Merciements à Bill Kearney de Sophos Rapid Response pour son travail sur cet article.
Si vous avez lu le récent rapport Sophos 2021 sur les menaces, vous savez que nous avons délibérément inclus une section sur tous les malwares existants qui ne sont pas des ransomwares.
Bien sûr, les ransomwares accaparent naturellement les gros titres des médias ces jours-ci, mais la cybercriminalité va bien au-delà des attaques de ransomwares.
En effet, comme nous l’avons déjà noté, de nombreux incidents de ransomwares se produisent en raison d’autres malwares qui ont infiltré votre réseau en premier et ont apporté le ransomware plus tard.
En fait, de nombreuses intrusions sur le réseau n’impliquent pas du tout de logiciels malveillants, car les cybercriminels ont beaucoup d’autres moyens de saigner l’argent de vos utilisateurs, de votre entreprise, ou des deux.
Voici un exemple que l’équipe Sophos Rapid Response a rencontré récemment – une intrusion réseau opportuniste bien moins sophistiquée qu’un ransomware typique ou qu’une attaque de vol de données, mais néanmoins dangereuse et déconcertante.
Plus grave encore pour les employés de l’entreprise, ces escrocs ne s’en prenaient pas spécifiquement à l’entreprise dans son ensemble, mais semblaient attaquer le réseau simplement parce qu’il représentait un moyen pratique de pirater de nombreux individus en même temps.
Très simplement, les escrocs en avaient après le plus grand nombre de comptes auxquels ils pouvaient accéder pour acheter le plus de cartes-cadeaux possible le plus rapidement possible.
Comme vous le savez probablement, les cartes-cadeaux que vous achetez en ligne sont généralement livrées par e-mail à un destinataire de votre choix sous la forme d’un code secret et d’un lien d’enregistrement.
Donc, recevoir un code de carte cadeau, c’est un peu comme mettre la main sur le numéro, la date d’expiration et le code de sécurité d’une carte de crédit prépayée – en gros, celui qui a le code peut le dépenser.
Bien que les cartes cadeaux soient destinées à être utilisées uniquement par le destinataire prévu – elles ne sont pas censées être transférables – rien n’empêche le destinataire de permettre à quelqu’un d’autre de les utiliser s’il le souhaite, et cela signifie qu’elles peuvent être vendues sur le sous-web de la cybercriminalité.
Et pour autant, un chèque-cadeau de 200 $, vendu illégalement en ligne pour, disons, la moitié de sa valeur nominale, ne semble pas être grand-chose…
…les escrocs ayant accès à la valeur de toute une entreprise d’utilisateurs – dans cette histoire, le VPN de l’entreprise soutenait environ 200 personnes – peuvent essayer d’acquérir non pas une mais potentiellement des centaines de cartes-cadeaux prépayées en peu de temps.
Les criminels dans cette affaire ne se sont pas souciés de savoir si les victimes laissées à l’abandon étaient les employés individuels, l’entreprise elle-même, ou les deux.
Rompus et repoussés
La bonne nouvelle ici est que les escrocs n’ont pu dépenser que 800 $ de l’argent d’autres personnes avant que l’équipe de réponse rapide ne soit en mesure de les expulser du réseau, et pour autant que nous le sachions, les achats frauduleux ont été détectés et inversés à temps pour que personne ne se retrouve à sec.
Comme vous le verrez, la principale raison pour laquelle les escrocs ont été grondés et repoussés rapidement est qu’un administrateur système de l’entreprise touchée a agi dès qu’il a repéré que quelque chose n’allait pas.
Si vous avez regardé la vidéo Naked Security Live de la semaine dernière, intitulée « Beat the Threat », vous saurez que dans nos conseils à la fin de la vidéo, nous avons dit :
Tout indice que vous pouvez obtenir qui suggère qu’un escroc pourrait être dans votre réseau est un conseil qui vaut la peine d’être examiné. parce que vous regardez quelque chose que vous ne pouvez pas tout à fait justifier, mais que vous avez vu avant et que c’était OK la dernière fois – ne supposez pas que c’est OK cette fois. C’est un peu comme si vous entendiez votre détecteur de fumée se déclencher dans la cuisine et que vous vous disiez : « Vous savez, la dernière fois, c’est la vapeur de la bouilloire qui l’a déclenché par erreur, alors je vais supposer que c’est ce qui se passe… ». Cette fois, cela pourrait être quelque chose sur la cuisinière qui a déjà pris feu.
Pour autant que nous soyons fiers que l’équipe Sophos Rapid Response ait pu réagir rapidement et traiter l’attaque, la partie vitale était que la victime ait déclenché une réponse appropriée rapidement en premier lieu.
Comment cela s’est passé
Ces escrocs n’ont pas eu le temps de nettoyer après eux – ou peut-être n’en avaient-ils pas l’intention de toute façon – mais d’après ce que nous pouvons dire, l’attaque s’est déroulée simplement et rapidement.
Nous ne pouvons pas être sûrs de la façon dont les escrocs sont entrés pour commencer, mais ce que nous savons, c’est que :
- Le serveur VPN de la victime n’avait pas été patché depuis plusieurs mois. Cela seul aurait pu suffire pour permettre aux escrocs de s’introduire – un exploit existait pour l’ancienne version qui aurait pu, en théorie, permettre aux escrocs de se faufiler dans le réseau.
- Le serveur VPN n’avait pas été configuré pour exiger le 2FA. Cela signifie qu’un mot de passe réussi, hameçonné auprès d’un seul utilisateur, aurait pu suffire à leur donner leur tête de pont. (Malgré la vulnérabilité non corrigée, nous soupçonnons que c’est ainsi que les attaquants se sont introduits cette fois-ci.)
- Une fois » à l’intérieur » du VPN, les escrocs ont pu utiliser RDP en interne pour passer d’un ordinateur à l’autre. Ils pouvaient ainsi ouvrir des navigateurs Web sur les ordinateurs des utilisateurs et voir quels comptes en ligne ils n’avaient pas déconnectés, y compris leurs comptes de messagerie personnels (par exemple Gmail et Outlook.com). Assurez-vous de sécuriser le RDP aussi solidement de l’intérieur de votre réseau que de l’extérieur.
- Les escrocs ont utilisé des comptes de messagerie individuels pour effectuer une série de réinitialisations de mots de passe. Sur les ordinateurs où les escrocs pouvaient accéder aux comptes de messagerie grâce aux informations d’identification mises en cache, mais ne pouvaient pas accéder à d’autres comptes intéressants parce que l’utilisateur était déconnecté de ceux-ci, ils ont effectué des réinitialisations de mot de passe via le compte de messagerie. Les comptes sur lesquels les escrocs se sont attaqués sont notamment ceux de Best Buy, Facebook, Google Pay, PayPal, Venmo et Walmart.
Heureusement, il semble que seuls quelques-uns des utilisateurs ainsi attaqués avaient sauvegardé les détails de leur carte de crédit pour les réutiliser automatiquement lors d’achats, ce qui explique probablement pourquoi les escrocs n’ont réussi à acheter que quelques centaines de dollars de cartes-cadeaux avant d’être repérés.
Apparemment, de nombreux utilisateurs qui ont dû réinitialiser leurs mots de passe modifiés pour pouvoir accéder à nouveau à leurs comptes ont remarqué qu’il y avait des cartes-cadeaux en attente d’achat dans leurs paniers en ligne, mais que les escrocs n’avaient pas pu finaliser ces achats.
(Nous ne pouvons pas dire si les escrocs ont laissé les achats infructueux derrière eux parce qu’ils ont été pris avant de pouvoir nettoyer, parce qu’ils espéraient qu’ils seraient négligés et achetés par erreur par le titulaire légitime du compte plus tard, ou parce qu’ils étaient concentrés sur la vitesse et ne se souciaient pas de ce qui se passait ensuite.)
Mais il y a plus
Comme beaucoup d’attaques, celle-ci n’avait pas qu’un seul but, bien que mettre la main sur de « l’argent à vendre » semble avoir été la motivation principale ici.
Les escrocs ont également téléchargé et installé un outil de recherche de fichiers gratuit et populaire pour les aider à rechercher des fichiers intéressants sur le réseau.
Cet outil a laissé derrière lui un fichier journal qui révèle que les criminels faisaient une chasse active aux données personnelles et confidentielles relatives à la fois à l’entreprise et à son personnel.
Nous ne savons pas combien les criminels ont pu acquérir à partir des fichiers qu’ils chassaient, si tant est qu’il y en ait eu, mais nous savons ce qui les intéressait, à savoir :
- Les relevés bancaires relatifs aux individus et à l’entreprise.
- Accords avec les commerçants pour l’acceptation des paiements par carte de crédit.
- Demandes de cartes de crédit.
- Données du registre des conducteurs de l’entreprise.
Pour autant que l’on puisse en juger, la recherche de fichiers semble avoir été un intérêt secondaire pour ces criminels, qui n’en étaient pas moins déterminés et persistants dans leurs tentatives d’effectuer des achats frauduleux contre le plus grand nombre possible d’utilisateurs du réseau.
