TOP 5 des moyens les plus utilisés pour pirater
Comment les pirates s'introduisent-ils dans nos réseaux ? C'est une question qui nous est posée tous les jours.
Dans le cadre de notre service MDR, nous surveillons à distance la sécurité des réseaux informatiques de nos clients. Cette surveillance nous permet d'identifier les cyberattaques les plus courantes, celles qui ont le plus de chance de réussir ainsi que les cibles les plus recherchées par les cybercriminels. Toutes ces informations permettent de protéger nos clients le plus efficacement possible.
D'un autre côté, nous sommes également constamment sollicité par des entreprises victimes de cyberattaques. Les investigations que nous menons lors de la réponse aux incidents nous permettent d’identifier les types d’attaques qui aboutissent le plus souvent. Dans cette optique, nous avons pu dresser un portrait des cinq moyens les plus utilisés par les pirates pour entrer dans le réseau informatique des entreprises. Les voici :
Hameçonnage
L’hameçonnage est de loin le moyen le plus fréquemment exploité pour pirater un réseau informatique. La plupart du temps, l’utilisateur reçoit un courriel avec un fichier joint ou un lien malicieux. Lorsqu’il clique, un outil malicieux s’installe sur son ordinateur à son insu. Dans plusieurs cas constatés de ransomware, la compromission de l’ordinateur n’est pas immédiatement identifiée par l’utilisateur ni les outils de sécurité en place. Généralement, ce n’est que quelques jours plus tard en voyant un message de demande de paiement de rançon ou en constatant qu'il ne peut pas accéder à ses fichiers. En effet, certains ransomwares n’affichent pas systématiquement la page de demande de rançon sur l’écran de l’utilisateur. Le fait que l’infection ne soit pas détectée rapidement permet, dans plusieurs cas, une propagation de l’outil malicieux sur plusieurs ordinateurs ou serveurs du réseau, occasionnant ainsi plus de dégâts.
Dans les cas de piratage pour vol de données, plusieurs mois s’écoulent entre l’accès malicieux au réseau et la découverte de l’intrusion.
Brute force de type RDP
Plusieurs entreprises offrent l’accès à distance de leur réseau via le protocole RDP. Pour cette pratique, l’utilisateur lance une session, entre son nom d’usager et son mot de passe. Si ces informations sont bonnes, l’utilisateur a accès au réseau à distance, dans les mêmes conditions que s’il était physiquement au bureau. Si une telle solution favorise le télétravail par exemple, elle augmente aussi votre niveau d’exposition aux cyberattaques. En effet, les serveurs RDP sont rapidement identifiés par des outils malicieux automatisés (robots) qui balaient Internet 24/7. Ainsi, dès que vous branchez un serveur RDP accessible sur Internet, environ 5 minutes s’écoulent avant qu’il commence à être attaqué.
Ces robots attaquent ensuite votre serveur RDP en simulant les connexions des utilisateurs. Pour cela, ils essaient plusieurs combinaisons de nom d’usager et mots de passe, jusqu’à trouver un accès valide. Cette attaque est communément appelée : brute force.
Une fois que le robot trouve un accès valide, le pirate entre en action. Il peut se connecter à votre réseau, rechercher des ordinateurs et serveurs intéressants pour les infecter par un ransomware, voler des données, etc.
Dans plusieurs cas, l’attaque brute force a duré plusieurs jours avant que le pirate entre dans le réseau. Une fois dedans, il y reste pendant des mois afin de trouver des cibles intéressantes (contrôleurs de domaine, base de données sensible, etc.). Le paradoxe est que ce type d’attaque est très facile à détecter en faisant une surveillance minimaliste de son réseau.
Injection de shellcode ou exploit d’attaque
En plus de la recherche de serveurs RDP, les robots qui balaient Internet identifient aussi des machines (serveurs web, DNS, etc.) qui ont des vulnérabilités connues. Une fois qu’une machine vulnérable est identifiée, les robots lancent un programme informatique (appelé shellcode ou exploit d’attaque) qui va essayer d’exploiter la vulnérabilité afin de prendre le contrôle de la machine. Si l’attaque aboutit, un pirate prendra le relais par la suite.
Les exploits d’attaque ne sont pas détectables par le coupe-feu ou les antivirus. Il faut des technologies plus évoluées (tel que le CDS de StreamScan) pour détecter de telles attaques.
