TOP 5 des moyens les plus utilisés pour pirater

Dans le cadre de son service MDR, StreamScan surveille à distance la sécurité des réseaux informatiques de ses clients. Cette surveillance permanente permet à StreamScan d'identifier les cyberattaques les plus courantes, celles qui ont le plus de chance de réussir ainsi que les cibles les plus recherchées par les cybercriminels. Ces informations nous permettent de protéger nos clients le plus efficacement possible.

En plus de son service MDR, StreamScan est constamment sollicité par des entreprises victimes de cyberattaques (ransomwares, vol de données, intrusion, etc.). Les investigations que nous menons lors de la réponse aux incidents nous permettent d’identifier les types d’attaques qui aboutissent le plus.

Dans cette optique, voici les 5 moyens les plus utilisés par les pirates pour entrer dans le réseau informatique des entreprises.

Hameçonnage

L’hameçonnage est de loin le moyen le plus fréquemment exploité pour pirater un réseau informatique. La plupart du temps, l’utilisateur reçoit un courriel avec un fichier joint ou un lien malicieux. Lorsqu’il clique, un outil malicieux s’installe sur son ordinateur à son insu. Dans plusieurs cas constatés de ransomware, la compromission de l’ordinateur n’est pas immédiatement identifiée par l’utilisateur ni les outils de sécurité en place. Généralement, ce n’est que le lendemain ou quelques jours plus tard que l’utilisateur constate qu’il a été infecté en voyant un message de demande de paiement de rançon ou en constatant qu’il ne peut pas accéder à ses fichiers. En effet, certains ransomwares n’affichent pas systématiquement la page de demande de rançon sur l’écran de l’utilisateur. Le fait que l’infection ne soit pas détectée rapidement permet dans plusieurs cas une propagation de l’outil malicieux à plusieurs ordinateurs ou serveurs du réseau, ce qui occasionne plus de dégâts.

Dans les cas de piratage pour vol de données, plusieurs mois (souvent jusqu’à 5 mois) s’écoulent entre l’accès malicieux au réseau et la découverte de l’intrusion.

Brute force de la solution d’accès à distance RDP

Plusieurs entreprises offrent l’accès à distance à leur réseau via le protocole RDP. Pour cette pratique, l’utilisateur lance une session, entre son nom d’usager et son mot de passe. Si ces informations sont bonnes, l’utilisateur a accès à distance au réseau, dans les mêmes conditions que s’il était physiquement au bureau. Si une telle solution favorise le télétravail par exemple, elle augmente aussi votre niveau d’exposition aux cyberattaques. En effet, les serveurs RDP sont rapidement identifiés par des outils malicieux automatisés (robots) qui balaient Internet 24/7, sans arrêt. Ainsi, dès que vous branchez un serveur RDP accessible sur Internet, environ 5 minutes s’écoulent avant qu’il commence à être attaqué.

Ces robots attaquent ensuite votre serveur RDP en simulant les connexions des utilisateurs. Pour cela, ils essaient plusieurs combinaisons de nom d’usager et mots de passe, jusqu’à trouver un accès valide dans votre réseau. Cette attaque est communément appelée brute force.

Une fois que le robot trouve un accès valide, le pirate qui le contrôle entre en action. Il peut se connecter à votre réseau, rechercher des ordinateurs et serveurs intéressants pour les infecter par un ransomware. Il peut aussi voler des données, etc.

Dans plusieurs cas constatés, l’attaque brute force a duré plusieurs jours avant que le pirate entre dans le réseau. Le pirate est ensuite resté dans le réseau pendant des mois afin de trouver des cibles intéressantes (contrôleurs de domaine, base de données sensible, etc.). Le paradoxe est que ce type d’attaque est très facile à détecter en faisant une surveillance minimaliste de son réseau.

Injection de shellcode ou exploit d’attaque

En plus de la recherche de serveurs RDP, les robots qui balaient Internet 24/7 identifient aussi des machines (serveurs web, DNS, etc.) qui ont des vulnérabilités connues. Une fois qu’une machine vulnérable est identifiée, les robots lancent un programme informatique (appelé shellcode ou exploit d’attaque) qui va essayer d’exploiter la vulnérabilité afin de prendre le contrôle de la machine. Si l’attaque aboutit, un pirate prendra le relais dès que le robot prendra le contrôle de votre machine.

Les exploits d’attaque ne sont pas détectables par le coupe-feu ou les antivirus. Il faut des technologies plus évoluées telles que le CDS de StreamScan pour détecter de telles attaques.

Dans un cas observé, l’attaque par un shellcode a permis l’arrêt à distance de l’antivirus sur un serveur avant que le pirate l’infecte par un ransomware.

