La pandémie a changé la façon dont le monde travaillait et apprenait. Les enseignants ont fait l’expérience unique de changer leur façon de travailler et d’enseigner à leurs élèves. Ils étaient contraints de proposer un enseignement en ligne, ce qui signifie que les étudiants communiquaient principalement par le biais d’applications VoIP (voix sur IP) et de messages électroniques.
Les escrocs se sont emparés du changement de communication dans l’enseignement et ont utilisé des attaques de phishing conçues pour ressembler à des étudiants rendant leur travail. Les emails contenaient des pièces jointes malveillantes avec des macros qui téléchargeaient un ransomware et cryptaient les fichiers des enseignants. Pour récupérer leurs données, ils avaient trois choix : payer une rançon pour obtenir la clé de déchiffrement ; les restaurer à partir d’une sauvegarde ou perdre définitivement leurs fichiers essentiels.
Les enseignants victimes de nouvelles campagnes de ransomware
Alors que tout le monde s’acclimatait aux changements de leur mode de travail à cause du confinement, les enseignants ont mis en place une communication en ligne et des sites Web pour que les élèves puissent poser des questions et rendre leurs devoirs. La dernière campagne de phishing a imité les communications entre élèves et enseignants. Le message électronique prétendait être le parent d’un élève et comportait un fichier joint contenant une macro malveillante.
Le message indiquait à l’enseignant que les messages précédents n’avaient pas permis de remettre le devoir de l’élève. Les chercheurs pensent que les attaquants ont récolté les adresses électroniques des enseignants ciblés en utilisant les listes de contacts des professeurs sur le site Web de l’école. Comme ces pages contiennent le nom de l’enseignant, l’attaquant pouvait alors adresser l’email avec le nom de l’enseignant, faisant croire que le message était légitime. Après que l’enseignant a ouvert le fichier joint, la macro a téléchargé les fichiers exécutables du ransomware.
L’un des aspects de cette attaque était que les exécutables malveillants envoyaient un message SMS à l’attaquant pour l’avertir de la présence d’une nouvelle victime. Un autre aspect unique de cette souche de ransomware est qu’elle a été écrite dans le langage de programmation Go, contrairement à de nombreuses autres souches standards. Les fichiers chiffrés par le ransomware sont répertoriés dans un fichier texte nommé « About_Your_Files.txt » et stocké sur le bureau de l’utilisateur.
Le ransomware visait les particuliers et non les entreprises. Les attaques au niveau des entreprises demandent des dizaines de milliers d’euros, ce qui oblige l’entreprise à payer la rançon ou à perdre l’accès à ses données essentielles.
Les ransomwares ciblant les enseignants demandent environ 60 euros en bitcoins, ce qui les rend abordables pour que les particuliers choisissent de payer la rançon au lieu de récupérer les sauvegardes. Les auteurs de ransomwares destinés aux entreprises demandent généralement des montants plus élevés, sachant que les entreprises disposent de plus de fonds.
Des ransomwares retardent les cours dans tous les États-Unis
Comme les écoles ne disposent pas souvent des ressources nécessaires pour stopper les attaques sophistiquées, elles sont des cibles privilégiées pour les attaques de ransomwares. Tout au long de l’année 2020, les ransomwares ont retardé les sessions de cours dans plusieurs écoles aux États-Unis. Par exemple, un ransomware a retardé le premier jour de classe d’une école de Hartford, dans le Connecticut. Le ransomware de cette attaque a visé 200 serveurs de la ville, ne permettant pas à l’école d’obtenir des listes et des informations sur les élèves.
En septembre 2020, une attaque de ransomware a touché le district scolaire du comté de Clark à Las Vegas, dans le Nevada. Les responsables de l’école ont refusé de payer la rançon et, en retour, les attaquants ont publié les numéros de sécurité sociale, les notes des élèves et d’autres données privées recueillies par leur malwares.
Cet incident décrit de nombreux scénarios lorsque les victimes refusent de payer la rançon. Dans de nombreux cas, les attaquants font chanter la victime ciblée en exposant des données privées, ce qui peut être tout aussi dommageable, voire plus que la perte des données elles-mêmes.
Comment les écoles peuvent-elles se défendre contre les ransomwares ?
Outre les contrôles de cybersécurité qui bloquent les malwares traditionnels, le blocage des ransomwares nécessite l’éducation des utilisateurs finaux, des filtres de messagerie et des sauvegardes. Les sauvegardes constituent la première défense réactive contre les ransomwares. Si un malware parvient à chiffrer des fichiers, les sauvegardes permettent aux écoles et autres organisations de restaurer les données sans payer la rançon.
Les sauvegardes doivent être stockées hors site afin que les ransomwares ne puissent pas y accéder. Les sauvegardes dans le cloud sont principalement utilisées dans les stratégies de reprise après sinistre requises après une attaque de ransomware.
