Une attaque contre un service satellite ukrainien a laissé le reste du monde anxieux face à de futures attaques. En février et mars, le réseau satellitaire ukrainien KA-SAT Viasat a été victime d'une attaque russe présumée, ajoutant à la guerre terrestre en cours. L'incident a entraîné une interruption de la connectivité, provoquant une période de perturbation pour les clients et les services. Maintenant, les États-Unis ont averti les fournisseurs de satellites du monde entier d'être en alerte. En raison du succès de l'attaque - et du potentiel de perturbation généralisée - un conseil consultatif CISA-FBI a recommandé que les équipes de sécurité renforcent les défenses dans la mesure du possible. Le conseil a également indiqué que les attaques contre les satellites d'infrastructures critiques étaient encore plus probables.
Fin mars, fin mars, le tristement célèbre groupe de piratage Lapsus$ a publié un certain nombre de messages inquiétants en ligne. Dans une série de messages, le groupe a affirmé avoir obtenu le code source Microsoft de Bing Maps, du moteur de recherche Bing et de Cortana. Il a également publié la preuve qu'il avait pris le contrôle d'un compte administrateur chez Okta, un fournisseur d'authentification réseau. Okta fournit des services à des dizaines de milliers d'entreprises, dont FedEx et certains conseils locaux. Finalement, il a été révélé que Lapsus$ avait eu accès via le compte d'un seul employé d'un sous-traitant d'Okta avec des privilèges d'administrateur élevés. L'attaque est un autre exemple dans l'accès à la chaîne d'approvisionnement des logiciels prouvant une faille de sécurité critique.
Un autre groupe de piratage établi, FIN7, a commencé à attaquer les logiciels de chaîne d'approvisionnement par le biais de mots de passe réutilisés, selon des recherches récentes . FIN7 a acquis une notoriété dans les années 2010 pour les appareils de point de vente d'attaque avec des logiciels malveillants de vol de carte de crédit. Cependant, ils ont maintenant commencé à cibler la chaîne d'approvisionnement - suivant le modèle établi par de nombreux autres groupes de piratage. Cela montre que FIN7 peut désormais donner la priorité aux ransomwares comme principale source de monétisation. La recherche a révélé que la principale méthode d'entrée de FIN7 dans les systèmes visait la réutilisation du mot de passe, en se connectant au compte d'un employé une fois qu'il avait obtenu le mot de passe réutilisé. Une fois à l'intérieur du système, ils ont alors pu mener leurs nouvelles attaques.
Les cabinets d'avocats de la ville de Londres ont été placés en alerte rouge pour les cyberattaques. Selon de récents avertissements, les entreprises de la ville pourraient être ciblées en raison de la situation actuelle en Ukraine. Et, avec des perturbations aussi médiatisées et des rançons lucratives tentant les attaquants, les cabinets d'avocats pourraient devenir un nouvel objectif favori. Les cabinets d'avocats sont également des cibles faciles en raison des données client incroyablement sensibles stockées sur leurs serveurs. Si une violation devait se produire, non seulement les cabinets d'avocats enfreindraient le RGPD et les lois sur la protection des données, mais ils pourraient également enfreindre le privilège client-avocat. Une attaque récente contre le groupe Ince, un cabinet d'avocats basé à Londres, a marqué le début des difficultés auxquelles les entreprises de la ville pourraient être confrontées si les attaques prévues se produisaient.
Une nouvelle technique de phishing appelée attaque par navigateur dans le navigateur (BitB) a été découverte par un chercheur d’Infosec à la mi-mars. Elle utilise des fenêtres de navigateur simulées et d’autres fournisseurs de services d’authentification pour voler les informations de connexion.
Les attaques BitB agissent comme une extension des détournements de clic existants ou de l’altération de l’interface utilisateur qui modifie l’apparence des navigateurs et des pages Web pour inciter les utilisateurs à contourner les contrôles de sécurité. Avec cette technique, une réplique entièrement fabriquée est créée - un utilisateur pense qu’il voit la vraie fenêtre contextuelle, mais elle est simplement falsifiée dans la page.
« Très peu de gens remarqueraient les légères différences entre les deux », selon le rapport. « Une fois qu’il a atterri sur le site Web appartenant à l’attaquant, l’utilisateur sera à l’aise lorsqu’il tapera ses informations d’identification sur ce qui semble être le site Web légitime. »
Julia O’Toole, fondatrice et PDG de MyCena Security Solutions, affirme que les entreprises devraient éliminer le danger présenté par les attaques de phishing BitB en veillant à ce que les employés ne puissent plus créer, voir ou taper les mots de passe d’accès à l’entreprise. Cela revient à reprendre le contrôle de leurs accès et supprimer les risques d’erreur humaine du processus d’accès au réseau.
