lecteurs réseau mappés peuvent inclure Dropbox, Google Drive, etc.). Utilisez la sauvegarde dans le cloud, telle qu’AWS, en guise d’assurance en cas d’attaque ou de sinistre.
Dans le cas d’une attaque massive de malwares, les PC utilisateurs devraient faire l’objet d’une réflexion après coup. Des ressources informatiques sont nécessaires pour la restauration des données critiques. Si ces données se trouvent sur un seul PC, profitez-en pour les transférer sur un lecteur réseau.
La formation des utilisateurs est une étape importante
Si seulement Sally n’avait pas cliqué sur ce lien dans son courrier électronique, il n’y aurait pas de rançon à payer ! C’est vrai, la plupart des ransomwares sont livrés par messagerie électronique. Les thèmes typiques incluent les arnaques sur les factures et les avis d’expédition. Il est logique que le meilleur moyen de protéger votre organisation consiste former les utilisateurs finaux sur les menaces et les bonnes pratiques liées au phishing.
Dites NON au ransomware. Empêchez les e-mails de ransomwares d’atteindre vos utilisateurs avec SpamTitan.
Le filtrage du contenu d’un site web sur un réseau local vous protège contre les attaques de phishing et de malwares. Mais la protection des points d’accès hotspot WiFi est beaucoup plus difficile.
Les administrateurs n’ont aucun contrôle sur les réseaux externes. Pourtant, il n’est pas rare que les employés se connectent à des points d’accès WiFi en utilisant des appareils mobiles et des téléphones intelligents.
Bien que les points d’accès puissent sembler sûr, les attaquants peuvent les cibler dans l’espoir de compromettre des dispositifs et des connexions mal sécurisés, en faisant appel aux attaques de l’homme du milieu (Man in the Middle), de phishing et de malwares.
Menaces WiFi courantes pour les utilisateurs mobiles
Le fait d’avoir un antimalware sur un appareil mobile devrait faire partie de votre politique de sécurité, mais en général, ces applications ne détectent pas les programmes malveillants de type « zero-day ». L’intelligence artificielle et les mises à jour fréquentes ont amélioré l’efficacité de la détection des malwares, mais ce n’est qu’après que l’utilisateur a téléchargé le contenu que ces applications déclenchent les systèmes de défense.
Les attaques de phishing intelligentes, avec des malwares attachés et intelligemment conçus pour éviter la détection, exposent les appareils des employés à un risque.
Les attaquants utilisent leurs propres points d’accès WiFi à proximité du point d’accès officiel pour amener les utilisateurs à s’y connecter. Imaginez un utilisateur de Starbucks qui cherche un hotspot avec un signal fort. Un attaquant pourrait nommer un point d’accès malveillant « starbucks01 » et amener les utilisateurs à s’y connecter. Ceci étant fait, toutes les données non chiffrées et transmises depuis le navigateur de l’utilisateur vers un serveur cible seraient sujettes à une attaque Man in the Middle.
Les attaques de phishing peuvent être bloquées par les filtres de messagerie, mais les attaquants intelligents sont toujours capables de les contourner. Il suffit d’une seule attaque de phishing réussie pour qu’une entreprise perde des millions d’enregistrements de données, que ce soit par le biais des informations d’identification volées ou par des malwares. Les sites malveillants connus peuvent être filtrés de nombreuses façons différentes. Par contre, il est plus difficile de détecter les sites nouvellement enregistrés.
La protection DNS contre les menaces WiFi
L’ajout d’un antimalware sur les périphériques devrait être une procédure standard.
L’ajout d’une protection DNS au réseau et aux connexions mobiles devrait également faire partie des moyens de défense de toute organisation. La protection DNS empêche tout contenu malveillant d’atteindre votre réseau ou vos périphériques utilisateur pendant le processus de recherche DNS.
Pour comprendre le fonctionnement des filtres DNS, vous devez d’abord comprendre comment un navigateur web se connecte à une application web. Pour chaque application web disposant d’une adresse IP accessible au public, un navigateur effectue d’abord une recherche DNS.
Cette recherche correspond au Nom de Domaine Complètement Qualifié (FQDN) avec l’adresse IP. Une fois que le navigateur a reçu l’adresse IP associée à un FQDN, il contacte le serveur et télécharge le contenu sur l’appareil local. Ce n’est qu’après le téléchargement du contenu que l’antimalware peut identifier le fichier malveillant et empêcher l’utilisateur de l’ouvrir.
Avec la protection DNS, une étape supplémentaire est ajoutée lorsque l’adresse IP est croisée avec une liste de sites d’attaques connus. Si une correspondance est trouvée, l’utilisateur ne peut pas accéder au site et aucun fichier n’est téléchargé. En effet, il ne peut pas ouvrir le site dans un navigateur. La machine locale et le réseau sont donc entièrement protégés du contenu téléchargé.
Ainsi, les utilisateurs ne pourront pas se faire voler leurs informations d’identification dans un e-mail de phishing contenant un lien qui pointe vers un site malveillant, car toute application nécessitant une recherche d’adresse IP à partir d’un navigateur sera vérifiée à l’aide de la protection DNS. Et comme cette fonctionnalité fait partie intégrante de la connectivité Internet, les attaques qui utilisent des connexions web ne peuvent pas l’éviter.
