Les hauts
Cette semaine, une escroquerie liée à une attaque BEC (Business Email Compromise) ciblant des comptes Office 365 a pu être bloquée avant qu’il ne soit trop tard. Au cours de l’année passée, ces compromissions de compte de messagerie ont été à l’origine du plus important volume de pertes dues à la criminalité sur Internet. Utilisant le prétexte de la pandémie de Covid-19, les fraudeurs ont dirigé leur flux de messages de phishing vers six domaines Internet, tout en tirant parti d’applications Web malveillantes pour récupérer les identifiants des comptes Office 365 de leurs victimes.
Le recours à des applications Web est un phénomène nouveau. Plutôt que de s’appuyer sur une fausse page de connexion clonée, les cybercriminels demandaient aux victimes de permettre à l’application Web d’accéder à leurs comptes. Après avoir pris le contrôle de ces comptes, les cybercriminels s’en servaient pour piéger des dirigeants d’entreprise et les convaincre d’autoriser des virements bancaires à leur intention.
Cette escroquerie, dont on estime qu’elle a été déployée dans 62 pays différents, impliquait l’exploitation des noms de domaines suivants, lesquels ont depuis été acquis par Microsoft :
officeinventorys.com officesuitesoft.com officehnoc.com officesuited.com officemtr.com mailitdaemon.com
Autre bonne nouvelle de la semaine, la communauté de la sécurité macOS est parvenue à identifier un ransomware combiné à un extracteur d’informations, lequel était dissimulé dans un logiciel cracké distribué par le biais de torrents publics. Surnommés « EvilQuest » ou « ThiefQuest », ses auteurs espéraient sûrement reproduire un modèle efficace déjà observé sous Windows, par lequel les cybercriminels volent discrètement des données en arrière-plan, tout en exigeant ostensiblement une rançon contre le déverrouillage de fichiers chiffrés.
SentinelLabs a démantelé le système de chiffrement symétrique utilisé par le malware EvilQuest/ThiefQuest, avant de publier un outil de déchiffrement public. Nous nous réjouissons également de constater que l’adresse Bitcoin mise en place par les cybercriminels pour récupérer les fonds extorqués n’a pas enregistré la moindre transaction. Ce malware reste toutefois une source de préoccupation pour les victimes, puisqu’il est possible que les composants séparés de vol de données et de backdoor aient quand même dérobé des informations sensibles et pourraient rester actifs si les équipements affectés n’ont pas été correctement nettoyés.
Les bas
Un rapport publié cette semaine a montré que les cybermenaces pesant sur les systèmes OT par le biais de périphériques USB amovibles ont quasiment doublé ces douze derniers mois. Près de la moitié des sites industriels pris en compte dans cette étude indiquent avoir détecté au moins une menace ciblant leurs réseaux de contrôle des processus industriels. Le rapport met en avant que les périphériques USB restent très répandus, au même titre que leur exploitation en tant que vecteur d’attaque, puisque 20 % des attaques signalées seraient directement liées à des périphériques de stockage amovibles. En termes d’objectifs, les cybercriminels sont en majorité intéressés par l’ouverture de backdoors, la mise en place d’un accès à distance persistant et la diffusion de nouvelles charges actives malveillantes.
Un récent rapport montre que l’essor des menaces propagées par les périphériques USB ne serait pas dû à un transfert accidentel d’un appareil à l’autre, mais qu’il s’agirait plutôt du résultat d’attaques « délibérées et coordonnées » (comme Disttrack, Duqu, Ekans, Industroyer, USBCulprit, etc.) visant à tirer parti de périphériques USB pour s’attaquer aux systèmes OT. Ce rapport permet de rappeler à toutes les équipes de sécurité de l’entreprise l’intérêt de contrôler les supports amovibles, y compris les équipements USB sous forme de logiciels.
Les tréfonds
Aux dernières nouvelles, nous serions quelque 7,8 milliards de personnes sur notre petite planète, mais il existerait près du double d’identifiants de compte volés sur les forums de hackers, dont environ 5 milliards sont uniques, selon un récent audit du darknet. Ce volume impressionnant de données piratées est le résultat de plus de 100 000 compromissions de données, un chiffre qui fait froid dans le dos.
Ces identifiants correspondent à des comptes de réseaux sociaux, de services de streaming, de comptes VPN et de sites de jeu, ou encore de services bancaires et financiers, jusqu’à des comptes d’administrateurs de domaine. Un criminel cherchant à obtenir l’accès au compte bancaire en ligne d’un individu, par exemple, peut s’offrir des identifiants volés pour 500 dollars (ou moins) sur le darknet. Un compte d’administrateur de domaine peut quant à lui être mis aux enchères entre quelques milliers de dollars et plus de 100 000 dollars, suivant le type de compte.
Le vol d’identifiants et la prise de contrôle de comptes sont des secteurs en pleine expansion, et les cybercriminels rivalisent d’idées pour arriver à leurs fins : campagnes de phishing de masse associées à des botnets, diffusion de malwares de vol d’identifiants ou encore recours à de nouvelles techniques comme le credential stuffing ou les attaques par force brute afin de dérober des mots de passe. Comme le souligne le rapport, les cybercriminels récupèrent et revendent aujourd’hui des données d’empreintes numériques comme les cookies, les adresses IP et les fuseaux horaires, de sorte que les identifiants volés puissent être utilisés sans éveiller les soupçons et déclencher d’alertes. Certains marchés du darknet (Genesis Market, UnderWorld Market et Tenebris) proposent ainsi aux cybercriminels de louer pendant une durée limitée l’accès à des comptes compromis. Ceux-ci peuvent alors être utilisés à des fins spécifiques, comme le blanchiment de capitaux, la réception d’e-mails ou encore l’achat de biens.
D’après les études menées, chaque personne utilise en moyenne près de 200 services en ligne nécessitant un accès par mot de passe. Si les utilisateurs ne sont pas mieux informés sur les principes de base en matière de sécurité des mots de passe et qu’une grande partie des entreprises ne parviennent pas à bloquer les compromissions de données, il est fort probable que les 15 milliards d’identifiants volés actuellement en circulation paraissent dérisoires dans quelques années.