« Pour l’œil non averti, ce qui signifie la majorité des travailleurs, ce type d’attaques de phishing est dangereux mais impossible à repérer. Il suffit qu’un employé fasse une erreur pour compromette l’ensemble du réseau. »
« Des attaques comme celles-ci ne sont pas destinées à des gains financiers rapides. Les acteurs restent à l’intérieur de votre système et attendent les moments les plus opportuns pour agir et causer le plus de dégâts. Pendant tout ce temps, l’utilisateur continue de travailler sans se rendre compte qu’il a involontairement donné ses informations d’accès. »
« Ce type d’attaques a déjà été utilisés dans le passé. En 2020, les cybercriminels ont utilisé des techniques BitB similaires sur le service de distribution numérique de jeux vidéo Steam pour accéder aux informations de connexion des consommateurs. Bien que cela puisse causer des dommages aux individus, nous voyons maintenant une attaque plus agressive au niveau organisationnel.»
Bien que certains aient recommandé l’utilisation d’un gestionnaire de mots de passe et de l’authentification unique (SSO) pour contourner le problème, car ils saisissent automatiquement les mots de passe sans tomber dans les fenêtres de réplication, cela présente toujours des problèmes majeurs.
« Comme nous l’avons vu récemment, la centralisation des accès derrière un mot de passe n’empêche pas le vol des accès. Elle ne fait que centraliser les informations d’accès pour les pirates en cas d’infraction. Ce fut le cas du groupe de pirates Lapsus$ qui en infiltrant le réseau d’Okta, a pu facilement trouver un document Excel rempli des mots de passe maitres de Lastpass pour accéder aux comptes administrateurs domaine de leurs clients.
« Les gestionnaires de mots de passe et les outils d’accès unique peuvent fournir une couche superficielle de commodité pour les utilisateurs, mais aussi offrir les clés du royaume de leur entreprise sur un plateau d’argent en cas d’infraction. Au contraire, la segmentation des accès et la distribution de mots de passe chiffrés est une solution plus efficace qui élimine complètement la menace potentielle de faute ou fraude humaine de l’équation et protège l’intégrité des accès. »
« Les entreprises pourraient voir l’attrait d’utiliser des méthodes d’authentification multi-facteur (MFA) par mesure de précaution. Mais leur perte initiale de contrôle des accès signifie que même le MFA ne peut garantir la légitimité ou l’intégrité des accès. Les attaquants cyber ont trouvé de nombreuses façons de les infiltrer, comme nous l’avons vu récemment à travers les vulnérabilités connues dans les protocoles MFA. S’appuyer sur le MFA signifie simplement reporter une brèche inévitable des accès, plutôt que sécuriser votre cybersécurité et votre cyber-résilience.
« Les cyber-attaquants sont plus intelligents et implacables lorsqu’il s’agit de techniques de phishing modernes. S’appuyer sur des approches de sécurité traditionnelles ne suffit plus. » « En reprenant le contrôle et en remettant la segmentation et la sécurité des accès du côté organisationnel, les employés n’ont plus besoin de créer, de voir ou de taper de mots de passe du tout. L’utilisation d’un processus sécurisé -de la réception, stockage à l’utilisation des informations de connexion chiffrées -signifie qu’ils n’ont plus à s’inquiéter de les divulguer accidentellement à des cyber-attaquants. »
La Cybersecurity and Infrastructure Security Agency (CISA) et la Division de la cybersécurité du FBI ont publié un avis conjoint sur la cybersécurité (CSA) , avertissant les organisations que les cyber-acteurs parrainés par l’État russe ont obtenu un accès au réseau grâce à l’exploitation des protocoles d’authentification multifacteur (MFA) par défaut et d’une vulnérabilité connue.
Dès mai 2021, des cyber-acteurs parrainés par l’État russe ont eu accès à une organisation non gouvernementale en exploitant les protocoles MFA par défaut pour contrôler leur réseau. Les organisations qui implémentent l’authentification multifacteur ont été invitées à revoir leurs configurations par défaut et à les modifier si nécessaire afin de réduire la probabilité que les attaques puissent contourner ce contrôle à l’avenir.
Dans cet esprit, Julia O’Toole, fondatrice et PDG de MyCena Security Solutions, a déclaré que s’appuyer uniquement sur l’authentification multifacteur pour protéger l’accès au réseau contre cette nouvelle vague de cyber-acteurs et de gangs de ransomwares ne suffit pas.
