Racoon Stealer connaît un grand succès auprès des cybercriminels

Racoon Stealer connaît un grand succès auprès des cybercriminels

Racoon Stealer est une forme relativement nouvelle de malware qui a été détecté pour la première fois en avril 2019. Le malware n’est pas sophistiqué, car il n’intègre aucune fonctionnalité jamais vue auparavant. Bref, il n’a rien d’extraordinaire.

Ce malware peut prendre des captures d’écran, collecter des informations sur le système, surveiller les e-mails et voler des informations de navigateurs, comme les mots de passe, les identifiants bancaires en ligne et les numéros de carte de crédit.

Cependant, le malware est efficace et très populaire. Au cours des six derniers mois, Racoon Stealer a été installé sur des centaines de milliers d’appareils Windows et il est maintenant l’une des variantes de malwares les plus connues sur les forums underground.

Ce qui distingue Racoon Stealer, c’est qu’il utilise une campagne de marketing très agressive visant à recruter le plus grand nombre d’affiliés possible. Il est commercialisé en tant que malware-as-a-service (MaaS) sur les forums underground et les affiliés peuvent s’inscrire pour utiliser le malware pour un montant forfaitaire d’environ 180 euros par mois.

Le malware peut être utilisé pour voler toute une série d’informations sensibles comme les mots de passe, les numéros de carte de crédit et les cryptomonnaies. Dans ce modèle de distribution, les affiliés n’ont pas besoin de développer leurs propres malwares, et ils n’ont besoin que de peu de compétences pour commencer à mener des campagnes malveillantes. Les développeurs du malware fournissent également un hébergement à toute épreuve et sont disponibles pour offrir aux affiliés un support 24h/24, 7j/7 et 365j/an. De plus, le pack est livré avec un système back-end (arrière-plan) facile à utiliser.

Bien que le coût soit certainement élevé par rapport à ceux des autres offres de MaaS et de ransomware-as-a-service, les affiliés sont susceptibles de gagner bien plus grâce aux informations qu’ils peuvent voler. Voici pourquoi les acheteurs de ce malware sont de plus en plus nombreux.

Comment le malware Racoon Stealer est-il distribué ?

Les affiliés distribuent Racoon Stealer par le biais d’e-mails de phishing contenant des fichiers Office et PDF incorporant le code qui télécharge la charge utile. Il est intégré à des logiciels sur des sites web tiers, bien qu’un pourcentage important des infections provienne de kits d’exploitation.

Racoon Stealer est ajouté aux kits d’exploitation Fallout et Rig qui sont chargés sur des sites Web compromis et des domaines appartenant à des pirates informatiques. Le trafic est envoyé vers ces sites via des publicités malveillantes sur des réseaux publicitaires tiers (malvertising).

Lorsqu’un utilisateur atterrit sur une page Web hébergeant un kit d’exploitation, son appareil est testé pour détecter les vulnérabilités. Si une vulnérabilité est trouvée, elle est exploitée et le Racoon Stealer est téléchargé à l’insu de l’utilisateur.

Une fois installé, Racoon Stealer se connecte à son serveur C2. Les ressources nécessaires pour commencer à voler des informations sont ainsi obtenues et peuvent être vendues sur le marché du darknet ou utilisées par les affiliés pour mener leurs propres attaques.

Compte tenu de l’énorme potentiel de profit qu’ils peuvent réaliser, il n’est pas surprenant que les développeurs de malwares optent aujourd’hui pour ce genre d’attaque. Le problème risque de s’aggraver avant qu’il ne s’améliore et la menace que représentent ces offres de MaaS demeure importante.

Comment bloquer Racoon Stealer et d’autres menaces par e-mail et sur le web ?

Heureusement, il existe des mesures que les entreprises peuvent prendre pour améliorer leurs défenses contre les campagnes de MaaS.

Les kits d’exploitation intègrent généralement des exploits pour un petit nombre de vulnérabilités connues plutôt que pour des vulnérabilités du type zéro-day pour lesquelles aucun correctif n’a été publié. Pour bloquer ces attaques par kit d’exploitation, les entreprises doivent appliquer des correctifs et mettre à jour leurs logiciels rapidement.

Il n’est pas toujours possible pour les entreprises d’appliquer les correctifs rapidement, car des tests approfondis peuvent être nécessaires avant que les correctifs puissent être appliqués. Certains périphériques peuvent être ignorés – accidentellement ou délibérément – en raison de problèmes de compatibilité. Ces dispositifs resteront donc vulnérables aux attaques.

