Min menu

Pages

Les histoires d'horreur de sécurité les plus effrayantes de 2020

 

Les histoires d'horreur de sécurité les plus effrayantes de 2020

Les histoires d'horreur de sécurité les plus effrayantes de 2020

 

Les 12 derniers mois ont été complètement chaotiques pour les professionnels de l'informatique et les entreprises, et cette incertitude apparemment sans fin a fourni une excellente occasion aux cybercriminels de faire des ravages dans le monde entier. Des exercices de phishing sur le thème du COVID-19 aux opérations soutenues par l'État contre la recherche sur les vaccins, le paysage de la sécurité a changé de plusieurs manières inhabituelles et inattendues.

 

La combinaison d'attaques inspirées par COVID, de nombreuses violations de données majeures et de l'évolution des tendances rend la distillation des faits saillants de la sécurité de cette année encore plus délicate. Cependant, alors que la poussière retombe en 2020, nous pouvons identifier un certain nombre de thèmes émergents en matière de cybersécurité et nous avons rassemblé les incidents les plus importants qui ont attiré notre attention au cours des 12 derniers mois.

 

Travelex paralysé par un ransomware

 

L'année a vraiment commencé en beauté lorsque Travelex a trouvé ses systèmes compromis par une attaque de ransomware grâce au cyber-gang Sodinokibi. Les détails de l'incident étaient rares au début, la société affirmant dans un communiqué qu'elle avait fermé tous ses systèmes par précaution alors qu'elle luttait contre le « virus informatique » qui avait infiltré ses réseaux.

 

Cet incident a entraîné la mise hors ligne de ses services de change et les clients n’ont pas pu accéder à leur argent à l’étranger, bien que cela ait également eu des implications pour les entreprises partenaires de Travelex. Des sociétés comme HSBC et Virgin Money, par exemple, se sont retrouvées incapables d’échanger des devises en raison de leur dépendance à la plate-forme de la société.

 

Ce n'est que quelques mois plus tard que les détails et le contexte plus larges de l'incident ont commencé à émerger. Premièrement, nous avons appris que la nature de l'attaque était bien un ransomware, mais des rapports ont ensuite révélé que Travelex avait payé 2,3 millions de dollars aux attaquants en Bitcoin afin de retrouver l'accès à ses réseaux. C'est quelque chose que la communauté de la sécurité et les forces de l'ordre déconseillent généralement. Nous avons également appris que les attaquants exploitaient deux failles logicielles non corrigées pour prendre pied dans le réseau d'entreprise Travelex, pour lesquelles des correctifs étaient disponibles.

 

La vulnérabilité Zerologon

 

Largement considérée comme la vulnérabilité la plus effrayante de 2020, Zerologon a incité la Cybersecurity and Infrastructure Security Agency (CISA) américaine à ordonner consciemment à toutes les agences américaines de corriger immédiatement leurs systèmes de serveurs.

 

Noté au maximum 10,0 sur l'échelle de gravité CVSS, Zerologon est une faille critique de Windows Server qui permet aux attaquants de compromettre un contrôleur de domaine Active Directory et de s'octroyer des privilèges administratifs. La faille résidait dans le Microsoft Windows Netlogon Remote Protocol (MS-NRPC), un composant d'authentification de base d'Active Directory, et les attaquants n'auraient besoin que de configurer des connexions TCP avec un contrôleur de domaine vulnérable. Ils n'auraient pas besoin d'informations d'identification de domaine et la vulnérabilité pourrait être exploitée pour compromettre complètement tous les services d'identité Active Directory. Suite à des avertissements flagrants, Microsoft a confirmé que les pirates exploitaient effectivement Zerologon dans la nature, suggérant que des exploits pour la faille avaient été incorporés dans les playbooks des attaquants.

 

La faille est devenue célèbre au sein de la communauté de la sécurité comme un exemple d'un problème qui, bien que largement signalé, s'est perdu dans un flux constant d'informations et de mises à jour de sécurité, selon Dinis Cruz, directeur technique et RSSI de Glasswall.

 

"Si vous regardez l'impact, c'est l'une des vulnérabilités les plus insensées que nous ayons eues depuis un certain temps. C'est zéro à cent en littéralement secondes », a-t-il déclaré lors d'une table ronde sur la sécurité organisée par Redscan. L’événement a également été suivi par le responsable du renseignement sur les menaces de la société, George Glass, conservateur de la technologie et de l’ingénierie au Musée des sciences, le Dr Liz Bruton, et le chercheur en sécurité qui a initialement révélé la faille Zerologon, Tom Tervoort.

