6 défis actuels de la cybersécurité dans les établissements scolaires

6 défis actuels de la cybersécurité dans les établissements scolaires

Les systèmes scolaires sont censés être des environnements sûrs où les enfants peuvent venir apprendre.  Malheureusement, les cybercriminels ont autre chose à dire à ce sujet. Actuellement, un district scolaire américain est victime d’une cyberattaque presque tous les trois jours.  Dans un rapport publié par Malwarebytes, « 2019 State of Malware », l’éducation, la fabrication et la vente au détail étaient les principales industries touchées par les chevaux de Troie.

L’éducation était en fait l’une des principaux secteurs les plus touchées par Emotet, le cheval de Troie le plus répandu et le plus insaisissable.  Selon le fournisseur de pare-feu, Fortinet, l’éducation est aussi le secteur le plus ciblé par les demandeurs de rançon. 13 % des établissements d’enseignement ont subi des attaques de ransomwares à un moment donné.

Comment se fait-il que les systèmes scolaires soient exploités si facilement et si fréquemment ?  Le fait est que les établissements scolaires de la maternelle à la terminale sont actuellement confrontés à des défis de taille.  Voici quelques-uns des principaux défis auxquels les systèmes scolaires sont confrontés.

Les établissements scolaires ne sont pas assez réactifs face à l’explosion des cybermenaces

La mission des établissements scolaires est d’éduquer les enfants. L’objectif du département informatique des établissements scolaires est de soutenir la technologie sur laquelle les enseignants comptent. Traditionnellement, cela signifie qu’il faut déployer et soutenir des dispositifs informatiques pour le personnel et les élèves et s’assurer que les projecteurs de classe fonctionnent correctement.

Ce n’est pas une seconde nature pour le personnel des établissements scolaires de commencer sa journée à rechercher les menaces à la sécurité. Ce n’est pas une mauvaise chose.  Cela s’explique en grande partie par le fait que l’accent est mis sur l’éducation des enfants. Une enquête publiée par la National School Boards Association a révélé que les responsables scolaires sont moins préparés aux cyberattaques que leurs pairs des entreprises du secteur privé.

Dans une enquête récente sur les CTO K12, plus de 70 pour cent ne considèrent pas les cyberattaques telles que les atteintes à la protection des données, les logiciels de rançon ou les attaques par déni de service comme des menaces graves.  Les bonnes nouvelles de la même étude ont toutefois montré que plus de la moitié d’entre eux considèrent maintenant les escroqueries de phishing comme un problème important et que l’accent est mis sur la sécurité du courrier électronique.

Contraintes budgétaires en matière de technologie de l’information

Selon le Consortium for School Networking (CoSN), la principale barrière pour 6 des 7 dernières années est la contrainte budgétaire. Bien que toutes les entreprises et organisations aient des budgets qu’elles doivent respecter, les budgets sont beaucoup plus restreints que ceux du secteur privé. C’est parce que les budgets sont fondés sur des estimations des recettes fiscales. Il n’y a pas de caisse noire importante sur laquelle se tourner pour acheter un système de sécurité imprévu au besoin. De plus, les recettes fiscales fluctuent en fonction des cycles économiques de la région. En période de prospérité économique, les districts peuvent profiter d’importantes rentrées fiscales et maximiser leurs achats d’appareils et de technologies éducatives. Puis, lorsqu’un ralentissement économique se produit, l’argent nécessaire pour sécuriser et entretenir correctement ces appareils n’est pas disponible. La technologie qui n’appuie pas l’enseignement est souvent mise en veilleuse jusqu’à ce que les temps s’améliorent.

Insuffisance du personnel informatique et de sécurité de l’information

Soyons réalistes, la plupart des districts scolaires n’ont pas le personnel nécessaire pour protéger suffisamment leurs grands réseaux.  Cela s’explique en grande partie par des contraintes budgétaires.  Il est déjà assez difficile pour les grands districts métropolitains d’obtenir le personnel dont ils ont besoin, alors que certains districts ruraux doivent compter sur le personnel à temps plein qui connaît le mieux la technologie.  Quand il s’agit de cybersécurité, c’est encore pire.  Selon une enquête CoSN de l’année dernière, seulement 25 % des établissements scolaires ont un membre du personnel à plein temps dédié à la sécurité des réseaux.  Dans les écoles rurales, ce chiffre tombe à seulement 8 %.