L’utilisation de filtres de messagerie est une autre stratégie de cybersécurité. En étant proactive, une organisation éducative peut arrêter les pièces jointes de ransomware avant qu’elles n’atteignent les boîtes de réception des utilisateurs ciblés. Avec les filtres de messagerie, votre système de sécurité pourra détecter les messages et pièces jointes malveillants et les envoyer en quarantaine.
La quarantaine est un lieu de stockage sûr où les administrateurs peuvent examiner le contenu du courriel et déterminer s’il s’agit d’un faux positif. S’il s’agit d’un faux positif, les administrateurs le transmettent à la boîte de réception du destinataire. Les messages contenant des malwares peuvent être supprimés ou examinés en vue d’améliorer la stratégie de l’organisation.
L’éducation des utilisateurs est une troisième option. Comme les enseignants communiquent souvent avec leurs élèves en ligne, les sensibiliser aux dangers des malwares et du phishing leur permet d’identifier ces messages.
Les enseignants sont des cibles récentes, et leurs propres appareils sont à risque s’ils continuent à enseigner depuis leur domicile. En dispensant l’éducation et la formation à la cybersécurité nécessaires pour identifier le phishing, les enseignants seront moins susceptibles d’être la prochaine victime d’une telle attaque. Ils doivent également savoir que l’ouverture des pièces jointes doit se faire avec prudence et que les macros ne doivent jamais être exécutées.
Technologie et éducation
La plupart des écoles ont adopté le numérique pour communiquer et collaborer avec les élèves. Les appareils tels que les Chromebooks et les iPads sont monnaie courante. La productivité et la collaboration entre le corps enseignant, les élèves et les parents ont augmenté en conséquence.
Cette transformation numérique du secteur de l’éducation présente des défis en matière de sécurisation des communications et de protection des étudiants contre les attaques en ligne. Les universités et les écoles doivent être en mesure de protéger rapidement et facilement leurs étudiants et leur personnel contre les menaces en ligne.
WebTitan on-the-go (OTG) pour les Chromebooks est maintenant disponible, pour protéger tous les utilisateurs de vos Chromebooks contre les menaces en ligne. Conçu pour le secteur de l’éducation, il s’agit d’une solution de filtrage de sécurité rapide et abordable pour les Chromebooks qui prend en charge la conformité CIPA, ce qui permet à votre école ou votre bibliothèque de bénéficier de réductions E-rate pour des services autres que la téléphonie.
Le nombre d’attaques de ransomwares est de nouveau en hausse. Découvrez les dernières tendances en matière de ransomware dans ce dossier.
Alors que les gouvernements réduisent lentement les exigences en termes de confinement en cas de pandémie ; et qu’une plus grande partie de la population se fait vacciner, les auteurs de malwares continuent de créer des logiciels. Ces derniers tirent parti des anciennes et nouvelles craintes créées par le Coronavirus.
Les chercheurs se sont focalisés sur les dernières tendances concernant l’évolution de nouvelles formes de ransomware ciblant les entreprises. Rappelons qu’en 2020, les malwares visaient principalement les particuliers travaillant à domicile.
Alors que de plus en plus d’employés retournent dans leurs bureaux, les attaquants tournent leur attention vers les entreprises et les nombreuses erreurs humaines qui permettent une violation de données réussie.
Le ransomware Babuk et ses caractéristiques
Le tout dernier ransomware — appelé Babuk — a été conçu pour cibler les données des entreprises. Les pirates l’utilisent pour chiffrer les données des organisations en vue de demander aux victimes ciblées de payer une rançon d’environ 50 000 à 70 000 euros en échange des clés privées nécessaires au déchiffrement des données.
Les chercheurs ont constaté que Babuk était principalement un ransomware standard, mais qu’il présentait quelques caractéristiques qui le rendaient spécifiquement conçu pour les entreprises plutôt que pour les particuliers. Principalement, il désactive de nombreux services utilisés dans un environnement d’entreprise et non par des utilisateurs individuels.
Babuk désactive de nombreuses fonctions de sauvegarde disponibles dans Windows. La première fonction désactivée est le service de copie d’ombre de volume (VSS – Volume Shadow Copy) utilisé pour effectuer des sauvegardes des fichiers en cours d’utilisation.
Lorsque cette fonction est désactivée, les utilisateurs ne peuvent plus récupérer leurs fichiers actifs. Elle désactive également le mécanisme de verrouillage des fichiers utilisé sur les fichiers ouverts et actifs. Pour les entreprises qui utilisent les fonctions de sauvegarde de Microsoft Office, Babuk désactive également ces fonctions.