Néanmoins, intérêt secondaire ou non, les escrocs ne couraient pas seulement après les cartes cadeaux.
Après tout, les données personnelles et d’entreprise qui sont censées être privées ont aussi de la valeur dans le souterrain de la cybercriminalité – pas seulement pour être revendues à d’autres criminels, mais comme véhicule pour aider à poursuivre l’activité criminelle.
La réaction rapide est payante
Heureusement, ces escrocs semblent s’être enlisés au début de leur attaque.
Presumément frustrés de ne pas pouvoir accéder à autant de comptes de messagerie d’utilisateurs qu’ils le souhaitaient, ils ont réinitialisé les mots de passe de divers comptes liés à l’entreprise pour étendre leur accès.
Cela a eu pour effet secondaire de bloquer les utilisateurs, y compris l’un des sysadmins, hors de divers systèmes de l’entreprise…
…et le sysadmin ne s’est pas contenté de remédier au problème immédiat afin de régler le quoi , mais a également déclenché une réaction pour découvrir le pourquoi.
Cette réaction a très rapidement conduit à l’expulsion des escrocs du réseau.
Comme nous l’avons dit plus haut, tout tuyau est un bon tuyau !
Que faire ?
La vitesse et la détermination de ces escrocs, se connectant de manière spéculative à un compte de messagerie après l’autre, est un excellent rappel de la raison pour laquelle la défense en profondeur est importante.
Tous ces conseils auraient été utiles ici :
- Patch tôt, patch souvent. Le VPN vulnérable mentionné dans cet article n’était probablement pas la façon dont les escrocs ont obtenu l’accès dans ce cas, mais c’était une voie d’entrée possible de toute façon. Pourquoi être à la traîne des escrocs quand vous pourriez plutôt être en avance ?
- Utilisez le 2FA partout où vous le pouvez. Un deuxième facteur d’authentification pour le VPN externe et les serveurs RDP internes aurait pu suffire à lui seul à empêcher ces escrocs d’entrer.
- Déconnectez-vous des comptes lorsque vous ne les utilisez pas. Oui, c’est embêtant de se reconnecter aux comptes chaque fois que vous devez les utiliser, mais combiné à 2FA, cela rend beaucoup plus difficile pour les escrocs de profiter de vous s’ils ont accès à votre navigateur.
- Repensez aux sites Web que vous autorisez à conserver les données de carte de paiement en ligne pour la prochaine fois. Les entreprises qui ne conservent les données des cartes de paiement que pour des achats spécifiques, comme le paiement d’une facture de services publics, présentent un risque beaucoup plus faible que les services en ligne via lesquels votre carte peut être utilisée pour payer presque n’importe quoi, en particulier pour des articles qui sont « livrés » immédiatement par e-mail.
- Ne bloquez pas uniquement les logiciels malveillants avec votre produit de protection contre les menaces. Bloquez également les applications potentiellement indésirables (PUA) et les outils de piratage. Les cybercriminels se tournent de plus en plus vers les logiciels légitimes de cybersécurité et de gestion de réseau que vous avez déjà sur votre système, au lieu d’utiliser des logiciels malveillants – une technique que l’on appelle « vivre de la terre » – dans l’espoir de ressembler eux-mêmes à des sysadmins. Attrapez-les si vous le pouvez.
- Ayez un endroit où les utilisateurs peuvent signaler les problèmes de sécurité. Si vous êtes bloqué de votre propre compte de manière inattendue, assurez-vous que votre réaction n’est pas simplement « Je dois me reconnecter » mais aussi « Je dois trouver la cause sous-jacente. » Une adresse électronique ou un numéro de téléphone d’entreprise facilement mémorisable pour les rapports de cybersécurité peut vous aider à faire de toute votre entreprise des yeux et des oreilles pour l’équipe de sécurité informatique.
- Gardez vos utilisateurs attentifs aux dernières tendances en matière de phishing. Envisagez un produit de formation anti-phishing tel que Sophos Phish Threat. Nous ne pouvons pas encore en être sûrs, mais il semble qu’un seul mot de passe hameçonné pourrait avoir été la façon dont les escrocs ont commencé dans ces attaques.
- Ne vous laissez pas détourner par des menaces spécifiques telles que les ransomwares. Les outils spécifiques aux ransomwares sont utiles dans le cadre d’une approche de défense en profondeur, mais n’auraient pas arrêté cette attaque à eux seuls. Cependant, une approche holistique qui aurait bloqué ces escrocs aurait très probablement arrêté la majorité des attaques de ransomware également.