Get best of the week

Attaque sur udalenka


Ces derniers jours, les médias russes ont été pleins de rapports selon lesquels les experts ont noté une augmentation des cyberattaques dans le contexte de la transition des personnes vers un lieu éloigné. Comme on dit, à qui la guerre et à qui la mère est chère. De plus, diverses entreprises spécialisées dans la sécurité de l'information conviennent que la nature des attaques de 2020 a changé. Voyons comment le nombre d'attaques de pirates informatiques a augmenté à partir du moment où les gens ont commencé à travailler en grand nombre depuis leur domicile, quels types d'attaques contre les serveurs virtuels et les ordinateurs personnels ont atteint le sommet et comment s'en protéger.

Statistiques sur les attaques de pirates


Au cours des deux dernières semaines, le nombre d'attaques de pirates de plusieurs centaines est passé à 5 000 par jour. Les spécialistes avertissent que les sites Web contenant les mots corona ou covid mentionnés dans le domaine, ainsi que les fichiers dont les noms mentionnent le coronavirus, constituent un danger potentiel. Mais pas seulement eux.

En novembre 2019, Kaspersky Lab avait prédit que les menaces dites complexes et les attaques ciblées (Advanced Persistent Threats, ART) prendraient de l'ampleur au cours de l'année à venir: il s'agissait de la fuite de données biométriques et de l'utilisation de l'IA pour profiler la victime et créer des fausses informations (deepfake), et l'extorsion ciblée. Quant à ce dernier, il a été suggéré que les attaquants s'écarteraient des méthodes de distribution de programmes de rançongiciels universels et se concentreraient sur la sélection ciblée des victimes qui étaient prêtes à payer cher pour récupérer leurs données.

Cependant, la pandémie établit ses propres règles et dans le rapport du même Kaspersky, nous voyons que, par exemple, en avril, le sommet des menaces est dirigé par une attaque d'intrusion utilisant un programme de rançongiciel universel destiné aux ordinateurs exécutant Windows. Il est mis en œuvre pour tenter d'exploiter les vulnérabilités de SMB (Server Message Block) - un protocole réseau au niveau de l'application qui fonctionne via les ports TCP 139 et 445, qui sont utilisés pour fournir un accès partagé aux fichiers et aux imprimantes, ainsi que pour l'accès à distance aux services.

Une exploitation réussie de ces vulnérabilités pourrait entraîner l'exécution de code à distance sur les ordinateurs attaqués, ce qui permet à un attaquant de télécharger le programme de rançongiciel et de le distribuer à d'autres nœuds vulnérables du réseau.


Principales menaces de Kaspersky Lab en avril 2020

En deuxième place, l'attaque Bruteforce, qui implique la sélection d'un mot de passe ou d'une clé de chiffrement pour le protocole de bureau à distance RDP, qui est le protocole propriétaire de Microsoft qui fournit à l'utilisateur une interface graphique pour se connecter à un autre ordinateur via le réseau. Le protocole RDP est largement utilisé par les administrateurs système et les utilisateurs ordinaires pour contrôler à distance les serveurs et autres ordinateurs.

Et ci-dessous sur le graphique est le nombre total de réponses antivirus de l'entreprise aux menaces de la liste en avril. Il y a une nette augmentation par rapport à fin mars et début avril. Toutes les statistiques peuvent être consultées ici .



Soit dit en passant, l'autre jour, le Laboratoire a découvert une version modifiée du cheval de Troie Android Ginp, qui demande des frais pour montrer les personnes infectées à proximité par le virus du SRAS-CoV-2.

L'Organisation mondiale de la santé a enregistré une multiplication par cinq des cyberattaques. Des attaques ont été menées à la fois contre le personnel de l'entreprise et contre la population.

Par rapport au premier trimestre de l'année dernière, l'intensité des attaques DDoS a doublé au cours de la même période de cette année. Lors de la plus grande attaque DDoS de 2020 sur les canaux de la victime, le trafic d'ordures d'une intensité de 406 Gbit / s a ​​afflué, tandis que l'attaque de pointe au premier trimestre de 2019 était de 224 Gbit / s. Au total, 51 attaques ont été notées avec des intensités supérieures à 50 Gb / s, et l'intensité moyenne était de 5 Gb / s contre 4,3 Gb / s l'année dernière ( Cnews, se référant aux données de la société Link11).

Le nombre d'attaques multi-vecteurs est passé de 47% à 64%; cependant, 66% de toutes les attaques multivectorielles consistaient en deux ou trois vecteurs utilisés simultanément. Il y a même eu 19 cas où les attaquants ont utilisé 10 vecteurs ou plus! En 2019, il n'y a pas eu de telles attaques. Les méthodes les plus couramment utilisées sont la réflexion DNS, CLDAP, NTP et WS-Discovery (ibid.).