Après avoir désactivé les fonctions de sauvegarde de Windows, Babuk lance la phase de chiffrement. Il double le chiffrement des petits fichiers de moins de 41 Mo et divise les gros fichiers en petites parties avant de les chiffrer. Le ransomware utilise un algorithme de chiffrement appelé ChaCha8, généré à partir d’un hachage SHA-256, un algorithme qui représente une famille de fonctions de hachage.
Pour les ransomwares qui ciblent les particuliers, les pirates utilisent plusieurs clés pour chaque utilisateur. Babuk n’utilise qu’une seule clé privée, ce qui est une autre indication qu’il cible les entreprises. La plupart des activités de Babuk sont similaires à celles d’autres ransomwares, mais il est tout aussi dangereux pour l’intégrité et la confidentialité des données d’entreprise que ses prédécesseurs.
Comment se protéger de Babuk et des autres ransomwares ?
Les ransomwares sont considérés comme des applications malveillantes très agressives et représentent une grande menace pour l’intégrité des données. Ils peuvent paralyser une organisation en détruisant des données et en menaçant la réputation de sa cybersécurité. À cause de ces malwares, les clients peuvent également perdre confiance dans la cybersécurité de l’organisation ciblée et peuvent choisir de travailler avec un concurrent.
Aucune stratégie de cybersécurité ne permet de réduire à 100 % ces menaces, mais vous pouvez prendre des mesures pour réduire considérablement les risques d’être la prochaine victime de Babuk. La première stratégie consiste à chiffrer les fichiers importants. En faisant cela, vous rendez beaucoup plus difficile pour Babuk d’identifier les fichiers qui pourraient contenir vos informations importantes.
La deuxième stratégie consiste à utiliser des sauvegardes en ligne. Babuk désactive de nombreux services de sauvegarde intégrés à Windows, mais une solution de sauvegarde secondaire qui stocke les fichiers hors site ou dans le cloud améliore la reprise après sinistre. Même si vous êtes victime de Babuk, vous disposez alors de sauvegardes qui peuvent être utilisées pour récupérer les données au lieu de vous retrouver dans une situation où les sauvegardes sont également chiffrées et où il faut payer une rançon pour avoir accès à vos données essentielles.
Les ransomwares pénètrent dans les entreprises de plusieurs façons, c’est pourquoi il faut plus d’un produit pour les combattre. Une troisième stratégie consiste à adopter une approche de la sécurité par couches. La sécurité multicouche ne consiste pas simplement à superposer de nouveaux outils de sécurité à l’infrastructure existante. Il s’agit d’une architecture qui nécessite un plan bien conçu. La mise en œuvre n’est pas toujours simple, car elle exige de la planification et de l’expertise.
S’appuyer sur une seule couche de sécurité n’est plus judicieux dans le paysage actuel des menaces cybercriminelles. Les organisations doivent se concentrer sur les données qu’elles protègent et construire des couches de sécurité autour d’elles. Vos clients vous en remercieront et vos résultats financiers n’en seront que meilleurs.
Cette approche de sécurité multicouche doit également inclure le filtrage des emails. Les filtres de messagerie dotés d’intelligence artificielle (IA) identifient les messages et les pièces jointes suspects et les envoient en quarantaine, où ils peuvent être examinés par un administrateur.
En empêchant les messages malveillants d’atteindre la boîte de réception d’un utilisateur ciblé, on réduit les risques en éliminant l’erreur humaine. Toute pièce jointe contenant des macros, des fichiers exécutables ou des messages dont l’adresse d’expéditeur est usurpée est bloquée par les filtres de messagerie. Les administrateurs examinent les messages mis en quarantaine et envoient les faux positifs au destinataire prévu afin que les courriels ne soient jamais perdus ou automatiquement supprimés.
Les logiciels de surveillance détectent le trafic suspect sur le réseau. Il s’agit donc également d’une stratégie utilisée pour détecter les malwares lorsqu’ils recherchent des ressources. La surveillance de la détection et de la prévention des intrusions empêche les malwares de chiffrer des fichiers ou d’exfiltrer des données, puis elle alerte les administrateurs.
Les administrateurs peuvent alors enquêter et identifier tous les fichiers et services suspects actifs sur le réseau. N’oubliez pas que les appareils des utilisateurs peuvent également exécuter des malwares qui vont analyser le réseau à la recherche de données et de fichiers critiques.
Enfin, l’éducation des employés contribue à réduire les risques. Les erreurs humaines constituent toujours une menace pour l’organisation, mais en leur donnant les connaissances nécessaires à la détection des menaces, vous réduisez le risque qu’ils se laissent prendre au piège d’une attaque de phishing ou de malwares via la messagerie électronique.
Lorsqu’ils voient les drapeaux rouges inclus dans un message électronique malveillant, ils seront capables de le reconnaître et d’alerter les administrateurs. En même temps, ils pourront éviter d’exécuter les pièces jointes sur leurs appareils.