 

« Dès que vous appuyez sur le contrôleur de domaine, vous devenez l'administrateur principal ; ce n’est pas pire que ça », a ajouté Cruz. « S'il y en a un que tout le monde aurait dû utiliser, c'est bien celui-ci, mais je ne pense pas que nous l'ayons fait. Certaines personnes l'ont corrigé, mais le fait qu'il y ait encore beaucoup d'endroits vulnérables à cela montre que je ne pense pas que cela soit pris avec le niveau de sérieux qu'il devrait être. "

 

La suprématie COVID-19

 

Le changement le plus important pour de nombreuses entreprises en 2020 a été la fermeture de bureaux, ce qui a entraîné un changement massif vers les modèles de travail à distance. Au-delà de changer radicalement nos habitudes de travail et de menacer de perturber l'équilibre travail-vie privée, cela a également posé un énorme casse-tête pour les équipes informatiques. Non seulement les domaines informatiques sont devenus beaucoup plus dispersés et difficiles à gérer, mais il a fallu un effort considérable pour doter les travailleurs des outils et de l'équipement nécessaires pour faire leur travail à distance, tels que des ordinateurs portables, des outils de collaboration et des réseaux privés virtuels (VPN).

 

La recherche l'a confirmé et les professionnels de l'informatique rapportent que la cybersécurité est bien plus importante que jamais auparavant, l'accès sécurisé posant le plus grand défi lors de la prise en charge des travailleurs à distance. Cela est particulièrement inquiétant car le changement a coïncidé avec une augmentation stupéfiante de 220% des attaques de phishing au cours des derniers mois, selon des chercheurs en cybersécurité. Les applications de traçage des contacts ont également été exploitées par des escrocs dans l'espoir de duper les utilisateurs afin qu'ils transmettent des informations personnelles.

 

Cependant, cela peut être pâle par rapport aux rapports de pirates informatiques soutenus par l'État travaillant à perturber activement les efforts de développement de vaccins COVID-19. Microsoft, par exemple, a signalé des attaques « injustifiées » par des groupes nord-coréens et russes en novembre, divers attaquants ciblant des organismes de recherche et des sociétés pharmaceutiques.

 

Plus récemment, des pirates ont accédé à des documents relatifs au vaccin Pfizer / BioNTech lors d'une cyberattaque contre l'Agence européenne des médicaments. Ceci, d'ailleurs, a été rapporté quelques jours seulement après qu'IBM a révélé qu'une campagne mondiale de phishing ciblait des organisations travaillant pour assurer le stockage et le transport à température contrôlée du vaccin COVID-19. Nous nous attendons à ce que ces incidents et attaques se multiplient sérieusement à mesure que nous entrons en 2021 et que les vaccins seront plus facilement fabriqués et distribués.

 

Les adolescents compromettent les comptes Twitter de haut niveau

 

Dans ce qui était clairement une arnaque gigantesque, les comptes Twitter de Barack Obama, Jeff Bezos et Bill Gates ont tous été vus en juillet affichant des messages bizarres demandant un paiement en Bitcoin. Ces demandes faisaient partie d'un plan par lequel les personnes de haut niveau en question doubleraient prétendument votre argent, dans un effort de « redonner ».

 

Ce fut certainement l'une des histoires de sécurité les plus extraordinaires de l'année - et a gagné beaucoup de popularité principalement en raison des gros frappeurs impliqués. Une enquête approfondie sur Twitter a révélé qu'environ 130 comptes ont été ciblés par des attaquants au cours de l'incident, les auteurs ayant la possibilité d'envoyer des tweets et même d'accéder à des messages directs à partir de comptes compromis. L'entreprise étudiait également la possibilité qu'un employé ait été soudoyé pour avoir accès aux outils internes de l'entreprise utilisés pour perpétrer l'arnaque.

 

Les autorités ont arrêté et inculpé un certain nombre d'adolescents basés aux États-Unis et au Royaume-Uni pour leur implication dans l'attaque. Bien que dans une autre tournure bizarre, l'audience d'essai virtuelle d'un jeune de 17 ans, organisée sur Zoom en août, a été initialement interrompue après avoir été détournée par un membre du public, qui a partagé un clip pornographique avec les participants à la réunion.