Protection de votre réseau WiFi
La protection DNS ne protège pas uniquement les périphériques locaux contre les attaques cybercriminelles. Comme tout ordinateur qui se connecte à un point d’accès WiFi fait partie du réseau local, les entreprises qui offrent ces points d’accès devraient toujours avoir un pare-feu séparant le réseau WiFi public et le réseau interne. Néanmoins, les appareils connectés au sous-réseau WiFi peuvent partager des ressources et stocker des fichiers sur toutes les ressources de ce sous-réseau. Avec la protection DNS, une organisation protège ce réseau local contre les éventuelles attaques.
Lorsque les utilisateurs se connectent à un point d’accès WiFi, ils ne peuvent plus se connecter aux applications web publiques s’ils sont mis sur liste noire par filtrage DNS. Cette implémentation de sécurité protège non seulement les ressources de votre hotspot local, mais aussi les autres périphériques connectés au WiFi public.
Fonctionnement du filtrage DNS
Tout filtre DNS que vous ajoutez à votre réseau ne doit avoir aucune latence, sinon les utilisateurs verront leur navigation internet ralentie. Vous pouvez mettre sur liste blanche tous les faux positifs et mettre manuellement sur liste noire les sites que vous ne voulez pas autoriser sur un réseau WiFi public.
Parce que la protection DNS est évolutive, elle est bénéfique pour les petites comme pour les grandes entreprises. Elle devrait faire partie de tout point d’accès WiFi pour une défense complète contre les contenus malveillants. Qu’il s’agisse de protéger les utilisateurs mobiles ou de se défendre contre le téléchargement de contenus malveillants, votre point d’accès WiFi doit être doté de la cybersécurité adéquate. Autrement, il pourrait constituer un endroit où les attaquants peuvent lancer des malwares, des attaques DDoS ou des attaques Man in the Middle.
Attaques Man in the Middle
Les attaques Man in the Middle sont une forme courante d’attaques contre les personnes utilisant le WiFi public. Un pirate informatique capture les données que vous envoyez.
La plupart d’entre eux utilisent cette méthode pour exploiter des failles dans des applications ou des sites Web qui leur permettent de visualiser les informations transmises, y compris les renseignements bancaires, les mots de passe, les renseignements personnels d’identification et les autres données qui pourraient être utilisées pour le vol d’identité.
Le type d’attaque Man in the Middle le plus courant est celui qui se produit sur des réseaux WiFi non chiffrés et non sécurisés.
Le moyen le plus simple pour un attaquant d’exploiter le WiFi public est de se positionner entre les utilisateurs et le routeur. Une attaque Man in the Middle est comme une écoute clandestine via laquelle un attaquant peut se placer entre deux points A et B et intercepter des données. Parfois, ces données peuvent être modifiées au cours du processus de transmission pour amener la victime à divulguer des informations sensibles, comme les informations d’identification. La victime ne remarquera probablement jamais que quelque chose ne va pas. Une fois que l’utilisateur tombe dans le piège, ses données sont collectées par le pirate.
Pour les utilisateurs utilisant des mots de passe faibles, même si ce mot de passe est chiffré, cela ne prendra pas longtemps avant que l’attaquant parvienne à le déchiffrer. Apprenez à créer un mot de passe solide, ce qui le rendra plus difficile à pirater. La sécurité de votre réseau WiFi dépend de la fiabilité de tous les périphériques qui s’y connectent. Lorsqu’un utilisateur approuve accidentellement une partie malveillante, le réseau dans son ensemble peut donc être compromis.
Prochaines étapes
Si vous souhaitez évaluer les avantages du logiciel de filtrage DNS de TitanHQ dans votre propre environnement, contactez-nous et demandez les détails sur notre essai gratuit. Notre équipe d’ingénieurs expérimentés répondra à toutes vos questions sur les logiciels de filtrage Internet DNS et vous guidera tout au long du processus d’inscription à votre essai gratuit.
Une fois que vous serez inscrit, nous vous guiderons tout au long du processus de redirection de votre DNS afin que vous puissiez bénéficier de notre service. Aucune carte de crédit n’est requise pour essayer WebTitan. Il n’y a aucun contrat à signer ni engagement de votre part à continuer avec notre logiciel de filtrage DNS une fois la période d’essai terminée.
Appelez-nous dès aujourd’hui pour ajouter un niveau de sécurité supplémentaire aux activités sur le web de votre organisation en quelques minutes seulement.
Le ransomware Locky est distribué via des spams contenant des pièces jointes infectées et des liens vers des sites web malveillants. Cette nouvelle souche de ransomware utilise l’extension de fichier Locky lorsque tous vos fichiers importants ont été chiffrés.
Alors que nous entrons dans le deuxième trimestre de 2016, les demandes de rançon distribuées par le biais des spams de fausses factures continuent de faire les gros titres en matière de sécurité informatique. De nouvelles souches apparaissent chaque jour et leurs méthodes d’infection changent. Le dernier-né, Locky, tente de brouiller de nombreux fichiers sur tous les disques qu’il peut trouver. Cela inclut les lecteurs amovibles, les partages réseau et les lecteurs mappés sous Windows, Linux ou MAC OSX.
