REPORT GARTNER

2023 Gartner® Market Guide Analyse et évaluation des principales plateformes d’IT Service Management

EV Blog

Actualités et tendances sur la transformation des services

Contacter le
support client!

Blog

Vous souhaitez en savoir plus sur l'ITSM, l'ESM, le libre-service, la gestion des connaissances, l'IA, etc. ? Nous avons ce qu'il vous faut.

Ressources

Nous nous engageons à fournir des ressources qui vous aident à répondre à tous vos besoins en logiciels ITSM.

Webinars

Restez à jour sur nos derniers webinaires et événements ITSM, ITOM ou ESM maintenant.

Société

Le Groupe

RSE

Carrière

The Latest on EV

Restez informé des dernières actualités et événements d'EasyVista.

EasyVista | 06 juin 2024

Se protéger contre les menaces cybernétiques modernes : comment EV Reach peut atténuer les risques posés par les attaques d'ingénierie sociale

Dans un paysage de cybersécurité en constante évolution, les acteurs malveillants adaptent continuellement leurs méthodes pour exploiter les vulnérabilités et cibler des victimes peu méfiantes. Une affaire récente implique un groupe cybercriminel connu de l'équipe Microsoft Threat Intelligence sous le nom de Storm-1811. On a observé que ce groupe, motivé par des gains financiers, faisait un usage abusif de l'outil Microsoft Quick Assist dans des attaques d'ingénierie sociale, exposant par là-même à des risques significatifs des organismes ou entreprises de divers secteurs (The Hacker News, 2024).

La menace : exploitation de Quick Assist par Storm-1811

Storm-1811, connu pour déployer le ransomware Black Basta, utilise Quick Assist - une application légitime de Microsoft conçue pour faciliter l’assistance technique à distance - comme vecteur pour ses attaques. Ces attaques commencent par une tentative de phishing vocal où les pirates se font passer pour des contacts de confiance : l’assistance technique de Microsoft ou des professionnels de l’informatique de l’entreprise. Cette usurpation leur permet de duper les victimes afin qu'elles installent des outils de gestion et de surveillance à distance (RMM) qui serviront de vecteurs pour déployer des charges utiles plus dangereuses comme QakBot, Cobalt Strike et finalement, le ransomware Black Basta.

Une fois l'accès initial obtenu à partir de Quick Assist, Storm-1811 exécute des commandes cURL scriptées pour télécharger des fichiers batch malveillants ou des fichiers ZIP. Ces fichiers permettent d'effectuer d’autres activités de piratage, notamment l'énumération de domaines, les mouvements latéraux au sein du réseau et le déploiement du ransomware en passant par des outils comme PsExec.

Cette méthode d'attaque est particulièrement insidieuse car elle exploite la confiance dans les outils légitimes et le manque de sensibilisation des utilisateurs. Quick Assist est une application intégrée aux appareils Windows, souvent perçue comme un moyen sûr de recevoir une assistance technique. Cependant, cette confiance elle-même en fait un outil puissant entre les mains des cybercriminels. En convainquant les utilisateurs de permettre l'accès à distance, les acteurs de la menace peuvent contourner de nombreuses mesures de sécurité, car la victime leur donne accès en priorité.

Pour comprendre pleinement la gravité de ces attaques, il est essentiel de plonger dans le fonctionnement détaillé de Storm-1811 et de comprendre les implications plus larges des tactiques utilisées.

Anatomie de l'attaque :

La chaîne d'attaque de Storm-1811 implique plusieurs étapes, chacune minutieusement conçue pour assurer le déploiement réussi du ransomware :

  1. Contact initial et usurpation d'identité : Les attaquants entrent en contact avec la victime par hameçonnage vocal. Ils usurpent l’identité de personnes de confiance comme l’assistance technique Microsoft ou des professionnels de l’informatique de l’entreprise de la victime. Cette tactique d’ingénierie sociale est efficace car elle exploite la confiance de la victime et son manque de connaissances techniques.
  2. Installation d'outils RMM : L'usurpation d'identité est suivie de consignes guidant la victime pour qu'elle installe des outils de gestion et de surveillance à distance (RMM). Ces outils sont légitimes et largement utilisés dans le support informatique mais peuvent être manipulés à des fins malveillantes. Les attaquants utilisent ces outils pour prendre pied dans le système de la victime.
  3. Livraison de payloads malveillants : Grâce à l’installation des outils RMM, les attaquants fournissent une série de payloads. Cela implique le téléchargement et l’exécution de scripts qui installent QakBot, un cheval de Troie bancaire notoire, et Cobalt Strike, un outil de test d’intrusion reconverti pour des activités malveillantes. Ces outils fournissent aux attaquants un accès permanent et la possibilité d’effectuer diverses opérations de piratage sur le système compromis.
  4. Déploiement du ransomware : La dernière étape concerne le déploiement du ransomware Black Basta. En utilisant des outils comme PsExec, les attaquants propagent le ransomware sur le réseau de la victime, cryptent les fichiers et exigent une rançon pour leur décryptage.