Shadow IT

Le Shadow IT est un problème pour tous les types d’organisations en raison de la consumérisation de l’informatique.  Il n’est pas rare que les administrateurs scolaires ou les enseignants fassent des achats de technologie sans le consentement ou même sans que le département de technologie du système en soit informé.  Dans ces cas, les équipements et les logiciels sont achetés avec peu ou pas d’égard pour la cybersécurité.  Certains enseignants apportent leur propre équipement technologique personnel, comme des imprimantes, des appareils informatiques et des points d’accès WiFi.  Parce que ces appareils ne sont pas prêts pour l’entreprise, ils n’ont souvent pas les normes de sécurité requises pour les réseaux qui sont activement ciblés par les cybercriminels.  Naturellement, il est impossible pour le personnel technologique interne de protéger ce qu’il ne connaît pas.

Infrastructure patrimoniale

Là encore, en raison de contraintes budgétaires, de nombreux systèmes scolaires ne disposent pas des technologies les plus récentes.  Il n’est pas rare de trouver des appareils de classe utilisant des systèmes d’exploitation obsolètes tels que Windows XP ou des logiciels qui ne sont plus supportés du tout.  Ces dispositifs ne sont pas corrigés lorsque des vulnérabilités sont découvertes.  Les serveurs et les périphériques réseau obsolètes tels que les routeurs et les pare-feu sont souvent en proie à des protocoles de sécurité obsolètes qui offrent une protection minimale sinon nulle.

Manque de sensibilisation et de formation en matière de sécurité

Pour beaucoup d’enseignants, il n’y a pas assez de temps dans la journée.  Les enseignants et le personnel doivent déjà jongler avec leur temps pour le personnel professionnel et la formation pédagogique.  Le personnel informatique est surchargé dans tout le district et soutient tout le monde et leurs appareils.  Et puis, bien sûr, il y a les étudiants.  Étant donné qu’un si grand nombre de districts mettent maintenant en œuvre des programmes d’appareils individuels, les jeunes élèves des écoles intermédiaires et élémentaires utilisent des ordinateurs.  Bien sûr, personne ne peut s’attendre à ce qu’ils pratiquent une bonne cyberhygiène à un si jeune âge.  Tout cela rend la formation des utilisateurs pour qu’ils soient conscients de la sécurité extrêmement difficile.

Partout aux États-Unis, les districts K12 se démènent pour se protéger contre les cyberattaques, qui prennent la forme de courriels hameçons, de logiciels malveillants et d’atteintes à la protection des données. En fin de compte, ce sont tous des défis, et les défis ne sont pas des limites permanentes. Être prêt à faire face à ces menaces comprend l’élaboration et la promotion de politiques sur l’utilisation responsable, le stockage sécurisé des données, la mise en œuvre d’une sécurité et de sauvegardes complètes par couches du courrier électronique et du Web. Les défis peuvent être surmontés et les districts commencent à trouver des moyens d’accomplir le travail, malgré les épreuves et les circonstances uniques que d’autres types d’organisations n’ont pas à endurer.

Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’école, des élèves et du personnel sont protégés ?  Parlez à un spécialiste ou envoyez-nous un courriel à info@titanhq.fr pour toute question.

Le Business Email Compromise est maintenant la principale menace financière de cybersécurité

Le Business Email Compromise est maintenant la principale menace financière de cybersécurité

Les escroqueries liées à la compromission des e-mails d’affaires (BEC – Business Email Compromise) sont maintenant la principale cause des pertes financières liées aux cyberattaques. Des milliards sont perdus chaque année et on prévoit que le nombre d’attaques et de pertes continuera d’augmenter.

