Les équipes de sécurité sont aux prises avec les ransomwares et les services cloud

  • FrançaisFrançais


  • Les ransomwares, les systèmes Internet non sécurisés et les attaques contre les services cloud figurent parmi les principales menaces auxquelles l’industrie est confrontée cette année, selon de nouveaux et récents rapports de renseignements sur les menaces.

    Le rapport sur les menaces du deuxième trimestre publié aujourd’hui par Rapid7 et détaillant les derniers outils et tactiques utilisés dans les campagnes cybernétiques ciblant le secteur privé, a fait du secteur manufacturier le secteur industriel le plus ciblé au deuxième trimestre, suivi des secteurs de la finance, de la vente au détail et de la santé.

    Même si les fabricants se sont régulièrement classés en tête de liste dans les rapports précédents, il y avait une augmentation notable suivie par Rapid7 entre le premier et le deuxième trimestre. De nombreuses industries souffrent de technologies héritées obsolètes ou non sécurisées, de problèmes d’interopérabilité qui empêchent les correctifs en temps opportun et d’autres problèmes courants, mais Wade Woolwine, chercheur principal en sécurité et l’un des auteurs du rapport, a déclaré à SC Media que le secteur manufacturier en particulier avait de «mauvaises pratiques informatiques , en général »et moins de surveillance réglementaire de leurs pratiques de sécurité numérique par rapport aux autres secteurs.

    «Dans tout le travail que j’ai effectué avec les clients industriels, leurs systèmes informatiques sont vraiment loin derrière… les raisons commerciales [for doing something] ont généralement préséance sur les raisons de sécurité », a déclaré Woolwine. «Parce que si vous arrêtez le système Windows XP qui exécute tout le facteur, vous êtes dans la crique proverbiale et aussi la société qui a écrit ce logiciel a cessé ses activités il y a 10 ans. Par conséquent, ils ont un défi vraiment unique pour équilibrer la sécurité et les priorités commerciales, et le résultat net est que cela crée une énorme surface d’attaque pour les attaquants. »

    La dépendance du secteur manufacturier à l’égard des systèmes informatiques pour rester opérationnel et solvable, combinée à son rôle dans la construction et la vente d’une grande partie de notre matériel et de nos logiciels, en fait une cible attrayante pour les pirates informatiques à but lucratif ainsi que pour les groupes de menaces persistantes avancées qui cherchent à voler la propriété intellectuelle ou saboter la chaîne d’approvisionnement. Un rapport sur les menaces publié plus tôt ce mois-ci par l’équipe OverWatch de CrowdStrike a révélé des problèmes uniques similaires dans le secteur de la fabrication, affirmant qu’il ne fait partie que d’une poignée d’industries qu’OverWatch voit régulièrement ciblées par des adversaires parrainés par l’État et par eCrime.

    Ce type de mauvaise posture de sécurité peut entraîner des problèmes aggravants lorsque les systèmes se déconnectent en raison d’une intrusion.

    «Si un attaquant – ransomware ou autre – frappe [a vulnerable manufacturer], vous savez qu’ils sont payés », a déclaré Woolwine. «Quoi qu’ils demandent, ils sont payés, donc au fil du temps, les attaquants ont acquis une meilleure connaissance des affaires.»

    Ce ne sont pas seulement les fabricants qui doivent s’inquiéter. Les attaques de ransomwares ont explosé dans le secteur privé, les gouvernements étatiques et locaux et les systèmes scolaires au cours des deux dernières années à un moment où une récession économique, des coupes budgétaires et une nouvelle dépendance au travail à distance ont laissé de nombreuses organisations vulnérables.

    Le rapport de CrowdStrike a retracé «l’extraordinaire succès que les acteurs de la menace ont vu avec des intrusions ciblées utilisant des ransomwares et des modèles de ransomware-as-a-service», Dharma, Phobos, Medusa Locker, REvil et Makop constituant les cinq principales variantes que l’entreprise a vues déployées entre Janvier et juin. Alors que les groupes de piratage des États-nations reçoivent souvent plus de presse, la société a constaté que plus de 80% des intrusions observées au cours du premier semestre 2020 étaient le fait d’eCrime.

    Les cybercriminels «continuent de remporter un énorme succès avec les campagnes de« chasse au gros gibier », et la disponibilité de logiciels malveillants de base via des modèles de ransomware-as-a-service a contribué à une prolifération d’activité d’un plus large éventail d’acteurs de la cybercriminalité», indique le rapport.

    Le volume de menaces contre les e-mails et les systèmes basés sur le cloud reste élevé alors que les groupes de piratage des États-nations et les gangs de ransomwares se tournent de plus en plus vers l’exploitation des fournisseurs de services gérés. Cette activité ne fera probablement qu’augmenter dans les années à venir.

    «Nous avons vu une énorme augmentation [of attacks against cloud providers] il y a probablement quatre ou cinq trimestres… mais depuis, nous l’avons vu se maintenir très stable depuis », a déclaré Woolwine.

    Un pot de miel mis en place par le Rapid7 a détecté des connexions réseau de type Mirai pour les téléchargeurs de logiciels malveillants de deuxième étape provenant de plus de 8 000 adresses IP de botnet, provenant de serveurs Web, de routeurs, de caméras DVR et d’autres appareils IoT. Cela représentait une hausse «hors norme» de l’activité mesurée par rapport aux trimestres précédents.

    Alors que la pandémie de coronavirus et le passage ultérieur à grande échelle au travail à distance dans tout le pays ont ouvert à bien des égards un âge d’or pour les cybercriminels et les arnaqueurs, les données de télémétrie d’un autre pot de miel ont suivi «une baisse d’un ordre de grandeur» dans les attaques quotidiennes par force brute de serveur SQL à partir de mai. .

    Cependant, il existe toujours un pool de près de 100000 instances de serveur SQL exposées à Internet, et les chercheurs ont détecté une gamme d’activités malveillantes dans leur pot de miel, allant des tentatives d’installation de logiciels de cryptomining à l’exploitation de systèmes non corrigés avec EternalBlue, un outil de piratage développé à l’origine par le National Security Agency et plus tard fui dans la nature par les Shadow Brokers.

    Le principal à retenir de cette recherche: «Vous prenez un risque énorme de mettre n’importe quelle interface de requête de base de données directement sur Internet et doublement si elle est accessible avec de simples informations d’identification», a noté Rapid7.

    Source

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *