Comme toute grande organisation, les universités et autres établissements d’enseignement supérieur sont exposés à des risques de violation de données et de menaces de malwares.
Du point de vue des cybercriminels, les écoles et les universités représentent une cible très attrayante. En fait, les données personnelles et financières stockées sur les systèmes de données universitaires sont précieuses pour les escrocs pour leur permettre de mener différentes sortes d’attaques cybercriminelles.
Pour les écoles, les conséquences d’un malware peuvent être énormes
Les conséquences d’un vol de données sont considérables pour les établissements scolaires. Elles peuvent nuire à leur réputation ; impliquer la non-conformité de l’organisation au regard des législations en vigueur et impacter l’économie et le fonctionnement de l’établissement en général.
Suite à une attaque réussie, les établissements scolaires peuvent perdre des opportunités de financement, les frais d’inscription des étudiants et des revenus associés. Outre la perte de données sensibles, des poursuites judiciaires et d’autres sanctions pourraient également survenir. Il peut même y avoir des dommages qui paralysent l’infrastructure et les activités de l’institution.
Les attaques de malwares et de ransomwares contre les établissements scolaires ne sont pas rares
Prenons l’exemple de l’attaque de malware qui visait une école du Minnesota. Elle a été si grave, au point que l’établissement a dû fermer ses portes pendant une journée. Les réparations complètes des dommages avaient pris des semaines, alors qu’ils auraient pu être évités.
Une attaque de crypto-ransomware a récemment chiffré le réseau du district scolaire du New Jersey. La source de l’infection n’est pas claire. Elle pourrait résulter de l’ouverture d’une pièce jointe d’un e-mail malveillant ou d’une application malveillante, ou simplement de la consultation d’un site web contenant des publicités malveillantes.
La nature du campus universitaire et de son réseau informatique constitue la véritable différence entre les établissements d’enseignement supérieur et les entreprises. Composée de nombreux réseaux dispersés, l’infrastructure réseau des universités est souvent complexe.
Il s’agit d’environnements où le concept de sécurité stricte des données est traditionnellement inutile, voire indésirable. Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises.
Pour les cybercriminels, tout est dans le timing
Pour les cybercriminels qui ciblent un établissement scolaire, le timing est primordial. Lorsqu’une nouvelle année scolaire commence, les escrocs segmentent leurs bases de données d’emails pour lancer des attaques ciblées pour accueillir les étudiants et les employés des écoles qui sont de retour via Internet.
Chaque année, les escrocs lancent de nouvelles campagnes de spam et de phishing au moment où les étudiants et élèves retournent en classe. Les faux e-mails de bienvenue, les e-mails de réinitialisation de mot de passe et les notifications bancaires ne sont que quelques-uns des thèmes utilisés par les spammeurs à cette période de l’année.
Trouver un équilibre entre les besoins informatiques et les besoins des enseignants
L’Internet a offert aux professionnels du secteur de l’éducation de grandes possibilités, mais aussi de grands maux de tête. Les enseignants s’efforcent de trouver la meilleure façon d’aider les enfants à utiliser Internet à l’école tout en les protégeant des dangers en ligne.
Le blocage de contenus inappropriés ne doit pas nécessairement nuire à l’apprentissage. Alors que les élèves passent de plus en plus de temps connectés au web, assurez-vous que leurs activités en ligne soient sécurisées, et ce, grâce à l’utilisation d’un filtre de contenu web adapté comme WebTitan.
Grâce à l’analyse du contenu des pages, cette solution de protection de TitanHQ peut suivre l’évolution constante de l’utilisation du web et s’y adapter.
Pourquoi les établissements d’enseignement ont-ils besoin de filtrer les contenus en ligne ?
Il y a plusieurs raisons différentes pour lesquelles les établissements d’enseignement devraient bloquer certains contenus qui sont diffusés sur la toile, notamment :
La sécurité des étudiants (protection contre les sites dangereux, inappropriés ou illégaux) ;
La sécurisation du réseau ;
L’identification des éventuelles cyberintimidations ;
La conformité à la CIPA (loi relative à la régulation du contenu préjudiciable aux mineurs lorsqu’ils naviguent sur Internet) ;
L’application des politiques d’utilisation acceptable d’Internet ;
Le contrôle de la bande passante ;
La capacité de surveillance des activités en ligne des utilisateurs du web.