Environ 1 % du PIB mondial est perdu chaque année à cause de la cybercriminalité et ce chiffre augmente rapidement. Actuellement, environ 600 milliards de dollars sont perdus chaque année à cause des attaques cybercriminelles. Un rapport publié par le bureau du département du Trésor des États-Unis, Financial Crimes Enforcement Network ou FinCEN, le juillet 2018 montre que les déclarations d’activités suspectes (DAS) sont passées de plus de 98 millions d’euros par mois en 2016 à plus de 270 millions d’euros par mois en 2018. Cybersecurity Ventures prévoit que les pertes mondiales atteindront près de 5,4 milliards de dollars en 2021. Selon le FBI, plus d’un milliard d’euros ont été perdus aux États-Unis en 2018 à cause d’escroqueries liées à la compromission des emails professionnels.

Les emails de Business Email Compromise impliquent l’usurpation de l’identité d’un cadre supérieur ou d’une autre personne, dont le compte e-mail compromis est utilisé pour envoyer des demandes frauduleuses de virement électronique. Une autre variante vise à usurper l’identité d’un associé de l’entreprise et les demandes envoyées exigent des rançons qui doivent être d’être payés. Cette dernière est maintenant plus fréquente que les attaques qui usurpent l’identité du PDG.

Les attaques BEC commencent généralement par une attaque de spear phishing dont le but est d’obtenir des informations d’identification de compte de messagerie. Une fois les informations d’identification compromises, le compte est utilisé pour envoyer des messages à d’autres personnes de l’organisation, telles que les employés du service de la paie, le personnel des ressources humaines ou de la finance. Comme les e-mails semblent provenir d’une source fiable au sein de l’organisation et les demandes de virement bancaire ne sont pas inhabituelles, le paiement est souvent effectué.

Une attaque réussie peut entrainer des virements bancaires importants effectués sur des comptes contrôlés par les attaquants. Les paiements s’élèvent souvent à des dizaines de milliers d’euros ou, dans certains cas, à plusieurs millions d’euros. Une attaque récente contre une filiale du constructeur automobile Toyota Boshoku Corporation a donné lieu à un transfert frauduleux de plus de 33 millions d’euros aux agresseurs.

Bien que cet incident se distingue des autres par l’ampleur de la perte d’argent causée, les transferts frauduleux de millions d’euros sont loin d’être inhabituels. Dans de nombreux cas, seul un faible pourcentage des fonds transférés est recouvré. Comme ces attaques peuvent être extrêmement rentables, il n’est pas surprenant que tant de cybercriminels le fassent.

Un nouveau rapport de l’assureur AIG montre que les attaques BEC sont maintenant la principale raison des réclamations d’assurance liées à la cybersécurité, ayant dépassé pour la première fois les attaques de ransomwares. 23 % de toutes les réclamations liées aux cyberattaques sont dues à des escroqueries de la BEC.

Dans la plupart des cas, ces attaques BEC peuvent être évitées grâce à des mesures de cybersécurité de base. AIG attribue l’augmentation des réclamations à de mauvaises mesures de sécurité dans les organisations ciblées. Les enquêtes ont révélé de nombreuses défaillances de base en matière de cybersécurité, comme le fait de ne pas offrir de formation de sensibilisation à la sécurité aux employés, le fait de ne pas imposer l’utilisation de mots de passe forts, l’absence d’authentification multifactorielle et la faiblesse des contrôles de sécurité de la messagerie.

Si les entreprises ne parviennent pas à mettre en œuvre ces mesures de cybersécurité de base, les attaques sont inévitables. Les polices d’assurance peuvent couvrir une partie des pertes, mais de nombreuses PME ne seront pas en mesure de faire une réclamation. Pour eux, les attaques BEC peuvent être catastrophiques.

Si vous dirigez une entreprise et que vous vous inquiétez de vos défenses contre le phishing, le spear phishing et les attaques BEC, contactez TitanHQ. Nous nous ferons un plaisir de vous faire découvrir nos solutions de sécurité web qui peuvent bloquer les attaques BEC.

Entreprises, méfiez-vous ! L’Emotet Botnet est de retour pour se venger !

Entreprises, méfiez-vous ! L’Emotet Botnet est de retour pour se venger !

Après un été tranquille, le botnet Emotet est de retour. Les acteurs de la menace derrière Emotet envoient des centaines de milliers de spams malveillants qui diffusent le cheval de Troie Emotet via des documents Word.