Comme pour tous les ransomwares, vous ne pouvez déchiffrer vos fichiers qu’une fois que vous avez payé la rançon. Les victimes sont invitées à visiter le dark-web et à payer les escrocs en bitcoins, après quoi la clé de déchiffrement est fournie.
Cela dit, l’attaque semble similaire à celles des autres ransomwares. La différence ici est la façon dont le logiciel malveillant est distribué.
La principale source d’infection est spam, la plupart du temps déguisé en fausses factures. La pièce jointe est un document Word contenant le vénérable vieux porteur de virus : la macro. C’était la méthode de prédilection des auteurs de virus à la fin des années 1990 et, en tant que telle, elle avait été reléguée à l’histoire une fois que Microsoft avait pratiquement désactivé la fonction d’exécution automatique.
Toutefois, avec Locky, le destinataire est invité à activer l’édition dans le document, ce qui permet l’exécution du malware. Cette pratique a été assez efficace pour persuader le lecteur innocent de cliquer sur le bouton jaune « Enable Editing ».
Une fois la macro exécutée, elle télécharge le ransomware, qui commence alors le chiffrement de tous vos précieux fichiers.
A propos du Ransomware locky
Locky est apparu en 2016 lorsque des experts en sécurité ont constaté que les auteurs de malwares délivrent ce ransomware via un e-mail, demandant un paiement via une facture jointe à un document Microsoft Word malveillant qui exécute des macros infectieuses.
Le document – lorsqu’il est ouvert par un employé – ne serait pas dans un format lisible. Une boîte de dialogue s’ouvre avec une phrase « Activer la macro si l’encodage des données est incorrect. » Il s’agit d’une simple technique d’ingénierie sociale utilisée comme appât pour tromper vos employés et leur transmettre l’infection.
Lorsqu’un employé active les macros, les pirates exécutent un fichier binaire qui installe ensuite le cheval de Troie de chiffrement qui verrouille tous les fichiers ayant des extensions spécifiques. Ensuite, les noms de fichiers sont remplacés par une combinaison de lettres et de chiffres.
Une fois les fichiers chiffrés, le malware demande de télécharger le navigateur Tor et d’accéder à un site Web spécifique qui est en fait malveillant. Il demande aussi de payer une rançon pour déverrouiller le fichier chiffré.
Qui est visé par Locky ?
Locky est une menace très dangereuse, capable d’infecter une variété de formats de fichiers, notamment les fichiers créés par les concepteurs, les développeurs, les ingénieurs et les testeurs. La particularité de Locky est qu’il cible essentiellement les petites entreprises.
Les principaux pays touchés par Locky sont les États-Unis, l’Allemagne, la Grande-Bretagne, l’Espagne, la France, l’Italie, la République tchèque, le Canada et la Pologne.
En fait, d’où vient Locky ?
Les auteurs du malware transmettent l’infection via des spams accompagnés de pièces jointes malveillantes comprenant des fichiers .doc, .xls. ou zip.
Les experts en matière de sécurité ont trouvé des preuves que le ransomware Locky a été développé par les pirates qui ont développé ArcTitan. Le ransomware Locky pourrait également provenir de la Russie et il cible tous les ordinateurs du monde entier, sauf la Russie.
Comment détecter le ransomware ?
Les e-mails infectés par Locky semblent authentiques, ce qui rend difficile pour les utilisateurs finaux d’identifier les e-mails malveillants. L’objet des e-mails ressemble souvent au suivant : « Paiement à venir – préavis d’un mois ». Ils peuvent aussi être accompagnés d’un document Microsoft Word contenant des macros malveillantes.
Si le ransomware s’exécute et infecte les fichiers de vos employés, il sera difficile de les récupérer. Ils seront informés qu’ils doivent payer une rançon pour déverrouiller les fichiers.
Comment supprimer le ransomware locky ?
Au cours du processus de démarrage de votre ordinateur, appuyez sur la touche F8 de votre clavier jusqu’à ce que le menu « Options avancées » de Windows apparaisse, sélectionnez « Mode sans échec » avec invite de commande dans la liste des menus, puis appuyez sur « Entrée ».
Lorsque le mode « Invite de commande » se charge, tapez sur « cd restore » et appuyez sur « Entrée ».
Tapez ensuite sur « rstrui.exe » et appuyez sur « Entrée ».
Cliquez sur « next » dans la fenêtre ouverte.
Sélectionnez les points de restauration et cliquez sur « next » afin de restaurer votre système avant l’infiltration de locky ransomware sur votre ordinateur.
Cliquez ensuite sur « YES » dans la fenêtre qui s’ouvre.
Une fois que votre ordinateur est restauré, scannez le système via un logiciel antivirus efficace et recommandé. Supprimez tous les fichiers locky ransomware restants.
Les campagnes de spams Locky sont bien pourvues en ressources
Des rapports suggèrent que les campagnes de spams de Locky étaient bien financées, à une échelle beaucoup plus grande que la plupart des autres attaques. De nombreux e-mails avaient un sujet qui commençait par « ATTN: Invoice… » ou « Tracking documents ».