Cette attaque en plusieurs étapes met en évidence la nature sophistiquée des menaces cybernétiques modernes. Elle souligne l'importance d'une stratégie de sécurité globale qui va au-delà des défenses traditionnelles et aborde les causes profondes des vulnérabilités.

La solution : la défense proactive avec EV Reach

À la lumière de ces menaces sophistiquées, les entreprises doivent adopter des mesures proactives pour protéger leurs infrastructures informatiques. EV Reach offre une solution complète qui répond aux vulnérabilités exploitées par des acteurs de la menace comme Storm-1811. Voici comment EV Reach peut renforcer vos défenses en matière de cybersécurité :

  1. Contrôle d'accès à distance : EV Reach fournit des fonctionnalités de contrôle à distance sécurisées et conformes qui permettent aux équipes d’assistance informatique de gérer les postes de travail, serveurs, commutateurs et pare-feu sans exposer les systèmes à la vue du public. Cela minimise le risque associé aux outils d'accès à distance comme Quick Assist.
    Le contrôle d’accès à distance est une composante essentielle de l’assistance informatique moderne. Il permet aux techniciens de dépanner et de résoudre rapidement les problèmes, quelle que soit la localisation de l’utilisateur. Cependant la commodité de l’accès à distance introduit également des risques de sécurité significatifs. L’accès non autorisé peut entraîner des violations de données, la compromission du système et d’autres activités malveillantes. EV Reach atténue ces risques en mettant en œuvre des mesures de sécurité robustes, notamment l’authentification multifactorielle (MFA), le cryptage et la journalisation des activités. Ces fonctionnalités garantissent que seul le personnel autorisé peut accéder aux systèmes sensibles et que toutes les actions sont suivies à des fins de responsabilité et de vérification.

     

  2. Surveillance en temps réel et automatisation des processus : EV Reach permet la surveillance, le reporting et l'automatisation des processus, en garantissant que les menaces potentielles soient détectées et atténuées avant qu'elles ne causent de dommages. Les tâches automatisées peuvent gérer les processus informatiques de routine, en réduisant le risque d'erreur humaine et en améliorant les temps de réponse aux menaces émergentes.
    La surveillance en temps réel est essentielle pour maintenir la sécurité et l'intégrité des systèmes informatiques. Elle permet aux entreprises de détecter les anomalies, comme des schémas de connexion inhabituels ou des modifications inattendues des configurations système, qui peuvent indiquer une violation de sécurité. Les capacités de surveillance d'EV Reach fournissent aux équipes informatiques des informations exploitables et leur permettent de répondre rapidement aux menaces potentielles. De plus, l'automatisation des processus rationalise les tâches de routine, comme les mises à jour logicielles et la gestion des correctifs, en garantissant que les systèmes restent sécurisés sans nécessiter d’intervention manuelle constante.

  3. Gestion sécurisée des terminaux : Avec EV Reach, les entreprises peuvent déployer une gestion des terminaux sans surveillance, ce qui permet une prise en charge discrète sans interrompre les utilisateurs. Cela inclut les moteurs de requêtes en temps réel et les back-ends de base de données en mode secours pour garantir la continuité de service.

    La gestion des terminaux est primordiale pour maintenir la sécurité et la performance de l'infrastructure informatique d'une entreprise. Les capacités de gestion non assistée permettent aux équipes informatiques d'effectuer les tâches de maintenance et de sécurité nécessaires sans perturber l'expérience utilisateur. Ce qui est particulièrement important dans les grandes entreprises avec une main d’œuvre répartie, où les temps d'arrêt peuvent avoir un impact significatif sur la productivité. Les fonctionnalités de gestion des terminaux d'EV Reach incluent le déploiement de logiciels, la gestion des correctifs et la surveillance des performances, et contribuent ainsi à un environnement informatique sécurisé et efficace.

  4. Conformité et contrôle améliorés : EV Reach inclut des fonctionnalités de contrôle des actions des techniciens et d’évaluation de la conformité, et permet par là-même de la transparence et une plus grande responsabilité dans toutes les opérations informatiques. Ce qui est indispensable pour détecter les accès non autorisés ou les activités suspectes et y répondre rapidement.