Il est de votre devoir, en tant que propriétaire ou responsable d’un établissement scolaire, de fournir un environnement d’apprentissage sûr. En outre, vous êtes légalement tenue de mettre en place des mesures raisonnables et efficaces pour contrôler l’accès à Internet.
Il devrait toujours exister un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place. En fait, la sécurité dans toutes les organisations, commerciales ou universitaires, devrait être un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier ou la perte d’utilité qui sont encourus pour se défendre.
Si vous voulez découvrir la façon dont la suite de solutions de sécurité réseau granulaire de TitanHQ répond aux exigences flexibles du secteur de l’éducation, contactez-nous dès aujourd’hui.
Les cybercriminels sont toujours à la recherche de moyens plus faciles de se faire un peu d’argent sur le dos des gens. De la même manière que les petits voleurs se tournent vers le vol à la tire dans les lieux touristiques bondés de voyageurs imprudents, ils ciblent les sites web qui attirent le plus d’utilisateurs peu méfiants.
L’un de ces sites est la plate-forme de chat Discord, très populaire auprès des aux joueurs de jeux vidéo en ligne, mais qui s’est également étendue à d’autres communautés. Elle permet aux utilisateurs d’interagir les uns avec les autres par le biais d’un large éventail de moyens tels que les appels vocaux, les appels vidéo ou les textos.
Le paradis perdu
Selon le magazine Forbes, Discord comptait 150 millions d’utilisateurs et sa valeur, estimée à 2 milliards de dollars en 2019, ne cesse d’augmenter. Forbes a révélé dans un article que des groupes Discord qui s’adonnaient à des activités cybercriminelles faisaient l’objet d’une enquête du FBI à l’époque.
La majeure partie de cette activité criminelle consistait en de petites escroqueries. Les cybercriminels utilisaient des chats en direct pour proposer des cartes-cadeaux à prix réduit ou des abonnements à vie à des Malware-as-a-Service (MaaS) – une version criminelle de Software as a service (SaaS) qui permet la location d’une application via Internet – pour une somme symbolique.
Dans d’autres cas, ils vendaient des cartes de paiement et des comptes PayPal volés. Certains de ces malfaiteurs ciblaient spécifiquement les enfants.
Alors qu’il était autrefois considéré comme un « paradis pour les joueurs », Discord semble être devenu un nouveau paradis pour la cybercriminalité, selon le magazine Cyware.
Le manque de supervision de Discord a des conséquences
L’une des caractéristiques et qui a rendu Discord si populaire auprès de ses utilisateurs est son accès ouvert et la flexibilité en matière de supervision. Mais ce manque de surveillance a un prix, car cela encourage la diffusion de contenus illicites et la cyberintimidation, tout en favorisant les comportements malveillants.
Le fait que les utilisateurs non inscrits puissent télécharger le contenu téléchargé rend difficile la recherche des responsables de la distribution de malwares ou de matériel illicite. Même si certaines personnes qualifient cela de liberté, d’autres le considèrent comme une pure erreur de gestion de la part de Discord.
Le CDN de Discord
Outre la compromission continue du service de chat Discord, la société de cybersécurité Zscaler a déclaré que les cybercriminels abusent du service cdn.discorapp.com pour diffuser des malwares. Zscaler a déclaré avoir capturé plus de 100 échantillons de codes malveillants uniques provenant de Discord sur une période de deux mois.
Les auteurs attirent d’abord l’intérêt des utilisateurs avec des emails de phishing qui encouragent le téléchargement de logiciels piratés ou d’applications de jeux.
Selon Bleeping Computer, les pirates profitent d’une vulnérabilité unique de Discord qui leur permet de supprimer un fichier malveillant après l’avoir téléchargé sur les serveurs de Discord, mais de le conserver dans le réseau de distribution de contenu (CDN) de la marque pour pouvoir le télécharger à nouveau.