En combinant l’éducation des utilisateurs avec les bonnes stratégies de cybersécurité, votre organisation pourra éviter d’être la prochaine victime d’un ransomware.
Protégez votre organisation contre les attaques de phishing avec SpamTitan Email Security. Commencez un essai gratuit pour découvrir comment SpamTitan peut aider votre organisation à prévenir les attaques de ransomwares. Démarrer l’essai gratuit dès aujourd’hui.
Lorsque nous parlons d’application de la loi en relation avec une attaque de ransomware, nous nous attendons à ce qu’il s’agisse d’une enquête en cours menée par la police locale et d’autres agences. Nous ne nous attendons certainement pas à ce que le service de police soit la véritable victime de l’attaque. Or, c’est exactement ce qui s’est passé dans la capitale américaine il y a plus d’une semaine, lorsque la police de Washington DC a été victime d’une attaque de ransomware.
Le département est l’une des 26 agences gouvernementales qui ont été touchées par cette menace de ransomware en 2021 jusqu’à présent. Ce n’est pas non plus la première fois que le service de police d’une grande ville américaine est victime d’une attaque. Le département de police de Miami Beach a été touché en février de l’année dernière, tandis que quelques mois plus tôt, la Policy Academy du Queens, à New York, avait été attaquée.
L’attaque contre la Policy Academy de Washington DC a utilisé ce que l’on appelle le ransomware 2.0. Avec cette nouvelle approche du ransomware, les attaquants commencent par exfiltrer les données d’une organisation avant de les chiffrer. Les données sont transférées vers un cloud sécurisé géré par les attaquants. Ceux-ci disposent ainsi d’une autre possibilité d’extorsion pour se faire payer. Si la tentative de chiffrement échoue ou si l’organisation remédie à l’attaque sans la clé obligatoire, les attaquants utilisent alors la menace de la divulgation des données pour se faire payer.
Dans le cas de la police de Washington, le groupe à l’origine de l’attaque a remis une demande de rançon, accordant à la police un délai de grâce de trois jours, après quoi il a menacé de remettre toute information volée entre les mains d’organisations criminelles. Ils ont ensuite publié des captures d’écran sur le dark web pour confirmer qu’ils avaient soulevé des données pendant l’attaque.
Ils ont affirmé être en possession de 250 Go de données comprenant des informations sensibles, notamment des dossiers personnels d’agents de police et d’informateurs, ainsi que des informations concernant des enquêtes en cours.
Selon les experts, les services de police sont une cible de plus en plus importante pour les pirates informatiques en raison de l’immense quantité d’informations qu’ils détiennent sur le public. Les pirates ciblent leurs données afin d’altérer les enquêtes en cours ou d’obtenir des informations à des fins de chantage. Les organisations criminelles sont prêtes à payer pour des données qui les aideront à échapper aux efforts de la police.
Le service de police a confirmé qu’une partie non autorisée avait accédé à son système et que des informations personnelles identifiables concernant des employés avaient été compromises. Il a assuré le public que les opérations de base n’avaient pas été affectées, mais n’a pas confirmé si l’attaque impliquait un ransomware. Ils ont également déclaré que le FBI avait été appelé pour enquêter sur cette affaire.
Qui est Babuk ?
Le groupe à l’origine de l’attaque est connu sous le nom de Babuk, une organisation de piratage dont les membres résident en Russie ou dans les pays voisins. Le groupe a été découvert au début de l’année 2021, selon un document d’analyse publié par McAfee. Le rapport attribue à ce groupe une série d’attaques similaires au cours de l’année écoulée.
Babuk est en fait plus qu’un groupe de cyberattaquants. Le code de leur ransomware est disponible en tant que service pour les affiliés prêts à payer pour le logiciel. Le groupe est entré en scène l’année dernière et a lancé la première attaque connue de ransomware en 2021, et il est actif depuis.
Pas d’échappatoire aux attaques de ransomware
L’une des attaques les plus notoires mises en œuvre par Babuk concernait la franchise de la NBA, les Houston Rockets. Le groupe a réussi à installer un ransomware sur divers systèmes internes des Rockets. Bien qu’un porte-parole de l’équipe ait déclaré que ses systèmes de défense avaient limité la portée de l’attaque et nié que des opérations de l’équipe aient été affectées, Babuk affirme avoir volé 500 Go de données dans les systèmes des Rockets. Les données volées comprenaient des contrats, des accords de non-divulgation et des données financières.
Une autre attaque en 2021 a impliqué une entreprise de défense et d’aérospatiale appelée PDI Group, basée à Dayton, dans l’Ohio. L’entreprise est un important fournisseur d’équipements militaires pour l’armée de l’air américaine et d’autres armées dans le monde. Babuk a pu obtenir un ensemble d’informations sensibles, notamment des contrats, des informations sur les paiements des clients et des données sur les employés.
