Le Monthly Threat Report by Hornetsecurity vous donne des informations mensuelles sur les tendances de sécurité M365, les menaces basées sur les emails et des informations sur les événements actuels dans le domaine de la cybersécurité. Cette édition du rapport mensuel sur les menaces se concentre sur les données du mois de juin.
Ce que vous allez découvrir ce mois :
• Le nombre d'attaques par e-mail nécessitant peu d'efforts et à volume élevé a augmenté au cours du mois de juin, tandis que d'autres attaques plus ciblées ont diminué.
• Les fichiers HTML malveillants sont le type de fichier le plus utilisé au cours du mois pour conduire des attaques. Cela s’explique en partie par une nouvelle campagne de « Pastejacking » que nous avons observée courant juin.
• Les industries minières, du divertissement et manufacturières ont été les industries les plus ciblées au cours du mois dernier.
• Les usurpations d’identité de marques pour le mois sont en baisse, les marques les plus usurpées pour le mois étant FedEx, Facebook et DHL.
• Le service Cyptocurrency Wallet Metamask a mené une petite campagne ciblant spécifiquement les utilisateurs de métamask avec des tentatives d'usurpation d'identité de marque.
• Les clients du fournisseur de stockage de données cloud SnowFlake ont été activement ciblés par des acteurs malveillants dans le cadre d'une campagne qui a piraté environ 165 organisations. Il semble que SnowFlake lui-même n'ait pas été atteint.
• Change Healthcare a finalement annoncé quel type d'informations avait été divulgué dans le cadre d'une importante attaque de ransomware plus tôt cette année. La quantité de données divulguées est importante.
• Kaspersky a été interdit par les autorités fédérales américaines d'exercer des activités commerciales dans le pays. À partir du 20 juillet 2024, la vente du logiciel Kaspersky aux États-Unis ne sera plus autorisée.
• Le FBI est entré en possession d'un certain nombre de clés de décryptage Lockbit. Si votre organisation a été impactée par Lockbit et que vous n'avez pas encore accès à vos données, veuillez consulter la section ci-dessous sur ce sujet.
Overview des menaces
Emails indésirables par catégorie
Le graphique suivant présente la répartition des emails indésirables par catégorie pour juin 2024 par rapport à mai 2024.
Emails indésirables par catégorie
Durant le mois de juin, nous avons observé une augmentation notable du nombre d'attaques par e-mail nécessitant peu d'effort, comme l'indique l'augmentation de 4,5 points de pourcentage des e-mails « rejetés ». Les autres types de menaces par e-mail étaient en baisse au cours du mois. Une raison possible à cela est que nous entrons maintenant dans les mois d’été. Les auteurs de menaces savent qu’il y a moins de monde au bureau et ils cherchent probablement eux-mêmes à s’absenter du « bureau ». Un moyen simple de compenser les attaques ciblées consiste donc à augmenter le volume global d’e-mails malveillants sur le Web.
REMARQUE : Pour rappel, la catégorie « Rejeté » fait référence aux emails que les services Hornetsecurity ont rejeté lors du dialogue SMTP en raison de caractéristiques externes, telles que l'identité de l'expéditeur ou l'adresse IP. Si un expéditeur est déjà identifié comme compromis, le système ne procède pas à une analyse plus approfondie. Le serveur SMTP refuse le transfert d’email au point de connexion initial en raison de la réputation négative de l’adresse IP et de l’identité de l’expéditeur.
Les autres catégories de l'image sont décrites dans le tableau ci-dessous :
|
Catégorie |
Description |
|
Spam |
Ces e-mails sont indésirables et sont souvent promotionnels ou frauduleux. Les e-mails sont envoyés simultanément à un grand nombre de destinataires. |
|
Menace |
Ces e-mails contiennent du contenu nuisible, tel que des pièces jointes ou des liens malveillants, ou sont envoyés pour commettre des délits comme le phishing. |
|
Menace avancée |
Advanced Threat Protection a détecté une menace dans ces e-mails. Les e-mails sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu'à l'aide de procédures dynamiques avancées. |
|
Rejeté |
Notre serveur de messagerie rejette ces e-mails directement lors de la boîte de dialogue SMTP en raison de caractéristiques externes, telles que l'identité de l'expéditeur, et les emails ne sont pas analysés davantage. |
Types de fichiers utilisés dans les attaques par email
Le graphique suivant montre la répartition des types de fichiers utilisés dans les attaques par e-mail tout au long de la période.