Le patch est important, mais il n’empêchera pas les téléchargements de malwares à partir d’Internet qui n’impliquent pas de kits d’exploitation. Ce qu’il faut donc, c’est une solution de sécurité Web qui peut bloquer l’accès aux sites malveillants et empêcher le téléchargement de fichiers à risque.

Une solution de filtrage DNS telle que WebTitan fournit une couche de sécurité supplémentaire pour bloquer ces menaces Web. Grâce à une combinaison de listes noires, de contrôle du contenu et d’analyse des sites Web pour rechercher du contenu malveillant, les entreprises peuvent se protéger contre les attaques sur le web. Un filtre DNS empêchera également les employés de visiter les sites de phishing.

Le blocage des attaques qui se produisent par la messagerie électronique nécessite de solutions de sécurité solides. Un filtre anti-spam avancé tel que SpamTitan peut empêcher les e-mails malveillants et les pièces jointes d’atteindre les boîtes de réception des utilisateurs finaux. SpamTitan analyse tous les e-mails entrants pour rechercher les malwares à l’aide de deux moteurs antivirus. Il est également efficace pour bloquer les menaces du type zero-day. Enfin, sachez que SpamTitan inclut un bac à sable alimenté par Bitdefender, où les pièces jointes suspectes sont soumises à une analyse approfondie pour identifier toute intention potentiellement malveillante.

Avec ces deux solutions en place, les entreprises seront bien protégées contre les menaces de malwares et les attaques de phishing.

Tendances des malwares à surveiller en 2020

Tendances des malwares à surveiller en 2020

Alors que le phishing et les ransomwares sont toujours considérés comme les cyber-attaques les plus importantes, une nouvelle tendance en matière de malwares implique des attaques « sans fichier ». Les fichiers utilisés dans ces attaques ne peuvent pas exécuter une charge utile significative par eux-mêmes, mais utilisent plutôt une technique appelée « Living off the Land Binaries » ou LOLBins.

En effet, les fichiers ont besoin de systèmes binaires pour livrer leurs charges utiles. L’attaque utilise plusieurs étapes pour télécharger les exécutables nécessaires pour fonctionner, impliquant généralement des outils natifs de shell et de script pour extraire le contenu malveillant d’Internet vers le périphérique local.

Campagnes Nodersok et Node.js : les malwares à surveiller en 2020

L’attaque sans fichier la plus importante est celle de Nodersok. Ce malware incite les utilisateurs à télécharger un fichier HTA. Les fichiers HTA sont d’anciennes applications HTML Windows utilisées pour envelopper des pages web personnalisées dans une instance Internet Explorer. L’avantage était que l’utilisateur pouvait exécuter VBScript et d’autres fichiers locaux dans un navigateur. Ces applications sont relativement dépassées, mais Nodersok profite de la propension des utilisateurs à télécharger des fichiers avec des extensions qui semblent inoffensives.

Une fois le fichier HTA téléchargé, Nodersok effectue plusieurs étapes d’une manière élaborée pour éviter les systèmes antimalware. Il utilise JavaScript dans l’application HTA pour télécharger des fichiers supplémentaires, puis utilise l’application Windows PowerShell pour éventuellement télécharger Node.exe. Node.exe est la variante Windows du framework Node.js.

Le framework Node.js transforme n’importe quelle machine en proxy, ce qui est le but du Nodersok. Après une infection réussie, ce malware utilise ses capacités proxy pour réaliser des clics frauduleux. Une fois que les utilisateurs cliquent sur les publicités des annonceurs, le créateur de malwares gagne de l’argent grâce à ces clics frauduleux, mais qui semblent constituer un trafic valide sur le réseau publicitaire.

L’utilisation d’outils natifs est ce qui fait de cette dernière attaque de malware sans fichier une nouvelle tendance innovante pour les cybercriminels. Il rend la détection de l’attaque beaucoup plus difficile pour les applications anti-malware en raison de la nature « inoffensive » du fichier original téléchargé par l’utilisateur. De plus, Nodersok utilise PowerShell pour désactiver les applications antivirus afin d’éviter toute détection.

Microsoft rapporte que la plupart des attaques se concentrent sur les consommateurs, et la dernière vague de campagne cible principalement les appareils aux États-Unis et en Europe.

Protection des périphériques d’entreprise

Comme Nodersok désactive les outils anti malwares locaux, il est difficile pour les entreprises de contrôler les infections étendues des périphériques. La première étape de l’attaque consiste à arnaquer les utilisateurs, en les incitant à télécharger le fichier HTA malveillant. La formation des utilisateurs aide à stopper ces attaques et fournit aux utilisateurs la formation adéquate pour identifier les attaques et avertir le personnel informatique, mais il suffit qu’un utilisateur soit dupé pour répandre le malware sur plusieurs périphériques d’entreprise.

Comme le malware utilise des techniques avancées sans fichier, il est difficile de le détecter via des solutions antivirus traditionnelles basées sur les signatures.

Utiliser le filtrage DNS pour se protéger contre Novter

Pour se protéger de ce malware, la solution la plus simple et de mettre en place un système de filtrage de contenu web basé sur DNS. Un tel système empêchera les utilisateurs d’accéder aux sites qui contiennent des fichiers HTA malveillants en fonction d’une politique de contenu établie par les administrateurs. Les filtres de contenu web basés sur le DNS sont supérieurs aux anciens systèmes qui vérifiaient simplement le nom de domaine par rapport à une liste de sites restreints. Au lieu de cela, un utilisateur est incapable d’accéder ou de télécharger du contenu en fonction d’une liste de politiques établies pour bloquer pendant le processus de recherche DNS.

De simples filtres de contenu Web avaient des portes dérobées et des moyens de contourner les filtres, mais les filtres basés sur le DNS ne peuvent être évités en raison de la nature du fonctionnement d’Internet. Chaque fois que l’utilisateur clique sur un lien ou tape un domaine dans un navigateur, une requête DNS est effectuée. Pendant le processus de recherche, un système tel que WebTitan Cloud effectue une recherche supplémentaire sur la politique de contenu Web du réseau. Les politiques peuvent être définies sur des domaines spécifiques et leurs adresses IP associées, mais les administrateurs réseau peuvent également catégoriser les recherches et bloquer les contenus inappropriés. L’utilisateur reçoit un message lui indiquant que son accès au site a été bloqué et les administrateurs reçoivent des notifications l’informant qu’un site de la politique a été interrogé.

Le DNS n’est pas seulement utilisé dans les requêtes du navigateur où l’utilisateur tape un nom de domaine dans la barre d’adresse. Le DNS est également utilisé dans d’autres applications, même en arrière-plan pour les services qui utilisent Internet. Les attaques sans fichier utilisent des applications en mémoire déjà disponibles sur l’appareil local, de sorte qu’un filtre de contenu web basé sur DNS bloquerait toutes les attaques qui utilisent ces outils locaux pour accéder à des sites malveillants. Tout processus qui nécessite un DNS (c’est-à-dire toute requête basée sur Internet) serait bloqué par les filtres de contenu Web.

En choisissant les filtres basés dans le cloud, votre entreprise n’a pas besoin d’investir dans des équipements coûteux pour héberger le système. Les administrateurs lient le DNS local aux filtres où tous les traitements, les notifications et la journalisation s’exécutent dans le cloud.

Voici un autre article qui explique les 6 principales raisons pour lesquelles la sécurité DNS est plus rapide et plus efficace pour tuer les attaques. Il pourrait peut-être vous intéresser.

Les créateurs de malwares continuent de créer de nouvelles façons d’échapper à la détection, et les attaques sans fichier sont la dernière tendance qui pourrait mener à de grandes brèches en 2020. Sachez que des milliers de terminaux aux Etats-Unis et en Europe ont été infectés par ce malware sans fichier au cours des dernières semaines. En se concentrant sur la réduction de la surface d’attaque, cette menace peut être atténuée grâce à de solides contrôles de sécurité. Votre entreprise peut devancer ces attaques en implémentant des filtres DNS comme WebTitan qui détecte les fichiers malveillants, les scripts et qui bloque l’accès aux URL malveillantes.

Découvrez pourquoi le filtrage DNS est la protection réseau la plus flexible et la plus évolutive

Découvrez pourquoi le filtrage DNS est la protection réseau la plus flexible et la plus évolutive

Selon les chercheurs en cybersécurité, 66% des malwares sont installés via des pièces jointes malveillantes et 64% des entreprises subissent des attaques liées au phishing.

La plupart des attaques commencent par des e-mails dans lesquels des messages envoyés à un utilisateur ciblé lui demandent de cliquer sur un lien, de télécharger une pièce jointe ou d’effectuer une action telle qu’un virement bancaire.

Plus inquiétant encore, beaucoup d’attaquants se livrent actuellement au spear phishing. Pour ce type d’attaque, les pirates ciblent des personnes ayant accès à des fonctions spécifiques telles que la finance ou l’administration informatique. Une stratégie efficace pour arrêter ces attaques est d’utiliser un filtre de contenu web basé sur le DNS.

Qu’est-ce que le filtrage DNS ?

Pour chaque demande sur Internet, un ensemble spécifique de procédures s’exécute avant qu’un utilisateur puisse visualiser le contenu dans un navigateur. Une des premières étapes consiste à interroger le serveur DNS, lequel est configuré soit comme une valeur statique assignée à la carte réseau du périphérique, soit comme une valeur configurée dynamiquement lorsque le périphérique de l’utilisateur démarre.

Les réseaux informatiques des entreprises ont généralement leurs propres serveurs DNS pour les requêtes internes, puis ils dédient des serveurs DNS externes pour les requêtes web. Au lieu d’obliger les utilisateurs à se souvenir des adresses IP complexes (surtout depuis le déploiement des adresses IPv6), le DNS leur permet de saisir des noms conviviaux dans un navigateur et les requêtes contre les serveurs de noms renvoient l’adresse IP associée.

Plusieurs autres requêtes se produisent entre le handshake client-serveur, mais ce sont les requêtes DNS qui lient le nom de domaine convivial avec l’adresse IP du serveur. L’ancien filtrage de contenu web impliquait l’interception des requêtes et le blocage du contenu du domaine sur la base de politiques définies par les administrateurs informatiques, mais ces méthodes étaient imprécises et les utilisateurs pouvaient éviter ces filtres en utilisant plusieurs méthodes.

Le filtrage DNS implémente le filtrage web pendant le processus de requête. Les administrateurs mettent en place des politiques qui bloquent des adresses IP spécifiques classées comme inappropriées pour un environnement d’entreprise. Toutes les adresses IP bloquées ne sont pas nécessairement malveillantes. Les administrateurs peuvent bloquer les adresses IP auxquelles les utilisateurs ne devraient pas pouvoir accéder pendant les heures d’ouverture et les adresses IP jugées malveillantes peuvent également être bloquées. Avec un blocage de contenu efficace, toutes les requêtes d’accès à des adresses IP malveillantes doivent être enregistrées et l’administrateur doit en être informé.

Si plusieurs utilisateurs tentent d’accéder à la même adresse IP malveillante, des alertes avertissent l’administrateur qu’une campagne de phishing pourrait cibler son organisation.

Filtrage DNS du niveau de la page (Page Level DNS Filtering)

Parce que le filtrage DNS est basé sur la recherche de domaine, toutes les pages d’un domaine risquent donc d’être bloquées. Par exemple, le domaine Medium.com héberge plusieurs types de contenu, de sorte que le blocage du domaine Medium.com filtrerait tout le contenu du domaine.

La solution innovante de filtrage DNS basé dans le cloud peut palier à ce problème, en bloquant uniquement les URL et les pages. Grâce aux filtres les plus récents, les administrateurs peuvent bloquer des pages et leur contenu plutôt que l’adresse IP complète. Les administrateurs disposent ainsi d’une approche plus granulaire du filtrage de contenu web, plutôt que d’établir une liste blanche pour chaque URL que les employés pourraient avoir besoin dans leurs tâches quotidiennes.

Reprenons l’exemple de Medium.com, grâce au filtrage DNS basé dans le cloud, les administrateurs peuvent bloquer certains contenus en fonction des catégories de stratégies, puis autoriser le contenu approprié que les salariés peuvent avoir besoin pour mener à bien leurs attributions.

Cette approche hybride du filtrage donne aux administrateurs un niveau de contrôle plus granulaire sur le contenu. La plupart des attaques sont basées sur les pages plutôt que sur le domaine. Les attaquants peuvent donc utiliser des hôtes connus et cacher des pages dans des contenus inoffensifs et utiles. Ces pages devraient aussi être bloquées de telle sorte que le reste du domaine puissent rester accessible aux employés.

Même avec une approche hybride, les administrateurs informatiques ont toujours la possibilité de bloquer des domaines entiers. Le blocage d’un domaine entier peut s’avérer nécessaire si le même domaine a plusieurs URLs qui pourraient nuire à la sécurité et à la stabilité du réseau.

Les domaines qui hébergent du contenu généré par l’utilisateur pourraient intégrer un contenu malveillant ou de liens de redirection vers un site contrôlé par un attaquant. Grâce à l’approche hybride, les administrateurs peuvent choisir de bloquer l’ensemble du domaine au niveau DNS ou de bloquer uniquement les URL spécifiques contenus dans le nom de domaine.

Quel type de filtrage web peut bloquer les techniques de phishing ?

Les pirates informatiques disposent de nombreuses méthodes pour inciter les utilisateurs à accéder à un site qu’ils contrôlent ou à télécharger une pièce jointe malveillante. Les e-mails contenant des liens simples sont également utilisés pour inciter les utilisateurs à accéder à une page web malveillante. Toute requête web est analysée à l’aide d’une solution de filtrage DNS basé dans le cloud et le contenu jugé inapproprié ou malveillant peut donc être bloqué.