Emotet est apparu pour la première fois en 2014. Initialement, ce botnet était considéré comme un cheval de Troie bancaire utilisé pour obtenir des informations d’identification sur les comptes bancaires en ligne. Les justificatifs d’identité volés sont utilisés pour effectuer des virements télégraphiques frauduleux et pour vider les comptes bancaires des entreprises. Au fil des ans, le cheval de Troie a considérablement évolué. De nouveaux modules ont été ajoutés pour donner au malware une multitude de fonctionnalités. Emotet est également polymorphe, ce qui signifie qu’il peut muter à chaque fois qu’il est téléchargé pour éviter d’être détecté par les solutions antimalware basées sur des signatures. Jusqu’au début de 2019, plus de 750 variantes d’Emotet ont été détectées.

La dernière version d’Emotet est capable de voler les informations bancaires et d’autres types de données. Il est également capable de télécharger des malwares, et c’est pour cela que les chercheurs en matière de sécurité l’appellent « malware à triple menace », étant donné qu’il a été utilisé récemment pour télécharger les ransomwares TrickBot, Trojan et Ryuk. Ces trois malwares et l’ampleur de la menace font d’Emotet l’un des vecteurs d’attaques cybercriminelles les plus dangereuses auxquelles doivent faire face les entreprises. C’est sans doute le botnet le plus destructeur jamais vu.

L’été dernier, l’activité d’Emotet était si intense et la menace si grave que le ministère de la Sécurité intérieure américain a lancé une alerte à destination de toutes les entreprises en juillet 2018 pour les prévenir de la menace.

Cette mise en garde a été reprise par le National Cyber Security Center du Royaume-Uni, qui a publié sa propre mise en garde contre ce malware en septembre 2018. L’activité est restée élevée pendant une bonne partie de l’année 2019, mais s’est soudainement arrêtée au début du mois de juin lorsque l’activité du serveur de commandement et de contrôle est tombée à presque rien.

L’interruption de l’activité n’a été que brève. Les chercheurs de Cofense Labs ont découvert que ses serveurs de commande et de contrôle avaient été réactivés fin août et qu’une campagne massive de spamming avait débuté le 16 septembre en Allemagne. La campagne était initialement axée sur les entreprises aux États-Unis, en Allemagne et au Royaume-Uni, mais elle s’est maintenant étendue à l’Autriche, l’Italie, la Pologne, l’Espagne et la Suisse.

Après avoir été téléchargé, Emotet se propage latéralement et infecte autant d’appareils que possible sur le réseau. Les comptes de messagerie sur les machines infectées sont détournés et utilisés pour envoyer d’autres spams à tous les contacts du compte. Enfin, le module de téléchargement de logiciels malveillants est utilisé dans une variante secondaire et souvent tertiaire des logiciels malveillants.

La dernière campagne utilise des documents Word contenant des macros malveillantes, qui lancent des scripts PowerShell et qui récupèrent le cheval de Troie Emotet sur une variété de sites web compromis, dont la plupart utilisent le CMS WordPress.

La campagne utilise une variété de leurres, y compris des factures, des avis de paiement et des relevés, dont les détails sont contenus dans des documents Word qui exigent que le contenu soit activé pour voir le contenu du document.

En ouvrant le document, l’utilisateur est invité à accepter le contrat de licence Office 365. Si le contenu n’est pas activé, selon le document, les fonctions de Microsoft Word seront désactivées.

Cette campagne comprend des lignes d’objet personnalisées incluant le nom du destinataire afin d’augmenter la probabilité qu’un utilisateur prenne l’action demandée. Les e-mails sont également conçus pour faire croire au destinataire qu’il a déjà communiqué avec l’expéditeur. En réalité, environ un quart des attaques utilisent ce genre d’arnaque. Selon les données fournies par Cofense, des courriels ont été envoyés à partir de 3 362 comptes de messagerie piratés, utilisant 1 875 noms de domaine.

Pour le moment, on ne sait pas encore si des logiciels de ransomware Ryuk ont été distribués dans le cadre de cette campagne. Plusieurs chercheurs ont confirmé que TrickBot est téléchargé en tant que charge utile secondaire.