Un large éventail de catégories de malwares, y compris des enregistreurs de frappe, sont facilement distribués à l’aide de ce CDN. Même si Discord avait émis des avertissements concernant certains téléchargements, des tests ont montré que de nombreux téléchargements malveillants connus n’étaient pas du tout signalés.
Webhook et ransomware dans Discord
Discord utilise une fonctionnalité appelée « Webhook ». Elle permet aux utilisateurs de poster un contenu via l’envoi d’un message même s’ils ne disposent pas de l’application Discord.
Bien que cette fonctionnalité ait ses mérites et son utilité, elle permet également aux pirates de sonder les sessions web et de voler des identifiants de connexion enregistrés dans certains des principaux navigateurs web, ainsi que les jetons d’utilisateur (token) de Discord.
TrendMicro a récemment découvert un nouveau ransomware qui utilise des webhooks comme plateforme de communication avec ses victimes. Une autre souche de ransomware appelée « Hog » présentait également une nouvelle tournure concernant le processus de déchiffrement.
Plutôt que d’émettre une clé, la machine de la victime n’est déchiffrée qu’une fois qu’elle a rejoint le serveur Discord. Une fois la machine connectée, l’utilisateur s’authentifie avec son jeton d’utilisateur qui fait office de clé intégrée à un malware.
Le remède aux cybermenaces liées à Discord
Alors comment empêcher vos utilisateurs de visiter un site tel que Discord ? La réponse est d’utiliser un filtrage DNS avancé et une solution de sécurité web telle que WebTitan.
Comme de nombreux filtres de sécurité web standard, vous pouvez créer des politiques qui refusent l’accès à des sites tels que Discord. Mais WebTitan va au-delà du simple filtrage d’URL.
Son service de détection des malwares surveille et identifie activement les menaces en temps réel, bloquant ainsi l’accès des utilisateurs aux sites hébergeant des malwares, des menaces de phishing, des virus, des ransomwares et aux sites qui renferment des contenus malveillants.
En outre, la solution antimalware de WebTitan permet de s’assurer que les codes malveillants ne s’échappent pas d’un serveur web compromis.
TitanHQ propose aussi SpamTitan, une solution de sécurité de la messagerie électronique capable de bloquer les emails de phishing qui pourraient diriger les utilisateurs finaux vers Discord.
Le fait est qu’il existe de nombreux endroits périlleux sur Internet, et qu’il en existera probablement toujours. Mais si vous utilisez la combinaison de WebTitan et de SpamTitan, vous n’aurez plus à vous soucier de ces zones précaires.
Voulez-vous savoir comment protéger vos employés pour qu’ils n’atterrissent pas dans des endroits précaires comme Discord, quel que soit leur emplacement ? Contactez l’un de nos experts dès aujourd’hui.
Les cybercriminels disposent de nombreux outils et tactiques pour mener leurs attaques, mais certains fonctionnent mieux que d’autres. Ils privilégient des méthodes spécifiques en fonction de leurs objectifs.
Par exemple, le phishing est très prisé pour le vol des informations d’identification, tandis que les malwares fonctionnent bien lorsque le but est de voler des données et de fournir des portes dérobées pour prendre le contrôle total du serveur d’une organisation.
Voici quelques tendances concernant les attaques de malwares en 2020 qui continueront probablement à être populaires cette année.
Le phishing reste l’attaque la plus courante
Chaque année, le nombre d’attaques de phishing ne cesse d’augmenter au niveau mondial. Le phishing offre plusieurs options aux attaquants.
La première est que les attaquants peuvent soit jeter un large filet et envoyer des milliers d’emails de phishing dans l’espoir que quelques-uns soient victimes de la campagne, soit créer des messages ciblés destinés à des employés spécifiques ayant un accès réseau de haut niveau.
Grâce à des pièces malveillantes, bien conçues et jointes aux emails de phishing, les pirates peuvent télécharger et installer facilement des malwares. Il peut s’agir d’un ransomware qui chiffre les données et oblige les victimes de payer une rançon à l’attaquant en échange des clés de déchiffrement.
Il peut également s’agir d’un cheval de Troie qui crée des portes dérobées sur le réseau ou installe des outils d’accès à distance, permettant à un escroc de prendre le contrôle total de l’ordinateur de sa victime.