Plus important encore, un bon filtre web peut générer des notifications et des journaux qui permettent à un administrateur d’identifier une attaque possible si la même adresse IP est demandée par plusieurs utilisateurs. Le fait de savoir qu’une campagne de spear-phishing ou une attaque en cours cible une organisation peut aider énormément à éviter les atteintes coûteuses aux données. Lorsqu’ils sont bien informés, les aux administrateurs réseau peuvent bloquer les e-mails malveillants et les pièces jointes qui pourraient télécharger des malwares ou infecter le réseau.

Le filtrage DNS de WebTitan inclut la catégorisation de contenus et la détection d’URL malveillantes. Il propose également des mises à jour en temps réel et automatisées lorsque de nouveaux contenus et sites malveillants sont détectés. WebTitan peut détecter plus de 60 000 nouvelles itérations de programmes malveillants chaque jour.

WebTitan est hautement évolutif. Il est hautement évolutif. Il prend en charge de petits déploiements via des fournisseurs d’accès Internet et des déploiements avec des millions d’utilisateurs, avec des performances de requête en URL exceptionnelles. WebTitan offre également une précision, une couverture et une détection de sites web malveillants à la pointe du marché, et ce, grâce à une API facile à intégrer. Nos catégories web sont rassemblées grâce à des analyses avancées et à la détection en temps réel de 500 millions d’utilisateurs finaux et de plus de 5 milliards de requêtes web par mois, couvrant 99,9 % du web actif.

Pour plus d’informations sur le filtrage DNS de WebTitan, visitez notre page produit. Ou mieux encore, testez WebTitan par vous-même en vous inscrivant pour un essai gratuit. Contactez-nous pour de plus amples renseignements ou pour prenez rendez-vous avec l’un de nos spécialistes pour évaluer par vous-mêmes l’efficacité de notre produit.

Les médias sociaux sont des plateformes de distribution de malwares

Les médias sociaux sont des plateformes de distribution de malwares

Par le passé, les médias sociaux représentaient une grande menace pour les entreprises dans la mesure où ils créaient de distraction pour les employés et réduisent leurs temps de travail.

La perte de productivité est une chose, mais de nos jours, l’une des principales préoccupations des entreprises est qu’ils servent de moyens permettant aux pirates informatiques d’attaquer directement dans votre organisation par le biais de leur collection de codes malveillants.

Une nouvelle étude menée par Bromium au mois de février dernier a révélé qu’une organisation sur cinq a été infectée par des malwares distribués via une plate-forme de média sociale. Ce qui est encore plus alarmant, c’est que 12 % des organisations victimes d’une telle attaque ont subi une atteinte à la protection des données.

Réseaux sociaux : le cheval de Troie parfait

Les médias sociaux s’avèrent être le cheval de Troie parfait. Selon les dernières statistiques, 2,8 milliards de personnes utilisent un ou plusieurs comptes de médias sociaux. De la même manière que les voleurs à la tire traînent dans les aéroports, les gares et les zones touristiques bondés, les cybercriminels ont appris que les utilisateurs sont rassemblés toute la journée sur les médias sociaux. À cela s’ajoute le sentiment de confiance que les utilisateurs éprouvent à l’égard de leurs plateformes de médias sociaux, ce qui diminue leur vigilance lorsqu’ils visitent quotidiennement leurs sites préférés.

Les utilisateurs se sentent suffisamment à l’aise pour afficher leurs informations personnelles comme leur date de naissance, leur lieu de résidence actuel et leurs préférences personnelles pour communiquer avec des tiers inconnus. Nombreux sont ceux qui acceptent ouvertement les demandes de messages provenant de parfaits inconnus. Après tout, les médias sociaux ne sont-ils pas simplement une grande et heureuse famille de personnes désireuses de se connecter ?

Ajoutez à cela le nombre ahurissant d’utilisateurs qui ont le sentiment de confiance immérité au regard des médias sociaux.

Il est donc plus facile de comprendre comment les pirates informatiques peuvent atteindre et infecter tant de millions d’utilisateurs à l’échelle mondiale.