Pour bloquer les attaques de malwares polymorphes, vous pouvez mettre en œuvre des mesures de sécurité multicouches, y compris une solution avancée de filtrage de spams, un logiciel antivirus et un filtre web. Vous devez également vous assurer que vos employés sont informés des éventuelles menaces cybercriminelles et des e-mails qui sont utilisés pour distribuer des chevaux de Troie.

Une attaque de ransomware force un fournisseur de soins de santé à déclarer faillite

Une attaque de ransomware force un fournisseur de soins de santé à déclarer faillite

Les dangers des attaques de ransomware ont été démontrés lorsque plus de 5 000 patients en Californie ont définitivement perdu leurs dossiers médicaux stockés dans un établissement de soins de santé à la suite d’une attaque de ransomware.

Wood Ranch Medical de Simi Valley, en Californie, a subi l’attaque le 10 août 2019. Des ransomwares ont été déployés et exécutés sur ses serveurs, contenant les dossiers médicaux de 5 835 patients. L’attaque a causé des dommages permanents aux systèmes informatiques, et comme les copies de sauvegarde des dossiers des patients étaient également chiffrées, ils ont été définitivement perdus. On ne connait pas le montant exigé par les pirates pour qu’ils fournissent les clés de déchiffrement au cas où la rançon aurait été payée.

Sans les dossiers des patients et à cause du fait que l’organisation devait reconstruire totalement sa pratique médicale à partir de zéro, la décision a été prise de fermer définitivement l’établissement. Les patients ont été forcés de trouver d’autres prestataires de soins de santé et n’ont plus accès à leur dossier médical.

Il s’agit du deuxième fournisseur de soins de santé aux États-Unis qui a été forcé de fermer ses portes en raison d’une attaque de ransomware. Le Brookside ENT and Hearing Center de Battle Creek, au Michigan, a également fermé son cabinet cette année à la suite d’une attaque similaire. Dans cette affaire, les propriétaires de l’établissement ont refusé de payer la rançon, et les dossiers des patients étaient restés chiffrés. Ils ont été conscients qu’il n’était pas possible de reconstruire le cabinet à partir de zéro et ont annoncé leur retraite anticipée.

On ne sait pas exactement comment le ransomware a été installé dans chacun de ces incidents. Il n’est donc pas possible de déterminer les mesures qui auraient dû être mises en œuvre et améliorées pour prévenir les attaques. Toutefois, dans les deux cas, la récupération des fichiers à partir des sauvegardes n’était pas possible.

Le but d’une sauvegarde est de s’assurer qu’en cas de problème, les données seront récupérables. La récupération des fichiers peut prendre beaucoup de temps et nécessiter des temps d’arrêt en raison de l’attaque qui risque d’être coûteuse, mais les données ne seront pas perdues définitivement.

Afin de s’assurer que la récupération des fichiers est possible, les sauvegardes doivent être testées. Les fichiers peuvent être corrompus pendant le processus de sauvegarde et la restauration des données peut ne pas être possible. Si les sauvegardes ne sont pas testées pour s’assurer que les fichiers peuvent être restaurés, il ne sera pas possible de garantir leur restauration en cas de sinistre.

Ces incidents mettent également en lumière une autre règle fondamentale de la sauvegarde. En fait, il ne faut jamais stocker une seule copie de sauvegarde sur un ordinateur en réseau ou connecté à Internet.

En cas d’attaque de ransomwares, il est fort probable que les copies de sauvegarde sur les périphériques en réseau seront chiffrées et le seul moyen de les récupérer est de payer la rançon.

Là encore, il n’est pas certain que le paiement d’une rançon offre une garantie que les données seront récupérées. Les fichiers peuvent être corrompus par le processus de chiffrement/déchiffrement et les attaquants peuvent décider de ne pas fournir tout simplement les clés pour déchiffrer les fichiers.

Une bonne alternative que vous pouvez adopter pour prévenir de telles catastrophes est d’adopter la règle de sauvegarde 3-2-1. Cela signifie que 3 sauvegardes doivent être créées et être stockées sur 2 supports différents, avec 1 copie gardée en toute sécurité hors site sur un appareil qui n’est pas en réseau ou connecté à Internet.