Les malwares installés
Les malwares offrent aux attaquants un large éventail de possibilités d’exploitation. Pour qu’un attaquant puisse voler des données ou extorquer de l’argent à une victime, il faut généralement utiliser un malware.
Le potentiel des malwares lui offre un large éventail de gains monétaires. Pour ce faire, le pirate peut par exemple voler des données sensibles d’une organisation pour ensuite les vendre sur le dark web.
Les chevaux de Troie peuvent également donner aux attaquants le contrôle à distance d’un ordinateur. Ce type de malware a été à l’origine de compromissions à grande échelle telles que le vol de données, l’atteinte d’infrastructures publiques telles que des centrales électriques et des usines de traitement des eaux, ainsi que l’espionnage d’organisations concurrentes.
Les ransomwares sont un autre type d’application malveillante courante. Ils peuvent être dévastateurs si les attaquants parviennent à l’installer sur un ordinateur local ou une infrastructure critique telle qu’un serveur. En utilisant un ransomware, un pirate informatique peut gagner jusqu’à plusieurs milliers d’euros avec une attaque réussie.
Ce qui fait d’une attaque de ransomware une menace plus inquiétante que les autres attaques de malwares, c’est qu’elle utilise un chiffrement sécurisé pour verrouiller les fichiers et que les entreprises doivent payer la rançon pour récupérer et déchiffrer leurs données.
La seule façon de se remettre d’un ransomware est de restaurer les fichiers à partir d’une sauvegarde. En fait, le paiement de la rançon ne garantit pas que la clé privée sera livrée et que les fichiers seront restaurés.
Exploitation des vulnérabilités logicielles
L’année 2020 a vu une augmentation des vulnérabilités logicielles, car de plus en plus d’entreprises sont passées au numérique. L’augmentation du nombre de logiciels, de serveurs et de travailleurs à domicile a laissé le champ libre aux attaquants ayant les compétences nécessaires pour trouver et exploiter les vulnérabilités des logiciels qui présentent des bugs.
Les vulnérabilités sont publiées dans la base de données CVE (Common Vulnerabilities and Exposures), ce qui signifie que les attaquants peuvent simplement rechercher n’importe quel type de vulnérabilité et développer un kit d’exploitation pour celle-ci.
La création de scripts qui analysent les vulnérabilités est également une activité importante pour les attaquants. Une fois qu’une vulnérabilité est trouvée, un script peut analyser des milliers de sites en quelques minutes seulement pour trouver des serveurs ou des machines hôtes susceptibles d’être exploités.
Une fois qu’une vulnérabilité commune est trouvée, il suffit de quelques minutes pour qu’un kit d’exploitation soit lancé et affecte l’hôte cible.
L’utilisation des logiciels non corrigés était courante en 2020, ce qui rendait également les hôtes vulnérables aux exploitations malveillantes. Lorsque les développeurs de logiciels publient des correctifs de sécurité, les vulnérabilités corrigées par la mise à jour sont répertoriées.
Tout hôte qui n’a pas installé le correctif est vulnérable jusqu’à ce que les administrateurs corrigent le système. Cela laisse une fenêtre d’opportunité pour un attaquant, ce qui peut en faire une cible pour les robots et les scanners qui trouvent et exploitent le problème.
Le chiffrement dans les attaques de malwares
Il y a eu un grand changement en 2020 : les attaquants ont commencé à utiliser le chiffrement pour cacher les attaques de malwares. Le chiffrement dans les attaques de malwares offre aux pirates la possibilité supplémentaire de se cacher des moniteurs et de protéger leur code malveillant.
Cette tendance rend les malwares beaucoup plus efficaces et plus difficiles à trouver pour les chercheurs en cybersécurité une fois qu’ils sont déployés sur un périphérique réseau tel qu’un ordinateur de bureau ou un serveur.
Les meilleures pratiques pour protéger votre entreprise
Les escrocs sont peut-être meilleurs dans leur domaine, mais vous pouvez toujours prendre les mesures nécessaires pour mettre fin à leurs attaques. Pour empêcher le phishing, installez toujours un système de sécurité de la messagerie électronique. Cela inclut des filtres qui sont conçus pour empêcher les messages malveillants d’atteindre la boîte de réception de vos employés.