Le malware s’est répandu très rapidement — ce qui a surpris de nombreux éditeurs de logiciels antivirus — et a frappé des entreprises qui n’avaient aucune politique de mises à jour régulières et fréquentes de leur sécurité informatique.
Les victimes ont reçu un message de ce type sur leurs ordinateurs :
Malgré sa notoriété, le ransomware n’est qu’un autre type de malware qui menace les données de votre entreprise, votre réputation ou votre solde bancaire. Ce qui est inquiétant, c’est le fait que les criminels utilisent des escroqueries de plus en plus convaincantes pour persuader leurs victimes d’ouvrir des pièces jointes malveillantes ou de suivre des liens vers des sites web douteux.
Malgré toutes les informations et les avertissements destinés à rendre les utilisateurs d’ordinateurs méfiants face aux e-mails non sollicités, les cybercriminels trouvent davantage de moyens efficaces qui rendent leurs messages aussi légitimes et innocents que possible.
Les campagnes de spam semblent aujourd’hui plus localisées, c’est-à-dire qu’elles sont lancées dans le pays ou même la région de la victime. Les sujets sont familiers et le message, ainsi que la pièce jointe, prétendent concerner les processus et les services communs au destinataire. Les e-mails provenant des entreprises, des services publics, des organisations partenaires et des fournisseurs légitimes sont couramment utilisés pour tromper les gens à ouvrir le document ou à cliquer sur le lien fourni. Même la personne la mieux informée et intentionnée pourrait donc être dupée.
Tout cela signifie qu’un simple antivirus et une base d’utilisateurs bien informés ne suffisent plus pour vous protéger et pour protéger vos données.
Mieux vaut donc prévenir que guérir, surtout lorsque la guérison ne sera pas possible sans payer les criminels.
Votre meilleure protection est un ensemble de défenses à plusieurs niveaux
Vous ne pouvez plus vous fier à un ou deux systèmes pour vous protéger d’un attaquant déterminé. Au lieu de cela, vous devriez disposer de plusieurs systèmes pour défendre à nouveau les multiples « vecteurs d’attaque » pouvant être utilisées par les criminels.
Jetons un coup d’œil aux solutions que vous devriez mettre en place :
Sauvegarde
C’est votre dernière ligne de défense contre les ransomwares.
Les sauvegardes hors site vous sauveront non seulement en cas d’attaque de malwares, mais aussi dans de nombreuses situations désastreuses.
Utilisez des sauvegardes chiffrées pour sécuriser vos données.
La principale raison d’une sauvegarde de données est de disposer d’une archive sécurisée de vos informations importantes, qu’il s’agisse de documents confidentiels pour votre entreprise ou de photos précieuses de votre famille. Ceci vous permet de restaurer votre appareil rapidement et sans problème en cas de perte de données.
Pourtant, 30 % des employés ne sauvegarde jamais leurs données dans leurs appareils. Cela peut sembler peu jusqu’à ce que vous le mettiez en perspective, avec la fréquence des pertes de données.
Selon les données de Norton.com ;
113 téléphones sont perdus ou volés chaque minute. (Données fournies lors de la Journée mondiale de la sauvegarde) ;
Les ransomwares attaquent les entreprises toutes les 14 secondes, selonCybercrime Magazine ;
Chaque mois, 1 ordinateur sur 10 est infecté par des. (Source : Journée mondiale de la sauvegarde) ;
Les ordinateurs portables sont volés toutes les 53 secondes aux États-Unis. (Kensington)
Plus de 70 millions de téléphones portables sont perdus chaque année. (Kensington)
Considérez donc la sauvegarde des données comme la pierre angulaire de votre plan de reprise après sinistre. En sauvegardant vos appareils, vous avez déjà une longueur d’avance sur les cybermenaces qui pourraient entraîner une perte de données.
Il convient toutefois de noter que la perte de données n’est pas toujours le résultat de cybermenaces. Il peut également arriver que votre disque dur externe ou votre ordinateur s’use et que vous perdiez vos données. C’est la nature même de tout matériel, et la sauvegarde de vos données peut vous aider à les restaurer sur un nouvel appareil.
Patchs
Assurez-vous que votre système d’exploitation et vos logiciels de productivité sont à jour. Pour ce faire, vous pouvez utiliser des mises à jour sur Internet ou créer des systèmes de mise à jour internes.
Les mises à jour logicielles comprendront fréquemment des correctifs pour les vulnérabilités de sécurité nouvellement découvertes et qui pourraient être exploitées par des attaquants.
Effectuez un correctif complet de l’application tierce (en plus des correctifs du système d’exploitation). Certains logiciels tiers, comme Adobe Flash, sont souvent la cible de malwares et doivent être tenus à jour.
Vous travaillez d’arrache-pied sur votre ordinateur ou votre appareil et un message s’affiche soudainement indiquant qu’une mise à jour logicielle est disponible. Vous êtes occupé, alors vous cliquez sur « annuler » au lieu de « installer », en pensant que vous y reviendrez plus tard, mais vous ne le faites jamais. Cela vous semble familier ?