Principaux types de fichiers dans les attaques par email
Le mois de juin a été marqué par une augmentation du nombre de fichiers HTML malveillants utilisés dans les attaques par e-mail. Les fichiers HTML, qui restent en tête des menaces, ont récemment été utilisés dans une nouvelle campagne d'attaque utilisant le « Pastejacking » dont nous avions parlé il y a quelques semaines. Dans cette attaque, un fichier HTML malveillant est inclus dans l'e-mail et indique à l'utilisateur que le « correctif » pour un problème perçu a été placé dans son presse-papiers. La cible est ensuite invitée à ouvrir PowerShell (ou similaire) et à coller le contenu, conduisant finalement à une infection.
La plupart des autres types de fichiers de menaces ont connu une diminution par rapport aux mois précédents, à l'exception des fichiers de script qui ont connu une augmentation de 1,8 point de pourcentage.
Indice des emails frauduleux par secteur d’activité
Le graphique suivant présente notre indice de menace email par secteur d’activité, calculé en fonction du nombre d'emails de menace par rapport aux emails légitimes de chaque secteur (en médiane). Différentes organisations reçoivent un nombre d’emails différent. Ainsi, nous calculons la part en pourcentage des emails de menace par rapport aux menaces et aux emails légitimes de chaque organisation pour comparer les organisations. Nous calculons ensuite la médiane de ces pourcentages pour toutes les organisations du même secteur afin de former le score de menace final du secteur.
Indice des menaces email par secteur d’activité
Les industries minières, de divertissement et manufacturières ont été les plus ciblées ce mois-ci. Presque tous les secteurs ont constaté une diminution des attaques au cours du mois dernier, à l’exception du secteur du divertissement. Il n’est pas difficile de comprendre pourquoi. L’industrie du divertissement, qui inclut souvent les jeux d’argent en ligne, est propice aux escroqueries et aux acteurs malveillants. C’est une industrie que nous voyons souvent en tête de liste, et avec les mois de vacances d’été qui approchent, c’est une saison chargée en événements.
Marques et entreprises usurpées
Le graphique suivant indique les marques et les entreprises que nos systèmes ont le plus détecté lors d'attaques d'usurpation d'identité.
Marques usurpées
Les tentatives d'usurpation d'identité de marque sont en baisse pour le mois de juin. Presque toutes les marques de notre top dix ont constaté une diminution des activités d'usurpation d'identité, à l'exception d'une petite campagne ciblant spécifiquement les utilisateurs de Metamask. Metamask est une application de portefeuille de crypto-monnaie populaire. Les acteurs malveillants usurpent généralement l’identité de ces types de services pour tenter d’accéder au portefeuille de la cible et à l’argent qu’il contient.
Incidents majeurs et événements de l'industrie
Violations de données affectant les clients de SnowFlake
La plus grande actualité du mois de juin a peut-être été la nouvelle de la multitude d'attaques contre les instances Snowflake à travers le monde. SnowFlake est une entreprise qui propose des services de stockage de données, d’analyses de données et d'autres capacités de stockage cloud. Snowflake compte de nombreux clients importants qui exploitent son logiciel, dont beaucoup ont été ciblés lors d'attaques récentes - au moins 165 à ce jour (au moment d'écrire ces lignes).
Avec autant d’entreprises concernées, la conclusion logique est de savoir si le fournisseur commun (SnowFlake dans ce cas) a lui-même été victime d’une violation. Cependant, après une enquête approfondie menée par SnowFlake incluant Mandiant, aucune vulnérabilité n'existe aujourd'hui dans les systèmes SnowFlake. Au lieu de cela, il semble que presque toutes les entreprises concernées ont été piratées via des mots de passe volés qui ont ensuite été utilisés pour se connecter aux services SnowFlake. Il est également important de souligner que selon SnowFlake et Mandiant, les instances SnowFlake impactées présentaient les problèmes suivants :
-
Les instances SnowFlake n'avaient pas d'authentification multifacteur configurée.
-
Les informations d'identification n'ont pas été alternées ou mises à jour.
-
Les listes d'autorisation réseau n'ont pas été définies pour autoriser uniquement le trafic provenant de sources fiables.
Dans chaque cas, les acteurs malveillants ont réussi à exfiltrer des données sensibles et la liste des entreprises concernées s’allonge. Certaines des entreprises touchées connues comprennent :
-
Santander
-
Ticketmaster
-
Advanced Auto Parts
-
Neiman Marcus Group
-
Pure Storage
-
LendingTree
-
Los Angeles Unified
Mandiant a publié un guide de chasse aux menaces SnowFlake pour ceux qui pensent avoir été touchés.
Update sur Change Healthcare
Comme nous l’avons évoqué dans ce rapport au cours des mois précédents, Change Healthcare a subi une attaque de ransomware paralysante plus tôt cette année qui a eu un impact sur les opérations de soins de santé aux États-Unis. Cela a empêché les patients de recevoir des soins dans certains cas, et a même eu un impact sur le renouvellement des médicaments, empêchant les gens de recevoir des médicaments dont ils avaient un besoin critique dans certains cas.