Pour stopper les malwares, des filtres de messagerie sont également nécessaires. Dans ce cas, leur rôle est de bloquer les malwares qui envoient des données à un attaquant et ceux qui tentent d’accéder à vos fichiers sensibles.
Enfin, il faut toujours appliquer des correctifs pour vos logiciels dès qu’ils sont disponibles, en particulier sur les serveurs destinés au public. La mise à jour des logiciels empêche les attaquants d’exploiter les dernières vulnérabilités qui pourraient affecter les logiciels que vous avez installés.
Pour une PME à court d’argent, la sécurité semble être un luxe, et non une nécessité. Pourtant, c’est un élément crucial pour la survie de votre organisation, notamment en cas d’attaque cybercriminelle.
Dans notre précédent article, nous avons discuté de la façon dont les PME peuvent gérer l’informatique comme les grandes organisations, en adoptant les meilleures pratiques de sécurité web.
Dans ce dossier, nous allons examiner les mesures qui peuvent faire la plus grande différence dans la posture de sécurité de votre entreprise.
En effet, certaines des défenses les plus solides contre les pirates informatiques peuvent être tout simplement des actions de bon sens. Vous pouvez les adopter pour vous protéger des éventuelles menaces avec peu de frais, ou gratuitement.
Évaluez les risques
Si vous voulez mettre en place une sécurité informatique solide, la première étape consiste à décider ce qu’il faut sécuriser. Une évaluation des risques donne une image globale des besoins de sécurité de votre entreprise.
Elle sert également de base pour établir l’ordre de priorité lorsque vous voulez investir dans la sécurité informatique.
Développez une politique d’utilisation acceptable
Les politiques écrites offrent une protection juridique. Tout aussi importantes, elles permettent de sensibiliser les employés pour qu’ils puissent adopter une bonne conduite.
Il existe de nombreux types de politiques. Elles sont toutes essentielles, que ce soit pour les PME ou les grandes entreprises.
Une politique acceptable décrit comment les employés peuvent utiliser les systèmes et les ressources de l’entreprise, tout en contribuant grandement à protéger vos investissements.
Formez gratuitement vos employés à la sécurité résau
De nombreuses infractions à la sécurité informatique résultent de l’ignorance des employés. Connaissez-vous l’arnaque du prince nigérian ? En effet, les pirates ont misé sur la crédulité de leurs cibles pour leur soutirer de l’argent. Ce genre d’arnaque a fait beaucoup de ravages.
Vous n’avez pas besoin de créer votre propre matériel de formation. De nombreux sites web publient d’excellents programmes gratuits que vous pouvez utiliser.
Le centre américain d’alerte et de réaction aux attaques informatiques (US-CERT) propose par exemple « Protect Your Workforce Campaign », une campagne de formation prête à l’emploi disponible sur :
Quand avez-vous changé votre mot de passe Wifi pour la dernière fois ? Vous devez savoir qu’un signal Wi-Fi ne s’arrête pas aux murs de votre bureau.
Pour constituer votre première ligne de défense, vous aurez donc besoin de créer de bons mots de passe qui doivent être changés au moins une fois par mois.
Les serveurs, les routeurs, les commutateurs et tout autre appareil constituant votre système informatique devraient avoir des mots de passe fiables.
N’oubliez pas que de nombreux appareils ont des mots de passe par défaut. Vous aurez donc intérêt à les changer immédiatement après l’installation de l’équipement.
Effectuez un contrôle de sécurité du réseau
Pour vérifier le niveau de sécurité de votre système informatique, utilisez un contrôle de sécurité gratuit. Vous en trouverez sur de nombreux sites web.
Attention toutefois, car certains de ces portails en ligne ne sont pas réputés et peuvent infecter votre ordinateur avec des malwares. Assurez-vous donc d’utiliser l’un des sites web référencés sur :
Pour vérifier le niveau de sécurité de votre réseau, utilisez également un outil de test de pénétration gratuit tel que Metasploit.