Ne sous-estimez pas la menace liée à l’utilisation des médias sociaux

Selon un article paru dans Computer Weekly cette année, les cybercriminels ont gagné 3,25 milliards de dollars l’an dernier en exploitant des plateformes sociales. L’article résume l’information tirée d’une vaste étude menée par l’Université de Surrey au sujet de la tendance inquiétante concernant l’utilisation des médias sociaux pour distribuer des malwares. Voici quelques-unes de ces constatations :

  • Les informations faisant état de cybercriminalité et impliquant les médias sociaux ont augmenté de plus de 30 000 % entre 2015 et 2017 aux États-Unis. Au Royaume-Uni, elles ont quadruplé entre 2013 et 2018.
  • Plus de 1,3 milliards d’utilisateurs de médias sociaux ont vu leurs données compromises au cours des 5 dernières années.
  • Entre 45 et 50 % du commerce illicite de données entre 2017 et 2018 pourrait être associé à des violations des plateformes de médias sociaux.
  • Parmi les 20 premiers sites web mondiaux qui hébergent des logiciels d’extraction de crypto-comptes, 11 sont des plates-formes de médias sociaux.

Si les plates-formes de médias sociaux constituent un moyen efficace de distribuer des malwares, c’est parce qu’il existe également de nombreuses autres méthodes de diffusion de codes malveillants. On compte par exemple la publicité malveillante, les liens et images partagés, les plug-ins et les médias numériques. En effet, le partage constant de contenus, voire de profils, favorise la propagation des malwares.

Quelques exemples concrets

La prolifération des images sur les médias sociaux permet aux pirates d’injecter du code JavaScript malveillant directement dans les photos qui sont ensuite envoyées via Facebook Messenger. Des graphiques animés sont également utilisés, de sorte que lorsqu’on clique dessus, l’installation d’une extension de navigateur est lancée afin de visualiser le fichier. L’extension est créée pour émuler une vidéo YouTube, mais le fichier vidéo supposé télécharge un malware vers l’appareil.

Les utilisateurs de médias sociaux se sentent à l’aise en cliquant sur des objets sur leurs plates-formes de confiance, est c’est ce que les pirates tentent d’exploiter. Les cybercriminels utilisent de faux e-mails pour tenter de rediriger les utilisateurs de LinkedIn vers des sites malveillants. L’une des stratégies les plus courantes est aussi de poster des commentaires sur Instagram pour diriger les utilisateurs vers des sites malhonnêtes.

Par ailleurs, il y a l’utilisation éprouvée de liens de phishing qui se révèlent plus efficaces sur les réseaux sociaux que via la messagerie électronique, car les utilisateurs de la messagerie électronique ont accru leur sensibilisation à la sécurité à ce type d’arnaque.

Selon un article paru dans Inc Magazine, Facebook a admis avoir désactivé 1,3 milliards de faux comptes. Les pirates informatiques utilisent de faux comptes et les relient ensuite à d’autres faux profils afin d’accroître leur crédibilité et leur reconnaissance. Par la suite, des bots (agents logiciels automatiques) utilisent ces faux comptes pour distribuer du contenu malveillant, pour générer des faux j’aime, des retweets et des vues. Ils peuvent également mener une attaque du type DDoS dans lequel les commentaires sont créés si rapidement sur le profil de la marque d’une entreprise. De cette manière, l’entreprise ciblée ne peut pas les supprimer assez rapidement.

Le nouveau dark web

Les pirates informatiques commencent à orienter certains de leurs efforts promotionnels du dark web vers les médias sociaux.

Des outils, services et botnets malveillants sont commercialisés ouvertement sur des plateformes bien connues. Ces efforts promotionnels servent à recruter de nouveaux talents et à vendre des outils et services malveillants sur le marché libre.

Précautions de sécurité sur les médias sociaux

Vous pouvez prendre certaines mesures élémentaires et de bon sens pour vous protéger des menaces sur les médias sociaux.

  • Méfiez-vous toujours des messages et des demandes de connexion provenant des personnes que vous ne connaissez pas.
  • Évitez d’afficher vos renseignements personnels sur votre profil ou sur vos messages.
  • Évitez de cliquer sur des liens envoyés par quelqu’un que vous ne connaissez pas.
  • Ne vous impliquez pas dans les sondages sur les médias sociaux.
  • Utilisez toujours la protection des nœuds d’extrémité sur n’importe quel périphérique utilisé pour analyser les médias sociaux.
  • Signalez les messages non sollicités ou les messages à l’assistance des médias sociaux.

Une étude récente de Spiceworks a révélé l’ampleur de ce genre de menace. 28 % des employés des grandes entreprises (de plus de 1 000 employés) consacrent plus de quatre heures par semaine à l’utilisation personnelle d’Internet, et ce pourcentage va jusqu’à 45 % pour les moyennes entreprises et jusqu’à 51 % pour les petites entreprises. La différence entre ces chiffres reflète le fait que les grandes entreprises sont plus déterminées à mettre en place des filtres web. 89 % d’entre elles ont mis en place un filtre web pour limiter ou prévenir l’utilisation personnelle d’Internet et, par conséquent, bénéficié d’une augmentation de la productivité de la main-d’œuvre.