La vérité est qu’il est facile d’ignorer les mises à jour logicielles, car elles ne prennent que quelques minutes de notre temps et ne semblent pas si importantes. Mais c’est une erreur qui laisse la porte ouverte aux pirates pour accéder à vos informations privées, ce qui vous expose à un risque d’usurpation d’identité, de perte d’argent, de crédit et bien plus encore.
Vous avez peut-être entendu parler de la récente violation de données d’Equifax, qui a touché 143 millions d’Américains, dont les numéros de sécurité sociale, les dates de naissance et les adresses personnelles ont été exposées. Les pirates ont pu accéder aux données de l’agence d’évaluation du crédit grâce à une vulnérabilité connue dans une application web. Un correctif pour cette faille de sécurité était en fait disponible deux mois avant la violation, mais la société n’a pas mis à jour son logiciel. C’est une leçon difficile, mais dont nous pouvons tous tirer des enseignements. Les mises à jour logicielles sont importantes, car elles contiennent souvent des correctifs critiques pour les failles de sécurité.
En fait, la plupart des attaques de malwares les plus dangereuses que nous observons tirent parti des vulnérabilités logicielles des applications courantes, comme les systèmes d’exploitation et les navigateurs. Ce sont de gros programmes qui nécessitent des mises à jour régulières pour rester sûrs et stables. Au lieu de remettre à plus tard les mises à jour logicielles, considérez-les comme l’une des mesures les plus essentielles que vous puissiez prendre pour protéger vos informations.
Outre les correctifs de sécurité, les mises à jour logicielles peuvent également inclure des fonctionnalités nouvelles ou améliorées, ou une meilleure compatibilité avec différents appareils ou applications. Elles peuvent également améliorer la stabilité de votre logiciel et supprimer les fonctionnalités obsolètes.
Maintenez à jour vos logiciels de sécurité et antivirus
La qualité de vos solutions antivirus, antispam et de filtrage de contenu dépend de la qualité de leur dernière mise à jour.
Vous devez conserver une politique de mise à jour régulière et fréquente pour vous protéger des dernières menaces. Faire cela une fois par jour ne suffit pas !
Pourquoi faut-il mettre à jour un logiciel antivirus ?
S’il y a une chose que nous aimerions que vous reteniez de cet article, c’est la suivante : votre version actuelle de l’antivirus ne vous protège que des virus déjà connus. Lorsque vous cessez de la mettre à jour, vous restez exposé face aux nouveaux virus et malwares qui se répandent sur le web. Et il y a beaucoup, beaucoup de nouveaux virus qui sortent chaque jour.
Cela devrait être une raison suffisante pour vous inciter à mettre à jour votre logiciel antivirus. Après tout, essayez de faire un parallèle entre l’utilisation de la dernière version de l’antivirus et le fait d’aller à l’école tous les jours. En tant qu’enfant, si vous sautez vos journées d’école, vous vous retrouverez souvent privé d’informations précieuses. Parfois, il s’agit d’informations qui vous aideront à réussir un futur examen avec brio. D’autres fois, il s’agit d’informations qui pourraient étonnamment, mais littéralement vous sauver la vie plus tard.
Votre antivirus doit « aller à l’école » tous les jours et apprendre tout ce que ses « professeurs » ont à lui apprendre. Sinon, un nouveau virus arrive et vous pourriez vous retrouver à devoir réinstaller le système d’exploitation juste pour vous en débarrasser. Ou, pire encore, vous pourriez devoir payer une rançon pour récupérer vos données.
Lorsque vous maintenez votre antivirus à jour, vous ne protégez pas seulement votre appareil et vos précieuses données ! Mais vous contribuez également à la suppression des virus pour lesquels vous avez reçu des mises à jour de signatures. Car le plus souvent, les virus pourraient être efficacement supprimés, si seulement tous les internautes s’unissaient pour le supprimer de leurs appareils.
Comme ce n’est pas le cas, nous nous retrouvons avec les mêmes vieux virus. Ils se propagent d’un appareil non protégé (ou obsolète) à un autre, profitant de notre paresse pour y mettre un terme.
Chaque jour, des centaines de nouveaux virus informatiques et chevaux de Troie sont développés. Le rythme auquel nous les découvrons et trouvons des solutions n’est peut-être pas très élevé. Pourtant, il est suffisamment important pour que les développeurs d’antivirus publient de nouveaux fichiers de signatures tous les deux jours. Parfois, c’est même tous les jours. Ou plusieurs fois par jour.
Comme nous l’avons déjà dit, plus nous sommes confrontés à des périls, plus les mises à jour sont nombreuses. Tout comme les chercheurs étudient les nouveaux virus qui provoquent des maladies et trouvent des remèdes et des antidotes, les développeurs de codes font de même. Ils travaillent chaque jour à identifier et à combattre les virus informatiques.
De cette façon, lorsqu’ils trouvent une solution, ils la diffusent auprès de leur communauté d’utilisateurs. En fait, c’est le moment idéal pour vous d’en profiter. Il n’y a pas vraiment de meilleure réponse à la question de savoir à quelle fréquence vous devez mettre à jour votre protection antivirus, ou aussi souvent que votre antivirus mette une mise à jour à votre disposition.