Protégez-vous contre les malwares
Utilisez les filtres de phishing et le logiciel de sécurité qui sont déjà intégrés à votre navigateur. En fonction du type de navigateur, sélectionnez « Options » ou « Paramètres ».
Vous verrez le filtre de contenu et les paramètres des fenêtres contextuelles, des témoins et des certificats.
Vous n’avez absolument aucune excuse pour ne pas installer un logiciel de protection contre les malwares.
Celui-ci doit automatiquement mis à jour sur tous les appareils, y compris les dispositifs mobiles personnels, du moment qu’ils utilisent le Wifi de l’entreprise (assurez-vous d’intégrer les mises à jour dans votre politique d’utilisation acceptable).
L’un des meilleurs investissements que vous puissiez faire est le filtrage des emails. Bien entendu, les attaquants savent que les PME ne disposent pas toujours d’une solution de filtrage des emails sophistiquée et coûteuse.
Mais sachez qu’un système de filtrage des emails fiable ne doit pas toujours vous coûter une fortune. SpamTitan est une solution antispam vraiment flexible et peut être déployée en fonction des besoins de votre entreprise, à savoir :
sur place ou sur site, comme une appliance sur un serveur physique à locataire unique
sur site ou en local, en tant qu’appliance VMWare sur un serveur partagé.
dans le cloud (SpamTitan Cloud). Pour ce cas précis, il vous suffit de procéder à une configuration minimale de votre compte de messagerie, de définir votre mot de passe. Ajoutez ensuite votre domaine de messagerie (ou plusieurs domaines si vous en avez), puis modifiez vos enregistrements MX afin de commencer le filtrage.
Sauvegardez vos données
Selon une étude de Kroll Ontrack, 40 % des pertes de données sont dues à des erreurs humaines.
Selon le site web TechRadar :
« Ce sont le plus souvent des événements quotidiens tels que la suppression accidentelle de fichiers ou le renversement d’une boisson chaude sur un matériel informatique qui peuvent provoquer la plus grande perturbation d’une entreprise si les données ne sont pas correctement stockées et sauvegardées ».
Il existe de nombreux choix pour la sauvegarde des données. Bien entendu, il faut déterminer cela en fonction du volume de données que vous devez conserver et protéger.
Parmi ces options, on compte la synchronisation de fichiers et la sauvegarde des données dans le cloud et l’utilisation d’un logiciel de sauvegarde traditionnel.
Appliquez régulièrement les mises à jour de vos logiciels
Du point de vue de la sécurité, il est essentiel d’appliquer les mises à jour des logiciels qui constituent votre système dès qu’elles sont disponibles.
Cela s’applique aux systèmes d’exploitation (Windows, Mac OS, Linux) et tout autre logiciel de sécurité tel qu’un antivirus. L’idéal serait de choisir des solutions de sécurité réseau qui se mettent à jour automatiquement.
Logiciel et matériel de contrôle pour la sécurité du réseau
L’installation de logiciel sur le serveur ou sur tout appareil professionnel doit être préalablement approuvée par le responsable informatique.
Ceci est particulièrement important, car les logiciels de nos jours sont de plus en plus open-source, ce qui rend difficile l’application des contrôles réguliers.
N’oubliez pas que chaque application supplémentaire introduit de nouvelles vulnérabilités, augmentant ainsi la surface d’attaque de votre entreprise.
Par exemple, il peut être pratique d’avoir un accès à distance au serveur de l’entreprise, mais cela offre aux attaquants un autre moyen de pénétrer votre réseau.
L’installation d’un logiciel d’accès à distance doit donc être considérée comme une décision d’affaires à travers laquelle les risques doivent être évalués en fonction des avantages.
Chaque fois que de nouveaux périphériques sont ajoutés au réseau de votre entreprise, vous risquez de perdre des données ou d’être victime de malwares.
Si vous permettez à vos employés d’apporter et d’utiliser leurs propres appareils dans le cadre du travail, chacun d’entre eux doit se conformer aux mêmes normes de sécurité que tout autre appareil de l’entreprise.