    La conformité aux réglementations et normes de l'industrie est une priorité absolue pour de nombreux organismes, en particulier ceux des secteurs hautement réglementés comme la finance et la santé. Les capacités de contrôle d'EV Reach aident les organisations à respecter ces exigences en fournissant des enregistrements détaillés de toutes les activités informatiques. Cela inclut le suivi des actions des techniciens, des modifications système et des événements d'accès. Ces enregistrements peuvent être utilisés pour démontrer la conformité lors des contrôles et pour enquêter sur des incidents de sécurité potentiels. En maintenant un journal d’audit complet, les entreprises peuvent renforcer leur posture de sécurité et réduire le risque de sanctions réglementaires.

  5. Support informatique complet : De la réinitialisation des mots de passe et du déblocage de comptes au déploiement de logiciels et à la surveillance des performances, EV Reach offre toute une gamme d'outils pour soutenir efficacement l'infrastructure informatique. Cette approche holistique garantit que tous les aspects de la gestion IT sont couverts en réduisant la probabilité de lacunes en matière de sécurité.
    Un support informatique efficace est essentiel pour maintenir la productivité et la satisfaction des utilisateurs finaux. EV Reach fournit une large gamme d'outils d’assistance permettant aux équipes informatiques de résoudre rapidement et efficacement les problèmes courants. Cela inclut la réinitialisation automatisée des mots de passe, le déblocage des comptes et les installations logicielles. En automatisant ces tâches de routine, EV Reach réduit la charge de travail du personnel informatique, en lui permettant de se concentrer sur les problèmes plus complexes. De plus, les outils de surveillance des performances aident à identifier les problèmes potentiels avant qu'ils n'impactent les utilisateurs, et garantissent une expérience informatique fluide et ininterrompue.

  6. Solutions évolutives et abordables : Les tarifs évolutifs et les exigences minimales en matière d'infrastructure d'EV Reach en font une solution accessible pour les entreprises de toutes tailles. Sa capacité à s'intégrer aux systèmes existants renforce davantage sa valeur et offre une sécurité robuste sans frais généraux importants.

    L'adaptabilité est une considération clé pour les entreprises cherchant à investir dans des solutions IT. Le modèle de tarification flexible d'EV Reach permet aux organisations de dimensionner leur utilisation en fonction de leurs besoins, tout en garantissant qu'elles ne paient que pour les fonctionnalités qu'elles utilisent. Cela fait d'EV Reach une option abordable pour les petites et moyennes entreprises (PME) comme pour les grandes entreprises. Les exigences minimales en matière d'infrastructure signifient que les entreprises peuvent mettre en place EV Reach rapidement et facilement, sans besoin d'investissements en matériel importants. Cette facilité de mise en place, combinée aux fonctionnalités de sécurité robustes, fait d'EV Reach une option attrayante pour les organisations cherchant à renforcer leurs capacités d’assistance informatique.

Le contexte plus large : comprendre les attaques par ransomware et ingénierie sociale

Pour apprécier pleinement la valeur d'EV Reach, il est important de comprendre le contexte plus large des attaques par ransomware et ingénierie sociale. Le ransomware est un type de logiciel malveillant qui crypte les fichiers d'une victime et exige un paiement de rançon pour en restaurer l'accès. Il est devenu l'une des formes de cybercriminalité les plus répandues et les plus dommageables, affectant des organismes de toutes tailles et de tous secteurs.

Les attaques d'ingénierie sociale, comme celles employées par Storm-1811, sont conçues pour manipuler les individus afin qu'ils divulguent des informations confidentielles ou accomplissent des actions qui compromettent la sécurité. Ces attaques instrumentalisent la psychologie humaine, en s'appuyant sur des tactiques telles que l'usurpation d'identité, la tromperie et l'urgence, afin d’inciter les victimes à agir contre leur propre intérêt.

La combinaison de ransomware et d'ingénierie sociale crée un paysage de menace particulièrement redoutable. Les pirates peuvent contourner les défenses techniques en ciblant l'élément humain, en accédant aux systèmes par des moyens apparemment légitimes. Cela souligne l'importance de stratégies de cybersécurité globales qui tiennent compte à la fois des facteurs technologiques et humains.

L'impact des attaques par ransomware

Les attaques par ransomware peuvent entraîner des conséquences dévastatrices pour les entreprises. Les coûts financiers incluent les paiements de rançons, les frais de recouvrement et les pertes de revenus dues aux temps d'arrêt. Cependant, l'impact va au-delà des pertes financières :

  1. Perturbation opérationnelle : Les ransomwares peuvent interrompre les opérations commerciales, en perturbant les services et en provoquant des temps d’arrêt importants. Cela peut être particulièrement dommageable pour les secteurs des infrastructures essentielles comme les soins de santé, le transport ou les services publics.

  2. Perte et corruption de données : Même si la rançon est payée, il n'y a aucune garantie que les cybercriminels fourniront la clé de décryptage ou que les données seront récupérables. Les entreprises peuvent subir une perte ou une corruption de données permanentes qui affecteront leur capacité à fonctionner et à servir les clients.