Le filtrage Web est essentiel en termes de cybersécurité

L’étude de Spiceworks a révélé que :

  • 90 % des grandes entreprises utilisent un filtre Web pour bloquer les infections par des malwares et des ransomwares. Un filtre web empêche les employés d’accéder à des sites web connus qui peuvent être utilisés pour le phishing ou qui hébergent des malwares.
  • 38 % des entreprises ont connu au moins un incident de sécurité au cours de l’année écoulée lorsque des employés ont visité des pages Web à des fins personnelles, le plus souvent via la messagerie web et les médias sociaux.

Parmi les autres avantages du filtrage Web, on compte l’amélioration des performances du réseau et la disponibilité d’une bande passante suffisante pour tous les utilisateurs. En effet, le filtre web peut bloquer l’accès aux activités en ligne qui sont très gourmandes en bande passante comme les jeux et le streaming vidéo.

Outre les gains de productivité qu’il procure, un filtre web peut aussi s’amortir tout seul. Ajoutez à cela l’économie d’argent que vous pourrez réaliser si vous parvenez à bloquer les attaques de malwares et de phishing. Enfin, n’oubliez pas que le déploiement et  l’utilisation d’un filtre web sont très faciles.

Des cyberattaques ciblent les étudiants avec des cartes de bibliothèque

Des cyberattaques ciblent les étudiants avec des cartes de bibliothèque

Une campagne de phishing réussie nécessite certains éléments, et l’un d’entre eux consiste à convaincre les destinataires que les messages proviennent d’une organisation légitime.

La plupart des e-mails malveillants incitent les utilisateurs à divulguer des informations sensibles ou les convainquent de cliquer sur un lien qui mène à un site contrôlé par un attaquant. D’autres trompent les utilisateurs pour que les destinataires puissent télécharger une pièce jointe avec un contenu malveillant.

Les étudiants sont les cibles les plus récentes d’une campagne de phishing qui contient des messages prétendant provenir de la bibliothèque de l’université et mentionnant que les étudiants doivent renouveler leur carte pour continuer à l’utiliser.

Enseignement supérieur et attaques de phishing

Selon le dernier rapport Verizon sur les fuites de données en 2019, le secteur de l’éducation est le cinquième secteur le plus ciblé par les cybercriminels, et cette tendance continue de s’accentuer. Ce ciblage massif est dû aux nombreux points de données disponibles pour les attaquants après une campagne de phishing réussie. Les étudiants sont moins susceptibles d’être éduqués et formés pour identifier les attaques de phishing. Sans aucune formation, les utilisateurs sont plus vulnérables aux attaques de phishing et à la divulgation d’informations sensibles.

L’e-mail de la campagne de phishing susmentionnée, ainsi que la page d’atterrissage malveillante, demandent aux étudiants d’entrer leurs coordonnées personnelles et un mot de passe pour accéder au faux site web de l’université. Dans de nombreux cas, les étudiants et les autres utilisateurs utilisent le même mot de passe pour plusieurs comptes.

Après avoir obtenu le mot de passe de l’utilisateur, l’attaquant tentera de l’utiliser avec son compte de messagerie pour corrompre d’autres comptes. Grâce à cela, il peut accéder à des comptes bancaires, à des informations financières ou à des données personnelles supplémentaires.

Comme pour la plupart des e-mails de phishing, le message tente d’obliger l’utilisateur à cliquer sur un lien qui y est intégré et à saisir rapidement l’information, sinon le compte sera annulé.

Le message se présente comme suit :

« Votre compte de bibliothèque a expiré, vous devez donc le réactiver immédiatement sinon il sera fermé automatiquement. Si vous avez l’intention d’utiliser ce service à l’avenir, vous devez agir immédiatement ! »

Les attaquants ont déployé des efforts dans le cadre de cette campagne de phishing en cours et apposent un nom et l’adresse de l’université comme signature. L’adresse de l’e-mail est personnalisée en fonction de l’université de l’étudiant, ce qui la rend plus légitime aux yeux de son destinataire. Les élèves sont invités à cliquer sur un lien intégré et à entrer leurs noms d’utilisateur et leurs mots de passe sur la page malveillante. Celle-ci ressemble à une page web officielle d’une bibliothèque universitaire, avec des éléments appartenant à l’université. Elle intègre même une case à cocher où les utilisateurs peuvent vérifier s’ils veulent rester connectés à l’application.