 

Les clients de Blackbaud tombent comme des dominos

 

Lorsque l'Université de York a révélé qu'elle avait subi une violation de données, personne ne s'attendait à ce que ce soit le premier début d'une réaction en chaîne qui se développerait pour inclure au moins 120 incidents stupéfiants. Bien que ce soient les données de l’université qui ont été compromises, toute l’attention a été redirigée vers l’un de ses fournisseurs, l’éditeur de logiciels et fournisseur de cloud computing Blackbaud.

 

Bien que les clients de Blackbaud, et par la suite le public, aient été informés du prétendu compromis en juillet, l’attaque du ransomware a eu lieu plusieurs mois auparavant, en mai. Non seulement cela, mais Blackbaud a révélé qu'il avait accepté de payer la rançon parce que les données de ses clients étaient sa « priorité absolue ». Malheureusement, le bassin de clients concernés s'est progressivement élargi au cours des prochains jours, passant de l'Université de York à quelques autres institutions, puis à des dizaines d'organisations. Tous ont été informés deux mois après l'incident, et tous ont rapidement écrit à leurs propres parties prenantes pour s'excuser du fait que leurs données avaient été potentiellement compromises sous la surveillance de Blackbaud.

 

Il est vite devenu clair que ce n’était pas seulement des dizaines, mais bien plus de 100 organisations qui avaient été prises dans l’attaque monstrueuse, y compris le Parti travailliste, Bletchley Park et un sanctuaire d’ânes. Pour ajouter l'insulte à la blessure, à la suite des débuts de poursuites judiciaires en septembre, Blackbaud a admis le mois suivant que les informations financières figuraient parmi les données exposées lors du piratage, avec des « champs non chiffrés » accédés par les pirates.

 

Le « point de défaillance unique » dévastateur de SolarWinds

 

Notre dernière entrée est également la plus récente. Début décembre, FireEye a confirmé qu'il avait été compromis par le travail de prétendus pirates informatiques soutenus par l'État russe. C'était initialement plutôt ironique et profondément préoccupant, car FireEye est une entreprise de sécurité souvent utilisée par les gouvernements nationaux pour repousser de telles attaques.

 

Au cours du week-end, cependant, l'inquiétude a grandi quand il a commencé à émerger cet incident, dans lequel des attaquants « hautement sophistiqués » ont volé des outils de FireEye Red Team, n'était qu'une pièce d'un puzzle beaucoup plus vaste. FireEye, Microsoft et la branche de sécurité américaine CISA ont établi que les attaquants n'étaient en mesure de cibler que la société, aux côtés de ce qui est maintenant devenu des dizaines de milliers d'autres entreprises et agences gouvernementales américaines, car ils avaient déjà compromis le géant du logiciel SolarWinds.

 

L'équipe de sécurité de FireEye a établi, tout en examinant sa propre faille, que les pirates avaient une porte dérobée sur SolarWinds. L'entreprise avait été victime d'une « attaque manuelle très sophistiquée de la chaîne d'approvisionnement » orchestrée par un acteur de l'État-nation et « destinée à être une attaque étroite, extrêmement ciblée et exécutée manuellement ». CISA, en conséquence, a ordonné à toutes les agences gouvernementales américaines de se déconnecter immédiatement de la plate-forme de sécurité SolarWinds Orion, tandis que la société elle-même conseillait aux utilisateurs de passer à la dernière itération, la version 2020.2.1 HG 1. Cette dernière était et est toujours disponible via le Portail Clients.

 

Bien que la faille en question puisse être corrigée, SolarWinds a suggéré que jusqu'à 18.000 de ses 300.000 clients pourraient avoir été affectés par l'attaque dévastatrice de la chaîne d'approvisionnement. En effet, les attaquants ont eu accès à un vaste éventail de victimes, dont plus de 425 des entreprises du Fortune 500, toutes les dix principales sociétés de télécommunications américaines, toutes les cinq branches de l'armée ; et tous les cinq principaux cabinets comptables, selon l'analyse de Guardian. L'ampleur absolument monstrueuse de cette attaque signifie également que nous pourrions bien en décoller le plein impact jusqu'en 2021.

 

 SOURCE : Ici.

reaction:

Commentaires