Mis à part le coût humain et sanitaire, ce qui n’était pas bien connu à l’époque, c’était l’impact de la violation de données. Cette nouvelle est sortie dans une récente annonce de la société. Les informations concernées incluent potentiellement :
-
Des noms
-
Adresses
-
Dates de naissance
-
Les numéros de téléphone
-
Adresses e-mails
-
Numéros de sécurité sociale
-
Numéros de permis de conduire
-
Diagnostics officiels
-
Médicaments
-
Résultats de test
-
Imagerie
-
Plans de soin
-
Informations sur l'assurance
-
Informations bancaires
Le type de données impliquées est déjà assez grave, mais lorsque vous réalisez que Change Healthcare détenait les informations personnelles d’au moins un tiers des Américains, l’ampleur de la violation devient TRÈS rapidement évidente.
Les personnes concernées commenceront à recevoir des notifications d'impact par courrier dans les semaines à venir, selon l'entreprise.
Kaspersky interdit aux États-Unis
À compter du 20 juillet 2024, il sera interdit à Kaspersky Software de vendre ses logiciels aux États-Unis. De plus, Kaspersky n'est autorisé à fournir des mises à jour aux clients existants que jusqu'au 29 septembre 2024. Cette nouvelle est importante car c'est potentiellement la deuxième fois qu'un fournisseur de technologie se voit interdire de faire des affaires aux États-Unis. L’autre exemple qui me vient à l’esprit est l’interdiction de Huawei en 2022.
Le FBI a obtenu les clés de décryptage Lockbit
Rappel du contexte : en février dernier, le FBI et les organismes internationaux chargés de l'application des lois ont réussi à paralyser profondément l'opération Lockbit Ransomware. Dans le cadre de cette opération, le FBI a eu accès à un nombre important de clés de décryptage Lockbit (environ 7 000). Si votre organisation a été touchée et que vous travaillez toujours à accéder à vos données. Veuillez consulter les liens indiqués ci-dessus.
Prévisions pour les mois à venir
• Les attaques sophistiquées et ciblées par e-mail resteront probablement moins nombreuses tout au long de l'été. Au cours des mois d’été, nous constatons généralement une augmentation des menaces basées sur les e-mails, faciles à détecter et nécessitant peu d’efforts.
• Nous continuerons de voir des entreprises (et des particuliers) touchées par les résultats des attaques en cours ciblant les clients de SnowFlake.
• Les acteurs malveillants semblent connaître un certain succès avec la technique « Pastejacking » mentionné dans le rapport ci-dessus. Il est donc fort probable que nous continuerons à voir cette méthode utilisée dans les attaques prochainement.
Recommandations mensuelles
-
Si vous utilisez SnowFlake dans votre environnement. Veuillez prendre note des conseils fournis par Mandiant et assurez-vous que la MFA soit activée sur votre environnement de travail.
-
Au cours des prochains mois d'été, assurez-vous que les membres de votre équipe communiquent clairement toute absence. Les auteurs de menaces tentent souvent de lancer des attaques lorsqu’ils savent que certaines personnes sortent de leur routine habituelle et tentent de tirer profit de leurs vacances en tant que telles.
-
Formez vos utilisateurs finaux sur le concept de PasteJacking. Ils doivent savoir qu’il ne faut PAS suivre aveuglément les instructions provenant d’une source en ligne, même si cela semble légitime.
-
Si vous utilisez les produits Kaspersky au sein de votre entreprise et que vous résidez aux États-Unis, planifiez dès maintenant de migrer vers un autre fournisseur pour ces services.
-
Si votre entreprise a été touchée par Lockbit et que vous n'avez pas encore accès à vos données, consultez la section ci-dessus expliquant comment le FBI est désormais en possession de 7 000 clés de décryptage Lockbit.
À propos du Security Lab
Le Security Lab est une division de Hornetsecurity dédiée à l’analyse approfondie des menaces de sécurité les plus courantes et critiques, avec une spécialisation en sécurité des e-mails. L’équipe internationale de spécialistes en sécurité possède une vaste expérience en recherche en sécurité, ingénierie logicielle et science des données.
Une compréhension approfondie du paysage des menaces, fondée sur l’analyse pratique de virus réels, d’attaques de phishing, de logiciels malveillants et autres, est cruciale pour développer des contre-mesures efficaces. Les informations détaillées collectées par le Security Lab constituent la base des solutions de cybersécurité de nouvelle génération proposées par Hornetsecurity.