L’activité des kits d’exploitation a triplé en un an. Votre entreprise est-elle protégée ?

L’activité des kits d’exploitation a triplé en un an. Votre entreprise est-elle protégée ?

L’activité des kits d’exploitation a été inférieure à celle de 2016 lorsque le pic d’activité a été atteint, mais la menace n’a pas disparu. En fait, le rapport semestriel de Trend Micro sur la cybersécurité montre que l’activité des kits d’exploitation est trois fois plus importante, comparée à celle de mi-2018. Les sites web hébergeant des kits d’exploitation représentent toujours une menace importante pour les entreprises.

Les kits d’exploitation sont des boîtes à outils contenant des exploits qui tirent parti des vulnérabilités des applications logicielles populaires, comme Internet Explorer et Adobe Flash Player. Lorsqu’un utilisateur atterrit sur une page web qui héberge un kit d’exploitation, il analyse le navigateur de l’utilisateur à la recherche de vulnérabilités. Si une faille est identifiée, un malware est automatiquement téléchargé et exécuté sur l’appareil de l’utilisateur. Dans de nombreux cas, l’utilisateur ne sait pas qu’il télécharge un Cheval de Troie, un ransomware ou un malware.

Le trafic est envoyé pour exploiter les vulnérabilités par le biais d’une publicité malveillante (malvertising) sur des sites web à fort trafic. Les utilisateurs peuvent être dirigés vers des sites web malveillants par le biais des e-mails de phishing. Il est également courant pour les cybercriminels de pirater les sites web à fort trafic et de les utiliser pour héberger leur kit d’exploitation. Autrement dit, les utilisateurs peuvent donc visiter un site web malveillant en naviguant tout simplement sur le web.

Il existe actuellement plusieurs kits d’exploitation tels que Magnitude, Underminer, Fallout, GreenFlash Sundown, Rig, GrandSoft, et Lord. Bien que les ransomwares et les chevaux de Troie bancaires soient les charges utiles les plus connues, ces kits d’exploitations peuvent aussi être utilisés pour lancer des mineurs de cryptomonnaies (variantes de malwares) et des chargeurs de botnet.

De nombreux kits d’exploitation ciblent les anciennes vulnérabilités, mais comme les entreprises sont souvent lentes à appliquer les correctifs nécessaires, ils représentent toujours une menace majeure. Les kits d’exploitation tels que GrandSoft et Rig sont régulièrement mis à jour et peuvent désormais tirer parti des vulnérabilités récentes.

Dans l’une des campagnes les plus récemment identifiées, les acteurs de la menace Nemty Ransomware se sont associés aux opérateurs de RIG pour lancer des ransomwares contre les entreprises qui utilisent encore des versions anciennes et vulnérables d’Internet Explorer.

Par ailleurs, un nouveau kit d’exploitation appelé Lord a été utilisé pour infecter les appareils des utilisateurs avec le ransomware Eris. Pour ce cas précis, le trafic était dirigé vers le kit d’exploitation par le biais des publicités malveillantes sur le réseau publicitaire PopCash. Le kit d’exploitation a été principalement utilisé pour exploiter les failles dans Adobe Flash Player, comme CVE-2018-15982.

La protection contre les kits d’exploitation est simple sur le papier. Il suffit de corriger rapidement les vulnérabilités identifiées. D’une manière générale, s’il n’y a aucune vulnérabilité à exploiter, aucun malware ne peut être téléchargé. Malheureusement, dans la pratique, les choses ne sont pas aussi simples. De nombreuses entreprises tardent à appliquer les correctifs ou ne le font pas sur tous les périphériques qu’elles utilisent.

Les logiciels antispam peuvent aider à réduire les risques en bloquant les e-mails de phishing contenant des liens qui redirigent les utilisateurs vers des sites hébergeant des kits d’exploitation. Pourtant, la majeure partie du trafic provient des moteurs de recherche et des publicités malveillantes, et les logiciels antispam ne peuvent pas les bloquer. Pour améliorer vos défenses contre les kits d’exploitation, les téléchargements par drive-by et les sites de phishing, l’une des meilleures solutions est de mettre en place système de filtrage DNS.