La fin des attaques de ransomware de Babuk
Ironiquement, le groupe a indiqué sur son site Web que l’incident de la police de Washington serait sa dernière attaque de ransomware et qu’il ne mettrait plus son logiciel à la disposition de ses affiliés. Bien que le groupe ait cessé d’orchestrer des attaques par ransomware, il prévoit de se concentrer sur le vol de données de grandes organisations bien financées. Même si Babuk se retire de la lutte contre les ransomwares, ne vous attendez pas à ce que les attaques de ce type disparaissent.
Prévenez les attaques de ransomware avec une sécurité multicouche avancée. TitanHQ fournit une protection contre les menaces avancées et bloque les activités malveillantes telles que les attaques de ransomware.
Contactez dès aujourd’hui un expert en sécurité de TitanHQ et découvrez comment nous pouvons vous aider à protéger votre entreprise contre les attaques de ransomware. Contactez-nous.
Alors que la crise causée par la pandémie du Covid-19 a contraint les entreprises, les écoles et les prestataires de soins de santé à passer au virtuel, les escrocs ont créé des malwares spécifiquement adaptés à la situation mondiale.
Quel que soit le pays ciblé, les développeurs de malwares sont sûrs de trouver des victimes. Ils ne recherchent plus des victimes multiples parmi des milliers d’adresses électroniques. Au lieu de cela, ils se concentrent sur des industries et des individus spécifiques pour augmenter leurs gains.
La cybersécurité ayant été reléguée au second plan alors que de plus en plus d’entreprises et d’écoles devenaient virtuelles, les attaques se sont avérées fructueuses, car de plus en plus de ransomwares ont touché les entreprises et leurs employés.
Les attaques de ransomwares avant le Covid-19
Avant la pandémie, les développeurs de ransomwares ont fait en sorte qu’un maximum de personnes puisse être victimes d’une attaque. Ils utilisaient principalement les emails pour envoyer des pièces jointes malveillantes, et envoyaient des milliers de messages à leurs cibles.
Certains messages électroniques étaient filtrés, tandis que d’autres étaient simplement ignorés ou supprimés par les utilisateurs. Pourtant, un petit pourcentage de destinataires se laissait prendre au piège de l’attaque et installait le malware.
Avec des milliers d’emails envoyés, un escroc pourrait s’attendre à recevoir de l’argent du petit pourcentage de destinataires qui tombent dans le piège du message. Les victimes ouvraient une pièce jointe, exécutaient une macro malveillante, puis payaient la rançon pour récupérer leurs fichiers.
La plupart des ransomwares ciblaient les particuliers et demandaient une petite somme en échange de la clé privée. Un escroc pouvait gagner des milliers d’euros avec des malwares traditionnels ciblant des particuliers.
Attaques de ransomwares depuis le Covid-19
En 2020 et en 2021, les escrocs ont changé de cible pour s’attaquer aux entreprises et à leurs employés travaillant à domicile.
La plupart des entreprises ayant été contraintes de passer au virtuel, les employés travaillaient à domicile et la cybersécurité n’était plus qu’une question de second ordre après la configuration initiale de l’environnement.
En réalité, les entreprises ont migré les données et les applications vers le cloud pour permettre aux employés d’accéder à l’infrastructure nécessaire, mais cela a été fait d’une manière qui a laissé des vulnérabilités.
L’accès d’un seul utilisateur à haut niveau de privilèges peut s’avérer très payant pour un escroc. Les ransomwares peuvent se propager de la machine d’un utilisateur ciblé au réseau mondial, ce qui leur donne l’occasion de chiffrer les fichiers essentiels de toute une organisation.
Si l’organisation ne dispose pas de sauvegardes appropriées et d’un plan de reprise après sinistre, elle sera contrainte de payer la rançon. Les escrocs qui ciblent les entreprises demandent des dizaines de milliers de dollars plutôt que quelques centaines en cryptomonnaie, sachant que les entreprises ont plus d’argent à payer.
Extorsion et déni de service distribué (DDoS)
Si une organisation choisit de ne pas payer la rançon, une autre évolution des nouvelles attaques de ransomware est l’extorsion et le chantage. Les escrocs menacent de rendre les données publiques ou de lancer un DDoS contre l’organisation.
L’extorsion est la sauvegarde secondaire la plus populaire pour les escrocs afin de faire chanter les organisations pour qu’elles paient la rançon, même si elles ont des sauvegardes.
En publiant les données volées, l’organisation souffre d’une atteinte à sa réputation. Il s’agit d’un outil efficace si l’organisation ne parvient pas à payer la rançon.
L’autre option pour les escrocs est de lancer un DDoS sur l’organisation. Cela met hors service les services essentiels, obligeant l’organisation à payer une rançon pour que l’attaque cesse.
