Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Menaces de cybersécurité affectant les entreprises en août 2023
Les menaces de cybersécurité augmentent rapidement. En conséquence, les dirigeants d’entreprise doivent être plus conscients des lacunes potentielles de leur stratégie globale de cybersécurité. Les requêtes de chasse aux menaces, proposées dans le cadre des services SOC de Marcum Technology, sont essentielles pour identifier les menaces potentielles dans l'environnement d'une organisation.
Vous trouverez ci-dessous les quatre principales menaces apparues au cours du mois dernier.
Les attaques de ransomwares constituent un problème croissant pour les organisations du monde entier, tant par leur ampleur que par leur gravité. L'équipe de réponse aux incidents de Microsoft a enquêté sur les récentes attaques du ransomware BlackByte 2.0, révélant la vitesse alarmante et la nature destructrice de ces cyberattaques. Les résultats indiquent que les pirates peuvent exécuter l’intégralité du processus d’attaque, depuis l’obtention de l’accès initial jusqu’à causer des dégâts importants, en seulement cinq jours. Ils infiltrent rapidement les systèmes, chiffrent les données cruciales et exigent une rançon pour leur divulgation. Ce calendrier condensé constitue un défi de taille pour les organisations qui s'efforcent de se défendre contre ces opérations malveillantes.
Le ransomware BlackByte est utilisé dans la phase finale de l'attaque, en utilisant une clé numérique à 8 chiffres pour crypter les données. Les attaquants utilisent une puissante combinaison d'outils et de techniques, tirant parti des serveurs Microsoft Exchange non corrigés pour accéder et jeter les bases de leurs activités malveillantes. L'évidement des processus, les stratégies d'évasion antivirus, les shells Web pour l'accès à distance et les balises Cobalt Strike pour les opérations de commande et de contrôle améliorent encore leurs capacités, rendant plus difficile pour les organisations de se défendre contre elles. De plus, les cybercriminels utilisent des outils « vivant de l’extérieur » pour camoufler leurs activités et éviter d’être détectés. Ils modifient les clichés instantanés de volume sur les machines infectées pour empêcher la récupération des données via les points de restauration du système et déploient des portes dérobées personnalisées pour un accès persistant même après la compromission initiale.
À mesure que les attaques de ransomware deviennent plus fréquentes et plus sophistiquées, les acteurs malveillants peuvent rapidement perturber les opérations commerciales si les organisations ne sont pas correctement préparées. La gravité de ces attaques nécessite une action immédiate de la part des organisations du monde entier et, en réponse à ces conclusions, Microsoft fournit des recommandations pratiques. Il encourage la mise en œuvre de procédures robustes de gestion des correctifs pour appliquer rapidement les mises à jour de sécurité critiques. L'activation de la protection contre les falsifications est également cruciale car elle renforce les solutions de sécurité contre les tentatives malveillantes visant à les désactiver ou à les contourner. En suivant les meilleures pratiques, telles que le maintien des systèmes à jour et la restriction des privilèges administratifs, les organisations peuvent atténuer considérablement le risque d'attaques du ransomware BlackByte et d'autres menaces similaires.
Dans une campagne récente, baptisée « Nitrogen », le chargement latéral des DLL a été utilisé pour les communications C2. Au lieu du vecteur habituel de phishing, l’attaque a commencé par un téléchargement drive-by à partir d’un site WordPress compromis. Le fichier, une image ISO, contient un fichier d'installation qui doit être exécuté manuellement par l'utilisateur final. Le programme d'installation procède ensuite au chargement du fichier msi.dll et décrypte le fichier de données qui l'accompagne. Une distribution Python intégrée et la DLL sont supprimées pour être chargées dans le chemin C:\Users\Public\Music\python de l'utilisateur.
Le malware crée ensuite une tâche planifiée : « OneDrive Security Task-S-1-5-21-5678566754-9123742832-2638705499-2003 », qui exécute pythonw.exe. Cela garantit la persistance du malware. La tâche est planifiée pour se déclencher au démarrage du système et expire le 1er décembre 2029, à minuit.
Une fois la persistance établie, le malware peut remplir ses fonctions. Il a été vu utiliser le chargement latéral de DLL pour maintenir une connexion persistante avec les serveurs C2, et va jusqu'à récupérer des données compressées/codées, puis à les exécuter localement.
Cobalt Strike a été observé comme charge utile choisie à un moment donné, et il semble que d’autres pourraient également être mises en œuvre. Ce malware a certainement le potentiel de causer de graves dommages, mais dans cette campagne, la consolation est que l'utilisateur doit exécuter manuellement un fichier téléchargé via un téléchargement drive-by à partir d'un site Web compromis. Toutefois, cela peut toujours se faire via le phishing, qui reste l'un des vecteurs les plus courants en raison de sa facilité et de son efficacité.