Un filtre DNS permet aux entreprises de contrôler soigneusement les sites web auxquels les employés peuvent accéder lorsqu’ils sont connectés aux réseaux filaires et sans fil de l’entreprise. Il peut être configuré pour bloquer différents types de contenu web tels que les jeux de hasard et les sites web pour adultes. Le fait est qu’il bloque aussi tous les sites web malveillants connus. Pour ce faire, le filtre DNS utilise des listes noires de sites web malveillants connus comme ceux qui hébergent des kits d’exploitation ou des formulaires de phishing. Si un site ou une page web est inclus dans la liste noire, il sera automatiquement bloqué. De plus, le filtre DNS peut analyser en temps réel les sites web pour détecter les contenus malveillants.

Comme le filtrage se fait au niveau du DNS, l’accès aux contenus malveillants ou indésirables est bloqué sans qu’aucun contenu ne soit téléchargé. La mise en place de cette solution est rapide et facile, car il suffit de modifier l’enregistrement DNS pour le diriger vers le fournisseur de services. Aucun matériel supplémentaire n’est donc requis, ni le téléchargement d’un logiciel.

Vous souhaitez améliorer vos défenses contre les logiciels malveillants, les ransomwares, les botnets et le phishing, et vous ne contrôlez pas encore le contenu web auquel vos employés peuvent accéder ? Contactez dès maintenant TitanHQ pour demander des informations sur WebTitan. Bien entendu, vous pouvez aussi vous inscrire pour un essai gratuit de cette solution.

Les cyberattaques contre les écoles s’intensifient

Les cyberattaques contre les écoles s’intensifient

Vous savez peut-être déjà que les demandes de rançon et leur impact dévastateur sur les organisations sont toujours en hausse. Mais ce que vous ne savez peut-être pas, c’est que les attaquants se sont récemment concentrés sur les établissements scolaires de la maternelle à la terminale.

Au cours des dernières années, certains établissements scolaires et hospitaliers ont été forcés de payer la rançon lorsque les ransomwares ont infesté leurs réseaux. Alors que les hôpitaux étaient la cible d’attaques il y a des années, les agresseurs se sont tournés vers le système scolaire.

Incidents récents liés à la cybersécurité dans les établissements scolaires

L’établissement scolaire Flagstaff Unified School District a été récemment victime d’attaques de rançon. Peu de temps après, les cybercriminels se sont acharnés sur les établissements scolaires du Connecticut. Les attaques qui ont été menées dans le Connecticut ont été signalées comme étant deux attaques distinctes sur une période de quatre mois. Les écoles touchées par des ransomwares ont été mal équipées pour faire face aux attaques, et les élèves ont dû être renvoyés chez eux. Non seulement ces attaques ont affecté les horaires habituels de classe, mais elles ont aussi menacé de détruire des données critiques concernant les élèves et les enseignants.

Les établissements scolaires sont les organisations sur lesquelles les pirates informatiques se sont récemment concentrés. Au cours des dernières années, les chercheurs en cybersécurité ont constaté une augmentation des attaques de ransomwares. De nombreuses entités gouvernementales sont également mal formées concernant les risques lorsqu’ils sont victimes d’un e-mail de phishing.

Les employés des établissements scolaires disposent généralement des bases de données centralisées qui pourraient aussi être mal sécurisées. Le problème est que les ransomwares peuvent chiffrer n’importe quoi à partir de ces données, y compris les e-mails, les fichiers et d’autres informations contenues dans des répertoires partagés.

Lorsque les données sont chiffrées par des logiciels malveillants, cela entraîne des temps d’arrêt critiques pour n’importe quelle organisation et les entités gouvernementales. À cause de cela, les enseignants ne peuvent pas accéder à des informations sensibles et les notes des élèves ne peuvent pas être enregistrées. Il est également possible que les systèmes de paiement ne fonctionnent plus et l’organisation doit accepter de l’argent en utilisant des paiements par chèque. Par ailleurs, les élèves ne peuvent pas vérifier leurs notes, s’inscrire en classe ou communiquer avec les enseignants. Bref, lorsqu’elles sont victimes d’une grave attaque de ransomwares, les organisations ne peuvent plus fonctionner.