La cybersécurité devrait être une priorité pour le personnel distant
Il est inévitable que les entreprises aient plusieurs membres du personnel travaillant à domicile, au moins jusqu’en 2021.
Lorsque les gens reviendront au bureau, le monde du travail reviendra à la normale. Mais les escrocs continueront à se concentrer sur les employés vulnérables travaillant à domicile.
Des contrôles de cybersécurité multicouches doivent être installés pour prévenir les menaces avancées telles que les ransomwares, pour tout employé ouvrant des messages électroniques à la maison.
Les filtres de courrier électronique constituent une couche importante de la cybersécurité. Ils détectent les messages et pièces jointes malveillants avant qu’ils n’atteignent la boîte de réception de l’utilisateur.
Ils sont installés sur les serveurs de messagerie afin que les administrateurs puissent examiner les messages potentiellement malveillants. Les messages signalés par les systèmes de cybersécurité du courrier électronique sont envoyés dans un emplacement de quarantaine où les administrateurs peuvent les examiner.
Les administrateurs peuvent alors transférer les faux positifs au destinataire prévu ou supprimer les messages malveillants.
Les escrocs ne font chanter les entreprises qu’après qu’elles ont été victimes d’un ransomware et d’une violation de données. La suppression des messages sur un serveur de messagerie arrête ces attaques dès le début.
Vous ne dépendez plus de la formation des utilisateurs ou des programmes antivirus locaux. Les appareils des utilisateurs pouvant avoir des programmes antivirus mal gérés, les réseaux d’entreprise ne peuvent pas compter sur les systèmes antimalware des utilisateurs pour détecter les ransomwares.
Avec les filtres de messagerie, l’utilisateur ne reçoit jamais le message, et le contrôle de la cybersécurité est rendu à l’organisation visée.
Les attaques DDoS sont toujours préoccupantes, mais les escrocs qui cherchent à faire chanter leurs cibles par des ransomwares se tourneront vers les organisations qui ne parviennent pas à stopper les messages électroniques malveillants
En éliminant la menace des ransomwares, une organisation réduit considérablement la probabilité d’être victime de chantage, d’extorsion et d’attaques DDoS.
Grâce à la cybersécurité des courriels, le personnel à domicile devient une menace moins importante pour l’organisation en raison du phishing, des malwares et d’autres menaces en ligne.
Une stratégie de sécurité à plusieurs niveaux est essentielle pour toutes les organisations afin de prévenir les attaques de ransomware et les violations de données.
Située en Colombie-Britannique (Canada), l’université Simon Fraser a informé son personnel et ses étudiants d’une cyberattaque qui a touché l’un de ses serveurs en février. Les données d’environ 200 000 personnes pourraient avoir été compromises à la suite de cette cyberattaque.
Si les données exposées en question ne contenaient pas d’informations financières ou d’informations d’assurance, elles comprenaient des numéros d’identification d’étudiants et d’employés ainsi que des informations concernant les admissions et les résultats scolaires.
Heureusement, le service informatique interne de l’université a découvert la brèche suffisamment tôt pour l’isoler rapidement, limitant ainsi la portée de l’attaque. Suite à cela, l’université a informé toutes les personnes susceptibles d’avoir été exposées à ce risque et leur a conseillé de surveiller leurs comptes personnels pour détecter toute activité inhabituelle.
Malheureusement, ce n’était pas la première fois que cette université était confrontée à ce type d’événement. Un an plus tôt, elle avait subi une attaque de grande envergure de type ransomware 2.0.
En utilisant une approche actualisée, les pirates derrière le ransomware ont pu exfiltrer les données de l’entreprise avant de les chiffrer.
Même si l’organisation victime parvient à remédier elle-même à l’attaque via le chiffrement préalable de ses données, les attaquants disposent d’une méthode d’extorsion de secours grâce à laquelle ils peuvent menacer de vendre ou de rendre publiques les données compromises.
Lors de l’attaque qui s’est produite un an plus tôt, les données de plus de 250 000 personnes ont été compromises. Les informations comprenaient non seulement des numéros d’identification, mais aussi des noms, des dates de naissance, des informations de contact et des données de formulaires web.
L’université a pu se remettre de l’attaque par chiffrement en un jour, bien qu’elle ait refusé de dire si elle avait payé la rançon ou non. Rappelons qu’avant cet incident, elle avait encore subi d’autres cyberattaques de moindre envergure.
D’autres universités complètement perturbées
L’université Simon Fraser est loin d’être le seul établissement d’enseignement à avoir été touchée par des cyberattaques. Le 13 mars, le South and City College de Birmingham, en Angleterre, a publié un tweet informant tout le monde qu’il avait été victime d’une importante attaque de ransomware qui avait entraîné l’arrêt complet de toutes ses opérations informatiques.