Le nombre d'attaques à partir de botnets basés sur le cloud a augmenté: au premier trimestre de 2020, environ 47% des attaques DDoS provenaient de tels botnets, contre 31% l'année précédente (ibid.).

Ces derniers jours, Sberbank a constaté une augmentation des attaques DDoS sur ses systèmes. Depuis le début de l'année, il y en avait déjà 26, mais la banque prétend fonctionner normalement.

Après la transition des enfants vers l'enseignement à distance, le nombre de cyberattaques contre les établissements d'enseignement a quadruplé en avril. Le plus souvent, des attaques contre les systèmes d'information des écoles et universités sont perpétrées pour le vol de données personnelles et de coordonnées des étudiants en vue de leur utilisation ultérieure en ingénierie sociale. Les farceurs qui exploitent les vulnérabilités des plateformes d'apprentissage en ligne sont également «populaires», envahissant les chats et les conférences et interférant avec le processus d'apprentissage (selon Infosecurity, une société Softline).

Sur le darknet, le nombre d'offres de vente d'accès aux serveurs des grandes entreprises mondiales a été multiplié par 30: si il y a un an elles n'étaient proposées que trois, alors au premier trimestre 2020 - 88! Dans un tiers des cas, il s'agit d'entreprises dont le revenu annuel moyen se situe entre 23 et 45 milliards de dollars, et l'infrastructure des organisations compte jusqu'à 6 000 ordinateurs. Sur les plateformes illégales, ils ne vendent que certains « points d'entrée » à l'infrastructure interne des entreprises. Le plus souvent, il s'agit des informations d'identification piratées d'un utilisateur ou d'un administrateur local (RIA Novosti en référence aux données du centre de recherche Positive Technologies Positive Research).

Les types d'attaques les plus courants contre les VPS et les PC pendant 4 mois 2020


Spam et attaques de phishing. Dans les lettres, les attaquants exploitent le thème de l'épidémie, à l'aide duquel ils obtiennent les actions nécessaires auprès des utilisateurs (par exemple, ouvrir une pièce jointe) qui démarrent l'exécution de code malveillant. En conséquence, les pirates ont accès à des bureaux distants, à des machines compromises, à la capacité de surveiller les actions du destinataire, à la possibilité de tout piratage jusqu'au chiffrement des serveurs de l'entreprise et à d'autres opportunités que l'ingénierie sociale offre aux attaquants.

Ça peut être:

  • "Recommandations pour la protection contre les coronavirus." 
  • Appels prétendument de l'Organisation mondiale de la santé pour télécharger un document d'information important, envoyer des dons ou contribuer au développement d'un vaccin (l'OMS a même émis un avertissement à ce sujet).
  • . / -.
  • « » , , , , , . — «».
  • « » - .


Alertes de phishing de Allegedly Pharmacy.ru

Attaques sur des postes de travail distants. Une erreur de sécurité a été détectée qui permet à un attaquant de prendre le contrôle total d'un ordinateur Windows via le bureau à distance - BlueKeep (CVE-2019-0708). Au cours des trois dernières semaines, le nombre de nœuds de réseau accessibles via le protocole RDP a augmenté de 9% et s'élève à plus de 112 000. Aujourd'hui, plus de 10% de ces ressources sont vulnérables à BlueKeep (ibid.).

Attaques DDoS sur VPN.Avec l'augmentation du nombre d'employés travaillant à distance, l'utilisation des réseaux VPN, impliquant l'accès depuis de nombreux points différents, a fortement augmenté. Cela permet aux organisateurs d'attaques DDoS de surcharger les réseaux et de perturber gravement tous les processus. Il est important d'appliquer des technologies proactives à la protection contre les attaques DDoS, dont le but est de prévenir l'infection du système de l'utilisateur, d'éliminer les conflits et menaces potentiels avant qu'ils ne se produisent, et de ne pas rechercher les logiciels malveillants déjà connus.

Attaques sur les applications réseau et les API. Les applications et les services sont vulnérables aux attaques telles que la couche 7 qui ciblent la logique des applications Web. Leur objectif principal est l'épuisement des ressources du serveur Web lors du traitement de requêtes "lourdes", de fonctions de traitement intensives ou de mémoire.


CERT-GIB

:


En résumant les recommandations des experts de la première partie de l'article, nous pouvons distinguer les conseils généraux suivants pour assurer la sécurité des informations en quarantaine. Certains d'entre eux sembleront évidents pour beaucoup pendant longtemps, mais les rappeler ne fera pas de mal.

Vérifiez si l'entreprise au nom de laquelle la lettre est arrivée. L'entreprise a-t-elle des réseaux sociaux, toute mention sur Internet. Les fraudeurs peuvent utiliser des informations ouvertes sur l'entreprise à partir de sources officielles, donc si vous avez encore des doutes, demandez à l'entreprise de confirmer l'envoi de cette lettre.

Vérifiez si les données du champ expéditeur et de la signature automatique correspondent. Assez curieusement, les escrocs s'y trompent souvent assez souvent.

