MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Les attaquants à priori du groupe chinois Hafnium ont réussi à exploiter des failles zero-day de Microsoft Exchange, s’ouvrant ainsi un accès à des dizaines de milliers d’entreprises et organisations (TPE/PME, villes, etc.).
L’expert souligne deux conséquences directes de cette attaque, à court et moyen termes :
« Tout d’abord, l’augmentation de l’usage d’Emails de Spear Phishing à destination des entreprises en contact. En effet, en ayant accès aux emails échangés entre l’agence et ses correspondants, les attaquants ont rassemblés la liste des contacts, les informations, et le contexte lié aux conversations. Les entreprises en contact peuvent s’attendre à une augmentation conséquente des attaques de Spear Phishing qui vont avoir une grande qualité de contenu, puisque enrichi d’un contexte et potentiellement incluant des historiques de conversations.
Nous recommandons fortement aux entreprises en contact de vérifier toutes leur couches de protections, renforcer les solutions en place, et également de renforcer les formations auprès des utilisateurs qui vont clairement faire face à des vagues d’attaques. »
A titre d’exemple, en 2019, une banque a subi une fuite de donnée de 2,9 Millions d’enregistrements. En comparant l’activité avant et après l’incident, Vade Secure a mesuré une augmentation de 1 680,04% de l’activité phishing attaquent les contacts de cette banque. L’activité avait passé de 255 URLs uniques de phishing en 2018 a 4 540 URLs uniques de phishing en 2019.
Mais pour l’expert, les attaquants pourront également procéder à l’écoute de conversations ou même de re-routage de conversations.
« Vade Secure a vu des attaques visant à compromettre une boite aux lettres, afin de mettre en place des règles de re-routage et d’interception des messages dans le but de contrôler la réponse à des messages particuliers, en général pour re-router des transferts d’argent / de paiement. Des utilisateurs ont ainsi été abusés pendant des mois sans s’en rendre compte.
En ayant accès au serveur, les pirates peuvent opérer des actions similaires à l’échelle de l’entreprises, sélectionnant des utilisateurs spécifiques à partir de leur position dans l’entreprise. Nous recommandons fortement, en plus des contrôles de manière à nettoyer le serveur contre tout logiciel malveillant, d’effectuer une vérification complète de la configuration de manière a détecter tout changement de configuration qui a pu être opéré pendant la période d’infection. »