L’établissement a dû recourir à l’apprentissage en ligne pour répondre aux besoins de ses 13 000 étudiants. L’enseignement en classe a été rétabli la semaine suivante, une fois que toutes les infrastructures touchées ont été de nouveau fonctionnelles.
L’année dernière, l’université de Californie à San Francisco a dû payer une rançon de plus de 938 000 euros après que sa faculté de médecine a dû cesser ses activités à la suite d’une attaque de ransomware.
L’université avait connu plusieurs tentatives infructueuses auparavant avant d’être totalement perturbée par cet assaut. D’autres écoles ont subi des attaques similaires en 2020, notamment l’université d’État du Michigan et le Columbia College de Chicago.
Selon un rapport publié par la société de cybersécurité, BlueVoyant, les attaques de ransomware contre les établissements d’enseignement supérieur ont doublé entre 2019 et 2020. Un autre rapport a révélé qu’ils constituent la principale cible d’un certain nombre de groupes de ransomwares parce qu’ils sont très lucratifs.
Pourquoi les établissements d’enseignement supérieur sont-ils des cibles de choix pour les pirates informatiques ?
Même si les collèges et les universités ne sont pas les seuls à devoir faire face aux attaques de ransomware, ils constituent une cible parfaite pour les pirates informatiques.
Selon un article du Wall Street Journal, des pirates ont ciblé plus de 27 universités aux États-Unis, au Canada et en Asie du Sud-Est. Leur objectif est de voler des recherches sur les technologies maritimes afin de les utiliser à des fins militaires.
Le fait que les établissements d’enseignement supérieur abritent tant de recherches précieuses et confidentielles en fait une cible de choix pour les pirates informatiques parrainés par des États-nations. L’autre raison est l’importance des dépôts d’informations personnelles identifiables de vastes populations d’étudiants.
Les cybercriminels peuvent utiliser les antécédents de crédit récents des jeunes étudiants et les utiliser pendant des années. Les collèges et les universités sont également plus enclins à payer des rançons que d’autres types d’organisations, car ils souhaitent limiter au maximum les perturbations liées à l’enseignement.
Les établissements d’enseignement sont considérés comme des environnements riches en cibles pour les pirates, mais leur culture ouverte et le manque de contrôles de sécurité les rendent encore particulièrement vulnérables. Leurs investissements dans les mesures de cybersécurité sont inférieurs à ceux de la plupart des autres secteurs.
Il est extrêmement difficile de mettre en œuvre des mesures minimales de cybersécurité dans des environnements BYOD – une pratique permettant aux étudiants et employés d’utiliser leurs appareils informatiques personnels dans leur lieu de travail — à grande échelle.
Pour aggraver les choses, les grandes universités utilisent une structure organisationnelle décentralisée qui permet à chaque département interne de prendre ses propres décisions informatiques. Cela les empêche d’établir des pratiques de cybersécurité standard dans l’ensemble de l’organisation.
En outre, les jeunes sont moins expérimentés en matière d’attaques sur les médias sociaux, ce qui les rend plus sensibles aux techniques de piratage. Comme les populations étudiantes changent chaque année, la formation à la cybersécurité est extrêmement difficile.
Conclusion sur les universités et les cyberattaques
Il ne fait aucun doute que la tendance à la hausse des cyberattaques contre les collèges et les universités va se poursuivre. Par conséquent, ces institutions doivent faire de la cybersécurité une priorité dans un avenir proche.
Les collèges et universités ont l’obligation de protéger leurs étudiants et leur personnel des cyberattaques. Sur ce point, sachez que TitanHQ peut aider les professionnels du secteur de l’éducation à protéger leurs établissements avec une sécurité multicouche.
Contactez l’équipe TitanHQ pour savoir comment nous pouvons protéger votre école ou votre université dès aujourd’hui.
Les cybercriminels sont toujours à la recherche de moyens plus faciles de se faire un peu d’argent sur le dos des gens. De la même manière que les petits voleurs se tournent vers le vol à la tire dans les lieux touristiques bondés de voyageurs imprudents, ils ciblent les sites web qui attirent le plus d’utilisateurs peu méfiants.
L’un de ces sites est la plate-forme de chat Discord, très populaire auprès des aux joueurs de jeux vidéo en ligne, mais qui s’est également étendue à d’autres communautés. Elle permet aux utilisateurs d’interagir les uns avec les autres par le biais d’un large éventail de moyens tels que les appels vocaux, les appels vidéo ou les textos.
Le paradis perdu
Selon le magazine Forbes, Discord comptait 150 millions d’utilisateurs et sa valeur, estimée à 2 milliards de dollars en 2019, ne cesse d’augmenter. Forbes a révélé dans un article que des groupes Discord qui s’adonnaient à des activités cybercriminelles faisaient l’objet d’une enquête du FBI à l’époque.