Si votre PME utilise davantage le cloud, notamment pour les applications SAAS (software-as-a-service), l’accès aux ressources du cloud doit aussi avoir les mêmes restrictions que l’accès aux ressources locales de l’entreprise.
Améliorez la posture de sécurité de réseau de votre entreprise
Les mesures décrites ci-dessus exigent un minimum de temps et de dépenses, mais cela en vaut la peine si on considère qu’une atteinte à la sécurité pourrait menacer la survie de votre entreprise.
Gardez aussi à l’esprit que la mise en place d’un logiciel de sécurité globale coûteux serait inefficace si les mesures susmentionnées ne sont pas adoptées.
Vous êtes un professionnel de l’informatique et vous voulez protéger les données et les appareils des employés au sein de votre entreprise ? Parlez à un de nos spécialistes ou envoyez-nous un email à info@titanhq.com pour toute question.
Une nouvelle campagne de spam a été identifiée. Elle utilise des fichiers Excel Web Query pour envoyer des malwares.
Dans ce cas, les fichiers avec une extension IQY (.iqy) sont utilisés pour lancer des scripts PowerShell, donnant aux attaquants l’accès root à un périphérique.
Les fichiers .iqy ne sont généralement pas bloqués par des filtres antispam, ce qui rend la technique efficace pour la diffusion silencieuse de malwares.
Les spams sont envoyés via le botnet Necurs. Barkly a détecté trois campagnes de spam utilisant ces pièces jointes, mais il est fort probable que d’autres campagnes seront lancées.
Les fichiers Excel Web Query obtiennent des données d’une source externe et les chargent dans Excel. Dans ce cas, les données externes se présentent comme une formule exécutable dans Excel.
La formule est utilisée pour exécuter des scripts PowerShell qui, dans au moins une campagne, téléchargent un Cheval de Troie d’accès distant (RAT) appelé FlawedAmmyyy Admin.
Comment fonctionne cette nouvelle campagne de spam via des fichiers Excel Web Query
Il s’agit d’un outil d’administration à distance légitime (AMMYY Admin) modifié qui permet à l’attaquant de contrôler complètement un ordinateur et d’installer de nombreux programmes malveillants.
Dans bien des cas, les emails se font passer pour des bons de commande, des factures impayées et des documents scannés.
Ce sont des thèmes courants utilisés dans les emails non sollicités pour livrer des malwares. Les campagnes de spam utilisent souvent des documents Word avec des macros malveillantes.
Les macros sont généralement désactivées par défaut. Grâce à une formation de sensibilisation à la sécurité, les utilisateurs finaux peuvent être avisés de ne pas activer les macros sur les documents provenant d’expéditeurs inconnus.
Ceci permet d’empêcher le téléchargement de malwares.
Cependant, la plupart des utilisateurs finaux ne seront pas habitués à recevoir des fichiers .iqy, ces pièces jointes devraient donc éveiller les soupçons.
Microsoft a déjà intégré des avertissements pour empêcher ces fichiers d’être exécutés par les utilisateurs finaux.
Ainsi, si un utilisateur final tente d’en ouvrir un, cela déclenche un avertissement, prévenant que le fichier peut ne pas être sûr, car il permet une connexion externe.
L’utilisateur devra cliquer sur « enable » avant que la connexion ne soit établie et que les données ne soient extraites dans Excel. Un deuxième message d’avertissement s’afficherait alors, nécessitant encore une fois une autorisation.
Le script ne pourra donc s’exécuter et télécharger la charge utile malveillante que si l’utilisateur ignore ces deux avertissements.
Vous pouvez prendre deux mesures pour protéger vos terminaux et vos réseaux contre ce type d’attaque.
La première est de configurer votre filtre antispam pour mettre en quarantaine tous les emails contenant des pièces jointes avec une extension IQY.
SpamTitan permet de bloquer certains types de pièces jointes comme les fichiers exécutables et les fichiers .iqy. Grâce à cette solution, vous pouvez définir la politique de quarantaine, de rejet ou de suppression des emails.
Etant donné que ces types de fichiers ne sont généralement pas envoyés via la messagerie électronique, le rejet ou la suppression des messages est donc l’option la plus sûre.