Arnaques supplémentaires à l’égard des ransomwares

Le phishing n’est pas le seul mobile des agresseurs. Les ransomwares sont également l’un des moyens les plus utilisés pour mener des attaques contre le secteur éducatif. Le ransomware chiffre les fichiers sensibles afin que les victimes ne puissent récupérer leurs données que si elles paient des rançons. Ces rançons peuvent varier de quelques centaines à quelques milliers d’euros.

Les attaques de ransomware commencent principalement par le phishing. Les attaquants usurpent les adresses des expéditeurs des e-mails et les utilisent, en intégrant des liens ou des pièces jointes malveillants, pour cibler les destinataires avec des privilèges élevés.

Même les utilisateurs qui ne disposent que de peu privilégiés peuvent constituer des cibles potentielles lorsque l’objectif principal est de chiffrer les fichiers dans le but d’extorquer de l’argent. Les attaquants utilisent les pièces jointes et les liens qui redirigent les utilisateurs vers des sites contrôlés pour les inciter à télécharger un malware. Par ailleurs, il faut savoir que les attaques peuvent être multiformes, étant donné que le contenu malveillant peut télécharger des malwares supplémentaires ou donner aux attaquants le contrôle à distance depuis un ordinateur qui se trouve dans les locaux de l’établissement scolaire.

Les ransomwares ciblent les entreprises et les universités dans le but de les mettre dans une situation où elles doivent payer les rançons sinon elles vont subir un impact dévastateur sur leur productivité quotidienne. Certes, les étudiants constituent une cible parfaite pour les attaquants, mais les universités et les entreprises offrent également de meilleures chances de succès aux pirates informatiques. Certaines campagnes de phishing sont couplées à des ransomwares pour une efficacité maximale. L’attaquant peut obtenir des mots de passe et des informations personnelles de l’utilisateur ciblé, tout en générant des revenus grâce à des rançons.

Le coût énorme des cybercriminalités a amené les établissements d’enseignement à souscrire des polices d’assurance qui paient généralement la rançon en cas d’attentat. C’est une solution intéréssante pour les établissements d’enseignement, notamment sur le plan financier. Mais cela constitue également une garantie pour les attaquants qu’ils peuvent réaliser des gains lorsqu’ils menent des attaques. En effet, certaines études montrent que les pirates informatiques choisissent leurs cibles selon qu’ils détiennent ou non une assurance.

Au total, 49 districts scolaires et environ 500 écoles de la maternelle à la terminale (K12) ont été touchés par des attaques de ransomwares cette année. Alors que les attaques de ransomwares contre les districts scolaires se sont répandues dans l’ensemble des États-Unis, les écoles du Connecticut ont été particulièrement durement touchées, avec 7 districts attaqués, comprenant 104 écoles.

Protéger les élèves et les enseignants contre le phishing

Les e-mails envoyés aux adresses des étudiants sont contrôlés par les administrateurs de l’université. Les administrateurs peuvent mettre en place des filtres de messagerie qui piègent les messages malveillants et les mettent en quarantaine en vue d’un examen ultérieur. Les filtres placés sur le système de messagerie d’une université réduiront considérablement les chances de succès d’une campagne de phishing ciblée.

La sécurité de la messagerie électronique peut prendre plusieurs formes. La première est l’utilisation de la sécurité authentification, de rapport et de conformité d’un message basé sur un domaine (DMARC) contre les messages électroniques falsifiés. La DMARC peut être personnalisée par l’administrateur pour déterminer le bon déclencheur de mise en quarantaine. Il est également possible de remédier aux faux positifs et de les envoyer à la boîte de réception du destinataire. Le bon système DMARC limitera le nombre de faux positifs et tentera de « savoir » quels messages sont malveillants par rapport à ceux qui doivent être envoyés dans la boîte de réception de l’utilisateur.

Les filtres de contenu web basés sur le DNS sont une fonction supplémentaire qui bloque l’accès aux sites malveillants. Les utilisateurs qui tombent dans le piège du phishing, en cliquant sur un lien, ne seront pas en mesure d’accéder à un site web. Ces sites web sont classés comme malveillants et l’administrateur peut recevoir des alertes lorsque des utilisateurs tentent d’y accéder.

En utilisant les bons outils de cybersécurité, les administrateurs peuvent protéger les étudiants et le corps professoral contre les attaques de phishing et de ransomwares. Les filtres de contenu basés sur DMARC et DNS réduisent considérablement la capacité d’un attaquant à effectuer une attaque de phishing réussie, ce qui évite à l’université et aux étudiants des erreurs coûteuses.

Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’école, des élèves et du personnel sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.