La majeure partie de cette activité criminelle consistait en de petites escroqueries. Les cybercriminels utilisaient des chats en direct pour proposer des cartes-cadeaux à prix réduit ou des abonnements à vie à des Malware-as-a-Service (MaaS) – une version criminelle de Software as a service (SaaS) qui permet la location d’une application via Internet – pour une somme symbolique.
Dans d’autres cas, ils vendaient des cartes de paiement et des comptes PayPal volés. Certains de ces malfaiteurs ciblaient spécifiquement les enfants.
Alors qu’il était autrefois considéré comme un « paradis pour les joueurs », Discord semble être devenu un nouveau paradis pour la cybercriminalité, selon le magazine Cyware.
Le manque de supervision de Discord a des conséquences
L’une des caractéristiques et qui a rendu Discord si populaire auprès de ses utilisateurs est son accès ouvert et la flexibilité en matière de supervision. Mais ce manque de surveillance a un prix, car cela encourage la diffusion de contenus illicites et la cyberintimidation, tout en favorisant les comportements malveillants.
Le fait que les utilisateurs non inscrits puissent télécharger le contenu téléchargé rend difficile la recherche des responsables de la distribution de malwares ou de matériel illicite. Même si certaines personnes qualifient cela de liberté, d’autres le considèrent comme une pure erreur de gestion de la part de Discord.
Le CDN de Discord
Outre la compromission continue du service de chat Discord, la société de cybersécurité Zscaler a déclaré que les cybercriminels abusent du service cdn.discorapp.com pour diffuser des malwares. Zscaler a déclaré avoir capturé plus de 100 échantillons de codes malveillants uniques provenant de Discord sur une période de deux mois.
Les auteurs attirent d’abord l’intérêt des utilisateurs avec des emails de phishing qui encouragent le téléchargement de logiciels piratés ou d’applications de jeux.
Selon Bleeping Computer, les pirates profitent d’une vulnérabilité unique de Discord qui leur permet de supprimer un fichier malveillant après l’avoir téléchargé sur les serveurs de Discord, mais de le conserver dans le réseau de distribution de contenu (CDN) de la marque pour pouvoir le télécharger à nouveau.
Un large éventail de catégories de malwares, y compris des enregistreurs de frappe, sont facilement distribués à l’aide de ce CDN. Même si Discord avait émis des avertissements concernant certains téléchargements, des tests ont montré que de nombreux téléchargements malveillants connus n’étaient pas du tout signalés.
Webhook et ransomware dans Discord
Discord utilise une fonctionnalité appelée « Webhook ». Elle permet aux utilisateurs de poster un contenu via l’envoi d’un message même s’ils ne disposent pas de l’application Discord.
Bien que cette fonctionnalité ait ses mérites et son utilité, elle permet également aux pirates de sonder les sessions web et de voler des identifiants de connexion enregistrés dans certains des principaux navigateurs web, ainsi que les jetons d’utilisateur (token) de Discord.
TrendMicro a récemment découvert un nouveau ransomware qui utilise des webhooks comme plateforme de communication avec ses victimes. Une autre souche de ransomware appelée « Hog » présentait également une nouvelle tournure concernant le processus de déchiffrement.
Plutôt que d’émettre une clé, la machine de la victime n’est déchiffrée qu’une fois qu’elle a rejoint le serveur Discord. Une fois la machine connectée, l’utilisateur s’authentifie avec son jeton d’utilisateur qui fait office de clé intégrée à un malware.
Le remède aux cybermenaces liées à Discord
Alors comment empêcher vos utilisateurs de visiter un site tel que Discord ? La réponse est d’utiliser un filtrage DNS avancé et une solution de sécurité web telle que WebTitan.
Comme de nombreux filtres de sécurité web standard, vous pouvez créer des politiques qui refusent l’accès à des sites tels que Discord. Mais WebTitan va au-delà du simple filtrage d’URL.
Son service de détection des malwares surveille et identifie activement les menaces en temps réel, bloquant ainsi l’accès des utilisateurs aux sites hébergeant des malwares, des menaces de phishing, des virus, des ransomwares et aux sites qui renferment des contenus malveillants.
En outre, la solution antimalware de WebTitan permet de s’assurer que les codes malveillants ne s’échappent pas d’un serveur web compromis.
TitanHQ propose aussi SpamTitan, une solution de sécurité de la messagerie électronique capable de bloquer les emails de phishing qui pourraient diriger les utilisateurs finaux vers Discord.
Le fait est qu’il existe de nombreux endroits périlleux sur Internet, et qu’il en existera probablement toujours. Mais si vous utilisez la combinaison de WebTitan et de SpamTitan, vous n’aurez plus à vous soucier de ces zones précaires.
Voulez-vous savoir comment protéger vos employés pour qu’ils n’atterrissent pas dans des endroits précaires comme Discord, quel que soit leur emplacement ? Contactez l’un de nos experts dès aujourd’hui.