  3. Atteinte à la réputation : Les attaques de ransomware peuvent nuire à la réputation d’une entreprise ou d’un organisme et éroder la confiance et la fidélité des clients. La publicité négative associée à une violation de données - ou à un temps d’arrêt prolongé - peut avoir des effets à long terme sur la fidélité à l’image de marque et les relations avec la clientèle.

  4. Pénalités réglementaires : Le non-respect de la protection des données sensibles peut entraîner des pénalités réglementaires et des responsabilités légales. Les entreprises ou organismes peuvent avoir à payer des amendes et à subir des sanctions de la part des organismes de réglementation, en particulier s’ils ne se conforment pas aux lois sur la protection des données et de la vie privée.

Le rôle de la formation et de la sensibilisation des employés

Bien que les solutions technologiques comme EV Reach soient primordiales pour se défendre contre les menaces cybernétiques, la formation et la sensibilisation des employés sont tout aussi importantes. Les entreprises doivent éduquer leur personnel sur les dangers des attaques d'ingénierie sociale et l'importance des meilleures pratiques en matière de cybersécurité. Cela inclut :

  1. De reconnaître les tentatives de phishing : Les employés doivent être formés à reconnaître les courriels de phishing et les appels téléphoniques suspects. Cela inclut d'être prudent face aux demandes spontanées d'informations sensibles et implique de vérifier l'identité de l'appelant ou de l'expéditeur.

  2. De sécuriser l'accès à distance : Les employés doivent comprendre les risques associés aux outils d'accès à distance et suivre les meilleures pratiques pour sécuriser les connexions à distance. Cela inclut l'utilisation de mots de passe forts et uniques, l'activation de l'authentification multi-facteurs et la prudence quant à l'octroi de l'accès à distance.

  3. De signaler les activités suspectes : Les entreprises doivent établir des protocoles clairs pour signaler les activités suspectes. Les employés doivent se sentir encouragés à signaler les incidents de sécurité potentiels sans crainte de représailles. Un signalement rapide peut aider les équipes informatiques à réagir rapidement pour atténuer les menaces.

  4. Une formation et des simulations régulières : Une formation continue et des exercices de simulation de phishing peuvent aider à renforcer la sensibilisation à la cybersécurité. En testant régulièrement la capacité des employés à reconnaître et à répondre aux menaces, les entreprises ou organismes peuvent identifier les domaines à améliorer et renforcer ainsi leur posture de sécurité globale.

Conclusion

Les attaques récentes de Storm-1811 soulignent l'importance de mesures robustes en matière de cybersécurité. En exploitant des outils légitimes comme Quick Assist, les cybercriminels peuvent contourner les défenses traditionnelles et semer le chaos dans les systèmes informatiques. Cependant, avec des solutions comme EV Reach, les entreprises peuvent anticiper ces menaces grâce à une surveillance proactive, un accès à distance sécurisé et une gestion complète des terminaux. Investir dans de telles technologies permet non seulement de réduire les risques actuels, mais aussi de préparer les organisations aux défis futurs dans le paysage de menace cybernétique en constante évolution.

En adoptant EV Reach, les organisations peuvent améliorer leur posture de cybersécurité en s'assurant qu'elles sont bien équipées pour prévenir, détecter et répondre aux menaces, protégeant ainsi leurs opérations et maintenant la continuité des activités. L’intégration d’un contrôle d’accès à distance avancé, d'une surveillance en temps réel, d'une automatisation des processus et d'une assistance informatique complète fait d'EV Reach un atout précieux dans la lutte contre la cybercriminalité.

En conclusion, la clé d'une cybersécurité efficace réside dans une combinaison de solutions technologiques avancées, d'une formation continue et d'une sensibilisation des employés. En abordant à la fois les éléments techniques et humains de la sécurité, les entreprises peuvent construire une défense robuste contre les tactiques sophistiquées employées par les cybercriminels modernes. Alors que le paysage des menaces continue d'évoluer, des mesures de sécurité proactives et globales seront essentielles pour protéger les données sensibles, maintenir l'intégrité opérationnelle et garantir le succès à long terme de l’entreprise.

Référence : The Hacker News, 2024

Subscribe to Email Updates

EasyVista

EasyVista is a global software provider of intelligent solutions for enterprise service management, remote support, and self-healing technologies. Leveraging the power of ITSM, Self-Help, AI, background systems management, and IT process automation, EasyVista makes it easy for companies to embrace a customer-focused, proactive, and predictive approach to their service and support delivery. Today, EasyVista helps over 3,000+ enterprises around the world to accelerate digital transformation, empowering leaders to improve employee productivity, reduce operating costs, and increase employee and customer satisfaction across financial services, healthcare, education, manufacturing, and other industries.