« Il est important que les entreprises comprennent qu’elles doivent jouer un rôle plus actif dans leur propre cyberdéfense. Cette vulnérabilité MFA prouve que même les méthodes de sécurité les plus sûrescen apparence n’arrêteront pas les attaquants, en particulier ceux parrainés par l’État russe. »
« Dans le conflit russo-ukrainien, nous avons vu des gangs de ransomware comme Conti s’engager à soutenir la Russie. Les attaques classées comme actes de guerre sont exempts de la couverture des polices d’assurance , reflétant une augmentation des dommages causés aux entreprises liés aux cyberattaques parrainées par l’État.
« Environ 75% des paiements de rançon proviennent de l’assurance, mais avec le développement de des groupes de ransomware ces dernières années, il devient trop coûteux d’assurer les dommages pour chaque cyberattaque. Après que les compagnies d’assurance ont mis en place les exclusions de guerre, de plus en plus de gangs ont annoncé qu’ils agissent de manière indépendante de la Fédération de Russie ou de l’Ukraine, dans l’espoir que les compagnies d’assurance continueront à financer les rançons. "
« Plutôt que de dépenser des centaines de milliers de dollars en assurance, les entreprises feraient mieux d’investir elles-mêmes ans l’amélioration de leurs cyberdéfenses pour prévenir les attaques. »
« De plus, nous avons même vu des gangs de ransomware indépendants devenir plus effrontés dans leurs tentatives criminelles. Les nouveaux arrivants sur la scène comme Lapsus$ ont activement utilisé les médias sociaux pour annoncer leur accès aux victimes via des attaques de phishing, diffusant l’identité de leurs victimes via Telegram pour que tout le monde puisse le savoir. "
« Avec des groupes tels que Lapsus$ agissant non pas pour des motifs de rançonnage ou politiques, mais plutôt pour l’influence et l’extorsion, cela devient beaucoup plus dangereux pour les entreprises. Lapsus$ entrant chez Nvidia à la mi-février et volant 1 téraoctet de données, y compris les noms d’utilisateur et les mots de passe de plus de 71 000 employés de Nvidia, rend l’idée d’un contrôle unique de l’utilisateur impossible à tenir et montre les limites et dangers de l’accès centralisé une fois que le système est compromis.
« Plus récemment, Lapsus$ a même annoncé une violation de l’accès à OKTA – une société d’authentification utilisée dans le monde entier. Tout piratage de ce type peut avoir des ramifications pour toutes les organisations qui comptent sur OKTA pour authentifier les accès. En fait, les criminels de Lapsus$ ne cherchent pas à tuer la poule aux œufs d’or et ont déclaré qu’ils n’étaient pas intéressés par OKTA lui-même mais par ses clients. En contrôlant la reinitilisation des mots de passe et l’authentification multi-facteur chez les clients affectés, les criminels deviennent de fait maitres des leurs accès et peuvent ainsi prendre le contrôle du réseau de ces entreprises.»
« Le simple fait de s’appuyer sur les méthodes de l’authentification multi-facteur ne prépare donc pas les organisations à cette marée montante de cybercriminels d’un nouvel âge. Au lieu de cela, il mieux pour l’entreprise ne pas laisser les employés créer leurs propres mots de passe et ne pas mettre tous leurs œufs dans le même panier, a fortioti tous les systèmes derrière une porte unique. Une solution bien plus efficace pour éliminer complètement le potentiel de faute ou fraude humaine de l’équation est de reprendre la main sur le commandement et contrôle des accès, en segmentant les accès et en distribuant des mots de passe chiffrés aux employés. »
« Un simple changement vers une architecture de sécurité et de cyber-résilience des accès comme celle-ci fait toute la différence dans la protection de votre réseau contre l’exploitation des accès et la perte de son intégrité.»
-FIN-
Pour plus d’informations sur Julia O’Toole - https://www.linkedin.com/in/juliaotoole
Pour plus d’informations sur MyCena - https://mycena.co/
POUR PLUS D’INFORMATIONS SUR LES MÉDIAS
Tél. +44 (0)20 7388 9988
À propos de MyCena Security Solutions
Fondé en 2016, MyCena est le leader du marché de la gestion des accès segmentés et de la distribution sécurisée des mots de passe. Le système de sécurité breveté de MyCena permet aux entreprises d’adopter une stratégie de cyber-résiliente dès la conception en utilisant la segmentation, la distribution et la protection des accès. Grâce à sa technologie révolutionnaire, MyCena protège les entreprises contre les risques d’erreur, fraude et phishing de mots de passe, de perte de commandement et de contrôle, de ransomware et des attaques de la chaîne d’approvisionnement. La société propose des solutions et des applications de sécurité d’entreprise aux utilisateurs finaux. Pour en savoir plus, visitez : https://mycena.co/