Dans un cas observé, l’attaque par un shellcode a permis l’arrêt à distance de l’antivirus sur un serveur avant que le pirate l’infecte par un ransomware.
Dans un autre cas, l’attaque par shellcode a permis le minage de cryptomonnaie sur des serveurs web d’une entreprise, sans même que le pirate prenne le contrôle de ces serveurs web.
Informations achetées sur le Darkweb
Nous observons de plus en plus de piratages de boîtes courriels Office 365 dans le Cloud appuyés sur des informations achetées sur le Darkweb (comme des noms/prénoms, des adresses courriels et mot de passe, etc). Ces informations sont collectées lors de piratages massifs tels que celui de Linkedin ou Yahoo par exemple. À partir de ces informations, les pirates font des recherches d’informations additionnelles sur les réseaux sociaux afin d’avoir plus d’informations sur les utilisateurs. S’ils déterminent que vous êtes une cible d’intérêt (ex. : vous travaillez dans le département des finances où vous faites partie de la haute direction), ils prennent le contrôle de votre boîte de courriel Office 365, observent les courriels que vous échangez et élaborent une attaque qui aboutit à une fraude.
Infection par navigation sur un site web malicieux
On observe de plus en plus d'infections lors de la navigation sur des sites internet malicieux. Des milliers de sites web apparaissent chaque jour et les outils de filtrage web ne sont pas en mesure de les détecter ou de les bloquer. Les pirates exploitent cette insuffisance et s’il arrive qu’avec le temps leur site malicieux se fait bloquer par un outil de filtrage web, ils déplacent tout simplement leurs activités malicieuses sur un nouveau site. On assiste donc à un jeu du chat et de la souris qui est à l’avantage du pirate.
Il arrive aussi que les pirates prennent le contrôle d’un site web légitime très achalandé et y insèrent un programme malicieux qui infecte les utilisateurs lors de leur navigation. L’avantage pour eux d’utiliser ce genre de site web tient au fait qu’ils peuvent infecter un grand nombre de personnes rapidement. Dans un cas observé, le site web d’une compagnie de transport/métro a été piraté à cet effet. Les pirates ont inséré un lien malicieux sur lequel tous les utilisateurs qui cliquent étaient infectés. Ce n’est donc pas parce que vous naviguez sur le site web d’une entreprise connue que vous êtes en sécurité. Soyez vigilants en tout temps.
Comment vous protéger
En matière de cybersécurité, on ne peut se protéger que contre ce que l'on voit. Voici nos recommandations pour vous protéger :
- Sensibilisez régulièrement vos employés sur les risques de sécurité notamment l’hameçonnage.
- Mettez en place un ou des outils de détection d’intrusions qui vous permettent d’avoir une visibilité à 360 degrés de votre réseau.
- Surveillez constamment votre réseau afin d’identifier les cyberattaques qui vous ciblent. Vous pourrez ainsi identifier les mesures de protection adéquates et efficaces à mettre en place pour rehausser votre sécurité.
- Identifiez régulièrement les vulnérabilités de votre réseau et appliquez les correctifs de sécurité.
- Ne vous fiez pas uniquement aux outils de gestion des événements de sécurité (SIEM), car ils ont de faibles capacités de détection de cyberattaques. Par exemple, les SIEM ne peuvent pas détecter les attaques par shellcode, qui sont assez fréquents et peuvent causer des dégâts importants.
- Utilisez une authentification à facteurs multiples (MFA) pour les accès à distance à votre réseau.
- Mettez en place un contrôle d’accès robuste : les comptes utilisateurs doivent se verrouiller automatiquement pendant une période de temps (ex : 10 min) ainsi qu'après 3 ou 5 tentatives d’accès échouées. Accéder à distance à votre réseau corporatif via VPN plutôt que par RDP.
- Vérifiez régulièrement si vos informations sont vendues sur le Darkweb.
- Utilisez une authentification à facteurs multiples (MFA) pour l’accès à votre boîte de courriels dans le Cloud (Office 365, ou autres).
Besoin d'aide ? StreamScan est là.
Que vous ayez besoin d'aide pour mener un audit de sécurité, élaborer un plan de sécurité ou mettre en œuvre une solution de Détection et Réponse Gérées (MDR), StreamScan dispose d'experts ayant des années d'expérience dans le secteur manufacturier qui peuvent vous aider. Contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au 1 877 208-9040.