Tests d’intrusion
Effectuez régulièrement des évaluations de la sécurité de votre réseau et des tests de pénétration pour découvrir les vulnérabilités inconnues.
Pour arrêter un pirate informatique avant même qu’il ne pense à s’introduire dans votre réseau, votre administrateur de système doit essayer de s’introduire lui-même dans le système ciblé en utilisant les mêmes techniques que celles utilisées par les escrocs.
Le test d’intrusion pour les systèmes informatiques a pour objectif de rechercher les vulnérabilités du système, comme les failles de sécurité, les ports ouverts et d’autres problèmes de sécurité.
Les professionnels dans ce domaine recherchent et essaient d’exploiter les systèmes qu’ils sont chargés de tester.
Ceci étant fait, ils se comportent de la même manière qu’un pirate informatique dans un scénario réel. Pourtant, l’avantage est que les personnes qui font ce type de travail légalement ont souvent accès à des recherches et à des outils plus fiables que ceux dont dispose un pirate informatique ordinaire.
Leur connaissance combinée à des failles des systèmes sont généralement bien plus importante que celle d’un seul pirate attaquant un système, ce qui leur permet de rechercher, en tant que professionnels, une grande variété de failles possible.
Un outil populaire pour ce type de test s’appelle ArcTitan. Il s’agit d’une solution complète et open source, capable de trouver et d’exploiter les failles de sécurité d’un système.
Comme pour toute chose, il y a une courbe d’apprentissage assez raide associée à une plateforme telle qu’ArcTitan, et nous ne suggérons pas à ceux qui ont peu ou pas d’expérience dans ce domaine de placer toute leur confiance en un seul endroit. C’est un outil dont l’utilisation ne requiert aucune connaissance particulière. Chez TitanHQ, nous fournissons une assistance 24 heures sur 24 dont les entreprises qui traitent des données sensibles ont souvent besoin.
Pour arrêter un pirate avant même qu’il ne pense à s’introduire dans le système cible, un administrateur système doit essayer de s’introduire lui-même dans le système en utilisant les mêmes techniques que celles utilisées par un pirate.
Pourquoi est-ce important ?
Les tests d’intrusion sont extrêmement importants à notre époque et le deviennent de plus en plus. À mesure que la technologie progresse et que notre dépendance à l’égard des réseaux et des systèmes utilisés par les entreprises s’accroît, les types de risques augmentent également.
Selon certains rapports, près de 90 % des sites web commerciaux ont, à un moment ou à un autre ; été piratés ou compromis d’une manière ou d’une autre. La vérité est que les méthodes de cybercriminalité se développent aussi vite, voire plus vite, que celles de la cybersécurité. C’est pourquoi il est absolument nécessaire que les entreprises qui se prennent au sérieux, ainsi que leurs clients, produits et services, adoptent une approche pratique et agressive de leur propre sécurité.
De nouveaux moyens de pénétrer dans les systèmes sont découverts en permanence, et en adoptant une approche active et agressive afin de trouver les failles et les colmater. Un administrateur système peut garder une longueur d’avance sur les pirates qui cherchent à tirer parti de leurs vulnérabilités.
Systèmes de sécurité web
Utilisez une approche de la sécurité par couches afin de protéger vos utilisateurs et vos systèmes contre les malwares.
Les menaces de vol de propriété intellectuelle, de données financières, de données de titulaires de cartes, de PII (informations personnellement identifiables) sont plus diverses et de plus en plus difficiles à défendre. Le traditionnel « vandalisme sur Internet » des virus est toujours un problème, mais le « paysage des menaces » en 2017 est beaucoup plus diversifié et dangereux que jamais.
Il devient non seulement plus difficile de protéger vos données confidentielles, mais aussi plus importantes. Votre entreprise est attaquée en ce moment même et, en cas d’intrusion réussie, vous pourriez perdre votre propriété intellectuelle ; vos données sensibles relatives à la planification et aux finances de l’entreprise ; vos informations sur le marché ; et, avec elles, votre avantage concurrentiel global pourrait reculer de plusieurs années.
Mais cela pourrait être le meilleur scénario possible. Si vous perdez les données des titulaires de cartes ou les informations personnelles des clients, non seulement vous devrez payer les coûts de compensation financière et de réparation des systèmes. Mais la valeur de votre marque et la réputation de votre entreprise seront gravement compromises.
Les chevaux de Troie et les virus sont toujours présents et représentent une menace renouvelée lorsqu’ils sont associés à des techniques d’ingénierie sociale pour la distribution.
Les systèmes antivirus ne seront jamais efficaces à 100 %, même contre les malwares connus, tandis que les « menaces du jour zéro », c’est-à-dire les malwares inconnus jusqu’alors, ne cessent de se multiplier.
Les menaces de l’intérieur
Par définition, elles contournent même les meilleurs pare-feu, systèmes de protection contre les intrusions et défenses antivirus. Il est clair qu’il est très avantageux de se trouver à l’intérieur du pare-feu, mais lorsque l’attaquant dispose de droits d’administration sur des systèmes clés, une approche différente de la protection des données est nécessaire.
Attaques de phishing
Les utilisateurs contournent les pare-feu, les systèmes de protection contre les intrusions et les antivirus en accueillant involontairement des malwares.