Qu’est ce qui motive les cybercriminels à lancer des attaques contre les établissements scolaires ?

Dans la plupart des attaques, les cybercriminels ont deux motifs, soit de voler des données ou de les chiffrer dans le but de gagner de l’argent contre une rançon.

En réalité, les données volées peuvent être utilisées à plusieurs fins. La première est de les vendre sur le Dark Web. Les numéros de sécurité sociale des étudiants sont précieux, alors un pirate informatique peut les collecter pour ensuite les vendre. Il peut également conserver les données et les utiliser pour d’autres attaques telles que le phishing. Si des informations d’identification sont incluses dans les données volées, les attaquants pourraient lancer des attaques sur d’autres comptes et réaliser un gain monétaire non négligeable.

Le deuxième objectif est de faire de l’argent avec la rançon. Plusieurs organisations ont déjà dû payer des milliers de dollars en utilisant la cryptomonnaie comme moyen de cacher leur identité afin que les forces de l’ordre ne puissent retracer les transactions jusqu’à l’agresseur. L’utilisation de la cryptomonnaie avec les ransomwares rend le suivi presque impossible. Mais la question est de savoir pourquoi les organisations choisissent parfois de payer la rançon plutôt que de trouver d’autres moyens de récupérer leurs données.

Les entreprises qui disposent des budgets suffisants ont la possibilité de former leurs employés quant aux dangers que représentent les attaques de phishing et de malwares. Les établissements scolaires ne disposent pas assez de financement, de sorte que les cybercriminels peuvent supposer qu’aucun budget n’a été alloué à la formation en cybersécurité.

Comment se protéger contre les ransomwares ?

Les attaques de ransomwares commencent principalement par le phishing. Les cybercriminels usurpent les adresses d’expéditeurs d’e-mails, en ciblant des destinataires ayant des privilèges élevés. Même les utilisateurs peu privilégiés peuvent être choisis comme des cibles potentielles lorsque l’objectif principal est de chiffrer des fichiers pour gagner de l’argent. Des pièces jointes et des liens pointant vers des sites malveillants peuvent être utilisés pour inciter les utilisateurs à télécharger le malware.

Les attaques peuvent être multiformes, car le contenu malveillant peut télécharger des malwares supplémentaires et donner aux attaquants le contrôle à distance de vos infrastructures. Pour lutter contre les attaques de phishing, il existe deux solutions.

La première solution consiste à utiliser de filtres intelligents basés sur l’intelligence artificielle. Ces filtres utilisent une combinaison de paramètres de sécurité de messagerie standard (appelés DMARC) et d’intelligence artificielle pour identifier les e-mails malveillants. Les messages sont mis en quarantaine où les administrateurs peuvent les examiner dans le but de rechercher les malwares et les supprimer du réseau ou (dans le cas d’un faux positif) les envoyer au destinataire prévu.

Comme alternative, vous pouvez aussi mettre en place un système de filtrage de contenu basé sur le DNS. Ce système de cybersécurité bloque l’accès aux adresses IP reconnues pour distribuer des malwares ou pour mener des attaques de phishing. Si un employé reçoit un e-mail contenant un lien malveillant, le système de filtrage de contenu basé sur le DNS empêche le destinataire d’accéder au site web malveillant.

En utilisant à la fois le filtrage de contenu basé sur le DNS et les systèmes de sécurisation des e-mails, une organisation peut réduire considérablement les cybercriminalités. Les organisations doivent réagir avant les attaques cybercriminelles. Au lieu de cela, elles devraient être proactives et mettre en œuvre des solutions qui luttent contre les ransomwares et les malwares.

Si vous êtes un professionnel de l’informatique travaillant dans le secteur de l’éducation, contactez-nous et un ingénieur chevronné examinera vos besoins et vous fournira des conseils pratiques pour sécuriser votre organisation. Tous nos clients bénéficient d’un support technique gratuit pendant la période d’essai de notre logiciel de sécurisation de données.