MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Celle-ci cible plus de la moitié des grandes entreprises utilisant O365. En outre, les attaquants derrière KnockKnock ont ciblé des comptes de courrier électronique automatisés non liés à une identité humaine, ceux-ci manquant souvent de politiques de sécurité avancées.
Parmi les statistiques de cette attaque :
Les pirates ont utilisés 63 réseaux et 83 adresses IP pour mener leurs attaques.
Environ 90% des tentatives de connexion provenaient de Chine. Des tentatives supplémentaires provenaient de la Russie, du Brésil, des États-Unis, de l’Argentine et de 11 autres pays.
Les cibles étaient principalement des fournisseurs liés à l’internet des objets (IOT) et des fournisseurs d’infrastructures, ainsi que les départements en charge de superviser l’infrastructure et l’IOT au sein de grandes entreprises de diverses industries telles que la fabrication, les services financiers, les services de santé, les produits de consommation et le secteur public.
La quasi-totalité des comptes ont été confirmés comme étant des comptes système « non humains » (adresse de messagerie automatisée à destination du marketing, des ventes ou de l’administratif). Étant donné que ces comptes ne sont pas liés à une identité humaine et s’appuient sur une utilisation automatisée, ils sont moins susceptibles d’être protégés contre les politiques de sécurité telles que l’authentification multi-facteurs (MFA) et la réinitialisation récurrente du mot de passe.
Lors de l’accès à un compte O365 d’entreprise, KnockKnock crée une nouvelle règle de boîte de réception, exfiltre toutes les données de la boîte de réception, déclenche une attaque de phishing et tente de propager l’infection dans l’entreprise à l’aide de cette boîte de réception contrôlée.
La cmpagne KnockKnock a démarré au cours du mois de mai et se poursuit toujours, le pic d’activité ayant eu lieu entre juin et août. Elle a mis l’accent sur des objectifs précis plutôt que sur un volume élevé de cibles et a touché en moyenne 5 adresses de messagerie par organisation.
L’attaque a été détectée grâce aux modèles d’analyse des comportements de la solution de protection de Skyhigh Networks, s’appuyant sur des algorithmes exploitant le machine learning.