Exploitation des vulnérabilités – année après année, lorsque le Top 10 des failles de sécurité est publié, les exploitations directes de Cross-Site Scripting (XSS) et d’injection SQL des applications Web figurent toujours en tête de liste ou presque.
Les menaces persistantes avancées (APT)
Les attaques professionnelles les mieux orchestrées jouent sur le long terme. L’APT classique est une campagne tactique menée sur une période prolongée de plusieurs mois sous forme de piratage progressif.
L’APT a généralement pour origine une attaque de phishing. Dans ce cas, l’attaque est soigneusement ciblée. Un « Inside Man » peut implanter un logiciel espion, qui peut ensuite être utilisé comme vecteur pour pénétrer plus profondément dans les systèmes et voler des données sur une période de plusieurs mois.
En réalité, il n’existe pas de meilleure mesure de défense. L’éventail des menaces en termes d’anatomie et de sophistication, associé à des astuces et à la ruse, signifie que nous devons également combiner et exploiter toutes les mesures de sécurité à notre disposition. Pour l’essentiel, l’éventail des mesures peut être résumé comme suit :
Le pare-feu et le système de protection contre les intrusions utilisent des règles et la reconnaissance des signatures d’attaque pour les bloquer
L’antivirus utilise un dictionnaire de signatures de fichiers pour bloquer et supprimer les malwares.
Procédures de sécurité fondées sur les meilleures pratiques, comme le durcissement, le contrôle des changements, la gestion des comptes d’utilisateur, les mises à jour et la sécurité physique.
Le DLP ou « Data Leakage Prevention » fonctionne en bloquant les fonctions d’exportation de données comme les ports USB, les graveurs de DVD et d’autres mécanismes de transfert pour la copie de données.
Le chiffrement et la tokénisation rendent les données inutilisables de différentes manières. Le chiffrement, par exemple brouiller les données pour les rendre illisibles sur tout appareil non autorisé à les utiliser, alors que la tokénisation traduit les données en un jeton, les jetons résultants n’ayant aucune signification, à moins d’être utilisés en conjonction avec le magasin de données à jetons.
La liste blanche bloque l’exécution de tout processus non autorisé sur un système, ce qui permet de prévenir les virus et les chevaux de Troie.
Le SIEM ou « Security Incident and Event Management » fournit une analyse et une corrélation de toutes les activités du journal des événements du système afin d’identifier les activités irrégulières ou inhabituelles.
Le FIM ou « File Integrity Monitoring » détecte toute activité du système de fichiers affectant les fichiers système/programme, ainsi que tout changement de configuration susceptible d’affecter la sécurité.
Utilisez des logiciels de sécurisation des nœuds d’extrémité
Cela inclut les pare-feu basés sur le client.
Les solutions de protection des points d’extrémité offrent aux entreprises, une solution de sécurité gérée de manière centralisée pour sécuriser les postes de travail, les points d’extrémité (serveurs, etc.), qui sont connectés aux points d’extrémité et les dispositifs de ces derniers.
Elle est considérée comme la meilleure, car elle intègre un antivirus, un anti-spyware, un pare-feu et un contrôle des applications qui comporte des techniques HIPS (prévention des intrusions dans l’hôte) – le tout dans une seule console.
Il combine la gestion des correctifs, la capacité de configuration et l’évaluation des vulnérabilités pour permettre une protection proactive des fichiers de données et le cryptage des disques.
Désactiver l’exécution des macros par défaut dans Microsoft Office
Faites une sauvegarde des fichiers vitaux sur des disques externes ou dans le cloud.
Bien que Microsoft détecte et supprime Locky, nous vous recommandons de désactiver les macros afin d’empêcher cette menace et d’autres menaces téléchargées par macros d’infecter votre PC, puis de n’activer que les macros auxquelles vous faites confiance, au cas par cas.
Pour assurer la sécurité de votre entreprise, envisagez d’utiliser un emplacement de confiance pour les fichiers de votre entreprise, où vous pourrez stocker les documents nécessitant des macros. Vous pouvez également utiliser nos services de protection dans le cloud pour renforcer votre protection..
Logiciel d’analyse des e-mails
Bloquez les fichiers exécutables et les autres types de fichiers malveillants ou indésirables.
Listes de blocage en temps réel
Analyse antispam
Analyse antivirus
Contrôle du contenu
Analyse du web
Analyse antivirus
Protection contre les malwares
filtrage des URL
analyse SSL
Bloquez les fichiers exécutables et autres types de fichiers malveillants ou indésirables.
Gestion des applications
Autres solutions de sécurité du réseau
Pare-feu
Inspection dynamique des paquets
Système de prévention d’intrusions (IPS)
Ce qui est certain au sujet des attaques de ransomwares, c’est qu’il est pratiquement impossible de récupérer vos données chiffrées suite à un tel incident. Il est donc préférable de vous protéger correctement dès le départ.
On ne saurait trop insister sur l’importance des sauvegardes dans la lutte contre les ransomwares. Il est essentiel de sauvegarder les fichiers pour pouvoir les récupérer après une attaque de ransomware et de s’assurer que le disque de sauvegarde n’est pas accessible par un malware.