Vous devriez également intégrer la façon d’utiliser ces fichiers dans vos séances de formation de sensibilisation à la sécurité et envisager d’envoyer une alerte par email aux utilisateurs finaux pour les avertir de la menace.
Contactez l’équipe de TitanHQ pour protéger vos messageries électroniques des malwares
Vous trouverez de plus amples informations sur les mesures que vous pouvez prendre afin de prévenir la propagation d’infections par des malwares via la messagerie électronique sur notre page de conseils antispam.
Une campagne de diffusion de malwares a été identifiée. Elle utilise des e-mails de phishing et des macros malveillantes (PowerShell) et la stéganographie pour diffuser un script Cobalt Strike malveillant.
Les premiers e-mails de phishing contiennent une pièce jointe Word (.doc) avec une macro malveillante qui télécharge un script PowerShell de GitHub si elle est autorisée à s’exécuter. Ce script télécharge à son tour un fichier image PNG à partir du service de partage d’images légitime Imgur. L’image contient un code caché dans ses pixels qui peut être exécuté avec une seule commande pour exécuter la charge utile. Dans ce cas, il s’agit d’un script Cobalt Strike.
Cobalt Strike est un outil de test de pénétration couramment utilisé. S’il est utilisé par les professionnels de la sécurité à des fins de sécurité légitimes, il est également utile aux pirates informatiques. L’outil permet d’ajouter des balises aux dispositifs compromis, qui peuvent ensuite être utilisées pour exécuter des scripts PowerShell, créer des shells web ; augmenter les privilèges et fournir un accès à distance à certains dispositifs. Dans cette campagne, le fait de cacher le code dans l’image et d’utiliser des services légitimes tels que Imgur et GitHub ont aidé les attaquants à éviter la détection.
Le masquage du code dans les fichiers image est connu sous le nom de stéganographie et est utilisé depuis de nombreuses années comme moyen de dissimuler du code malveillant, généralement dans des fichiers PNG pour éviter que le code ne soit détecté. Lors de cette campagne, la tromperie ne s’est pas arrêtée là. Le script Cobalt Strike comprenait une chaîne EICAR destinée à tromper les solutions de sécurité et les équipes de sécurité en classant le code malveillant comme une charge utile antivirus, sauf si un contact est établi avec le serveur de commande et de contrôle de l’attaquant et que des instructions sont reçues.
Cette campagne a été identifiée par le chercheur ArkBird qui l’a comparée à celle menée par un groupe de pirates, connu sous le nom de Muddywater, qui a émergé vers 2017. Le groupe, Static kitten/Seedworm/Mercury, mène principalement des attaques sur des pays du Moyen-Orient, généralement l’Arabie Saoudite et l’Irak, bien qu’il soit connu pour mener des attaques sur d’autres cibles européennes et américaines. Cependant, il n’est pas certain que c’est ce groupe qui est le responsable de la campagne.
Naturellement, l’un des meilleurs moyens de bloquer ce type d’attaques est d’empêcher que des e-mails malveillants arrivent dans les boîtes de réception des utilisateurs finaux. Un filtre antispam tel que SpamTitan – qui intègre un système de sandboxing permettant d’analyser les pièces jointes en toute sécurité – permettra de s’assurer que ces messages n’arrivent pas dans les boîtes de réception de vos employés. Il est également recommandé de former les utilisateurs finaux afin que ces derniers soient conscients qu’ils ne doivent jamais activer les macros dans les documents Word envoyés par courrier électronique.
Une solution de filtrage web est également utile. Les filtres web tels que WebTitan peuvent être configurés pour donner aux équipes informatiques le contrôle sur le contenu web auquel les employés peuvent accéder. Étant donné que GitHub est couramment utilisé par les professionnels de l’informatique et d’autres employés à des fins légitimes, il n’est pas recommandé de bloquer le site à l’échelle de l’organisation. À la place, un blocage sélectif peut être placé pour des groupes d’employés ou des départements qui empêche GitHub et d’autres sites de partage de code potentiellement risqués (tels que PasteBin) d’être accessibles, délibérément ou non. Cette solution fournit un niveau de protection supplémentaire pour votre organisation.