Dans un autre cas, l’attaque par shellcode a permis le minage de cryptomonnaie sur des serveurs web d’une entreprise, sans même que le pirate prenne le contrôle de ces serveurs web.

Informations achetées sur le Darkweb

Nous observons que de plus en plus de piratages de boîtes de courriels Office365 dans le Cloud s’appuient sur des informations achetées sur le Darkweb, tels que des noms et prénoms, adresses de courriel et mot de passe. Ces informations sont collectées lors de piratages massifs tels que celui de Linkedin, Yahoo, etc. À partir de ces informations, les pirates font des recherches d’informations additionnelles sur les réseaux sociaux afin d’avoir plus d’informations sur les utilisateurs. S’ils déterminent que vous êtes une cible d’intérêt (ex. : vous travaillez dans le département des finances où vous faites partie de la Haute Direction) ils prennent le contrôle de votre boîte de courriel Office 365, observent les courriels que vous échangez et élaborent une attaque qui aboutit à une fraude.

Infection par navigation sur un site web malicieux

On observe de plus en plus d'infections lors de la navigation sur des sites internet malicieux. Des milliers de sites web apparaissent chaque jour et les outils de filtrage web ne sont pas en mesure de détecter et bloquer tous les sites internet malicieux. Les pirates exploitent cette insuffisance et s’il arrive qu’avec le temps leur site malicieux se fasse bloquer par un outil de filtrage web, ils déplacent tout simplement leur activité malicieuse sur un nouveau site. L’on assiste donc à un jeu du chat et de la souris qui est à l’avantage du pirate.

Il arrive aussi que les pirates prennent le contrôle d’un site web légitime très achalandé et y insèrent un programme malicieux qui infecte les utilisateurs lors de leur navigation. L’avantage pour eux d’utiliser un site web légitime et très achalandé tient au fait qu’ils peuvent infecter un grand nombre de personnes rapidement. Dans un cas observé, le site web d’une compagnie de transport/métro a été piraté à cet effet. Les pirates ont inséré un lien malicieux sur lequel tous les utilisateurs qui cliquent étaient infectés. Ce n’est donc pas parce que vous naviguez sur le site web d’une entreprise connue que vous êtes en sécurité. Soyez vigilants en tout temps.

Comment vous protéger

En matière de cybersécurité, l’on ne peut se protéger que contre ce qu’on voit. Voici nos recommandations pour vous protéger :

  • Sensibilisez régulièrement vos employés sur les risques de sécurité notamment l’hameçonnage.
  • Mettez en place un ou des outils de détection d’intrusions qui vous permettent d’avoir une viabilité à 360 degrés de la sécurité de votre réseau.
  • Vous devez ensuite surveiller constamment votre réseau afin d’identifier les cyberattaques qui vous ciblent. Cette surveillance vous permet d’identifier les mesures de protection adéquates et efficaces à mettre en place pour rehausser en continu votre sécurité et vous mettre à l’abri des pirates.
  • Identifiez régulièrement les vulnérabilités de votre réseau et appliquez les correctifs de sécurité.
  • Ne vous fiez pas uniquement aux outils de gestion des événements de sécurité (SIEM), car ils ont de faibles capacités de détection de cyberattaques. Par exemple, les SIEM ne peuvent pas détecter les attaques par shellcode, qui sont assez fréquents et peuvent causer des dégâts importants.
  • Utilisez une authentification à facteurs multiples (MFA) pour les accès à distance à votre réseau
  • Mettez en place un contrôle d’accès robuste : les comptes utilisateurs doivent se verrouiller automatiquement pendant une période de temps (ex : 10 min) après 3 ou 5 tentatives d’accès échouées Accéder à distance à votre réseau corporatif via VPN plutôt que par RDP.
  • Vérifiez régulièrement si vos informations sont vendues sur le Darkweb.
  • Utilisez une authentification à facteurs multiples (MFA) pour l’accès à votre boîte de courriels dans le Cloud (Office 365, etc.).

Découvrez comment notre service de Détection et Réponse Gérées (MDR) peut protéger votre réseau

Nous sommes convaincus qu'après avoir vu notre solution MDR (alimentée par notre technologie de surveillance du réseau CDS) en action, vous ne voudrez plus laisser votre réseau sans protection. C'est pourquoi nous vous proposons un essai gratuit de 30 jours qui comprend :

  • Une séance d'information
  • Configuration du CDS
  • Preuve de concept gratuite de 30 jours
  • Rapport d'activité du premier mois et recommandation

Courriel: Freetrial@streamscan.ai

Téléphone : 1 877-208-9040