Un réseau web de distribution de malwares — qui redirigeait environ 2 millions de visiteurs par jour vers des sites Web compromis hébergeant des kits d’exploitation — a été perturbé, paralysant ainsi les opérations de distribution de malwares.
Le réseau web de distribution de malwares — connu sous le nom d’EITest — utilisait des sites Web compromis pour rediriger les visiteurs vers des sites où des kits d’exploitation étaient utilisés pour télécharger des malwares et des ransomwares. Il permettait également aux pirates de rediriger les utilisateurs vers des sites de phishing et de lancer des escroqueries du support technique.
En effet, les pirates ont pu convaincre les visiteurs d’un site compromis de payer pour de faux logiciels afin de supprimer les infections par des malwares qui n’existaient même pas.
Supprimer les redirections des sites Web compromis est une tâche de grande ampleur. Les efforts d’assainissement de ces sites se poursuivent et les CERT (Computer Emergency Response Team) nationaux sont invités à fournir leur assistance.
Le réseau web de distribution de malwares a été totalement détruit et le trafic est maintenant redirigé vers un domaine sûr. Les chercheurs de Proofpoint ont pu s’emparer d’un domaine clé qui générait des domaines C&C, bloquant les redirections et les redirigeant vers quatre nouveaux domaines EITest qui pointent vers un gouffre abuse.ch.
Le gouffre n’est opérationnel que depuis un mois. Il a été activé le 15 mars dernier, mais il a déjà permis de protéger des dizaines, voire des centaines de millions de visiteurs du site. Rien qu’au cours des trois premières semaines, 44 millions de visiteurs ont été redirigés vers le gouffre à partir d’environ 52 000 sites et serveurs compromis.
La majorité des sites Web compromis utilisaient WordPress. Du code malveillant avait été injecté à cause des failles du CMS et des plug-ins ont été installés sur les sites. Les vulnérabilités de Joomla, Drupal et PrestaShop avaient également été exploitées pour installer le code malveillant.
Le réseau de distribution de malwares sur le Web est opérationnel depuis au moins 2011, mais les attaques qui y sont liées ont considérablement augmenté en 2014. Bien que des efforts aient déjà été menés pour perturber le réseau de distribution des malwares, la plupart d’entre eux ont échoué, tandis que d’autres n’ont connu qu’un succès temporaire.
Le code malveillant injecté dans les serveurs et les sites Web redirigeait principalement les visiteurs vers un kit d’exploitation appelé Glazunov et, dans une moindre mesure, vers un kit d’exploitation appelé Angler. Ces kits d’exploitation recherchent de multiples vulnérabilités dans les logiciels pour pouvoir télécharger des ransomwares et des malwares.
On pense que les acteurs de la menace à l’origine de l’EITest ont réagi et tenté de prendre le contrôle du gouffre, mais pour l’instant, ces efforts ont été contrecarrés.
Comment améliorer la sécurité et bloquer les attaques de malwares des réseaux web de distribution?
Le fait qu’une opération d’une telle ampleur ait été perturbée est certainement une bonne nouvelle. Mais cela souligne également l’importance de la menace d’attaques sur le Web. Les spams sont peut-être devenus la principale méthode de distribution de malwares et de ransomwares, mais les organisations ne devraient pas ignorer la menace que représentent les attaques sur le Web.
Ces attaques peuvent se produire lorsque les employés naviguent simplement sur le Web et visitent des sites internet parfaitement légitimes. Malheureusement, la sécurité laxiste des propriétaires de sites Web peut conduire au compromis de leurs sites Web. L’absence de mise à jour de WordPress ; d’autres systèmes et de plug-ins de gestion de contenu ; et les mauvaises pratiques en matière de mots de passe font des attaques sur les sites Web un processus rapide et facile.
Pour réduire le risque d’attaques sur le Web, l’une des meilleures solutions à mettre en œuvre est un filtre Web. Sans cela, les employés seront autorisés à visiter tout site Web, y compris ceux connus pour héberger des malwares ou pouvant être utilisés à des fins malveillantes.
En mettant en place un filtre Web, les redirections vers des sites Web malveillants seront bloquées, tout comme les téléchargements de fichiers malveillants. Par ailleurs, les attaques de phishing sur le Web seront contrées.
TitanHQ est le premier fournisseur de solutions de filtrage Web dans le cloud pour les PME les grandes entreprises. WebTitan Cloud et WebTitan Cloud for WiFi leur permettent de contrôler avec soin le contenu du site Web auquel peuvent accéder leurs employés, les utilisateurs de leur réseau invité et les utilisateurs de leur Wi-Fi.
La solution de TitanHQ dispose de puissantes protections antivirus. Elle utilise des listes noires de sites Web malveillants connus et intègre l’inspection SSL/HTTPS pour fournir une protection contre le trafic chiffré malveillant. La solution permet également aux PME et aux grandes entreprises d’appliquer leurs politiques d’utilisation d’Internet acceptables ; et aux écoles d’appliquer Safe Search et YouTube for Schools.
Pour plus d’informations sur la façon dont WebTitan peut protéger vos employés et étudiants et prévenir les infections de malwares sur votre réseau, contactez TitanHQ dès aujourd’hui.