Regardez l'extension des fichiers joints.N'ouvrez pas le fichier exécutable.

Installez une solution de sécurité fiable pour votre serveur de messagerie. Il doit être régulièrement mis à jour et utiliser les bases de données actuelles.

Utilisez des ordinateurs portables d'entreprise pour les employés distants. Installez-y l'antivirus d'entreprise nécessaire au fonctionnement du logiciel, fournissez une authentification à deux facteurs, un chiffrement du disque, un niveau approprié de journalisation des événements, ainsi qu'une mise à jour automatique en temps opportun de tous les systèmes.

Installez une protection antivirus de pointe sur VPS. Par exemple, nous proposons à nos clients un agent antivirus simpleKaspersky pour les environnements virtuels, qui offre: une protection réseau à plusieurs niveaux contre les attaques de réseau externes et internes, le contrôle des applications et des appareils, une protection automatique contre les exploits, a un auto-contrôle intégré. 

Configurez l'accès à distance via une passerelle spéciale. Pour les connexions RDP, il s'agit de Remote Desktop Gateway (RDG), pour VPN - VPN Gateway. N'utilisez pas de connexion à distance directement au poste de travail.

Utilisez un accès VPN à authentification à deux facteurs. 

Sauvegardez les données clés.

Installez la protection DDOS sur le VPS. Les fournisseurs de cloud offrent des conditions différentes. Ici encore, la protection nous permet de résister de façon stable à 1500 Gbit / s. L'analyse du trafic a lieu 24h / 24 et 7j / 7. Dans ce cas, le paiement est uniquement pour le trafic nécessaire.

Vérifiez les droits d'accès des employés et effectuez la segmentation du réseau et la séparation des droits d'accès.

Utilisez PortKnocking , la protection réseau d'un serveur basée sur une méthode qui vous permet de rendre un port «invisible» pour le monde extérieur et visible pour ceux qui connaissent une séquence prédéfinie de paquets de données qui ouvriront le port (par exemple, SSH).

Définissez des restrictions sur le téléchargement d'applications tierces , en particulier les plates-formes en ligne et les messagers de collaboration, pour éviter toute fuite potentielle d'informations confidentielles.

Vérifiez tous les services et équipements utilisés pour l'accès à distance pour le firmware mis à jour et les correctifs de sécurité.
 
Fournir une formation sur les bases de la sécurité numériqueavant que les employés ne partent pour un mode de fonctionnement à distance.

L'assurance des risques informatiques , bien sûr, n'aidera pas à récupérer les données, mais elle aidera à couvrir les dommages causés par le piratage des ordinateurs. Certes, maintenant en Russie, c'est un nouveau type de produit pour les compagnies d'assurance, donc il y a littéralement des unités. RUVDS propose à ses clients deux options d'assurance: une police d'assurance générale pour tous ou des conditions particulières d'assurance individuelle, qui sont discutées individuellement dans chaque cas particulier. 

Séparément, nous notons des problèmes avec 1C sur la télécommande. Mettre le 1C en boîte aux employés distants est cher, dangereux et souvent tout simplement inutile. Peu habitués à cette façon de travailler, les comptables oublieront de synchroniser les données; les erreurs de travail avec le système nécessiteront la participation à distance de l'administrateur système de l'entreprise ou du représentant du fournisseur du programme (moyennant des frais), il existe un risque de vider la base de données pour les concurrents. Sortie: location de serveurs VPS distants à partir de 1C .

Comment surveiller vos services pour les vulnérabilités typiques


Tous les scénarios de surveillance visent à accumuler les données nécessaires à l'enquête la plus rapide et la plus efficace sur l'incident. Qu'est-ce qui est important de faire en premier?

Surveillez l' accès au stockage de fichiers , utilisez SIEM . Idéalement, il s'agit d'une configuration d'audit pour les listes de fichiers auxquels les employés du site distant ne sont pas autorisés à accéder. La configuration minimale consiste à consigner les accès au stockage et les opérations sur les fichiers.


Illustration du site styletele.com.

Enregistrez les adresses externes des utilisateurs se connectant pour le travail à distance. Utilisez pour cela le géoréférencement des utilisateurs à l'aide des services appropriés (après vous être assuré de leur sécurité).

Identifier les postes de travail de domaine et non-domaineavec une connexion à distance.

Surveillez les connexions des administrateurs et apportez des modifications de configuration aux services d'infrastructure critiques. Détectez les connexions en double à distance et suivez les tentatives de connexion qui ont échoué.

Et en général: effectuez à l'avance de telles actions qui permettront d'augmenter la précision de l'identification des connexions illégitimes dans la masse des requêtes générées sur le réseau lors d'un accès total à distance.

Nous espérons que le matériel vous a été utile. Comme toujours, nous serons heureux de formuler des commentaires constructifs sur l'article. Restez à la maison et protégez-vous et votre entreprise!

More articles:


All Articles