Attention, warning sign; exclamation mark under a magnifying glass.

AVERTISSEMENT émis aux Cisos des détaillants dans le monde après trois attaques au Royaume-Uni

Lucas Morel

Le Centre national de cybersécurité britannique avertit les entreprises de suivre les meilleures pratiques après Harrods, Marks & Spencer et la coopérative ont attaqué.

Les CISO chez les détaillants du monde entier devraient resserrer leurs défenses après plusieurs cyberattaques récentes paralysées de magasinage et de supermarchés au Royaume-Uni. Ceux-ci comprenaient des attaques réussies contre la chaîne de vente au détail Marks & Spencer et la coopérative de chaîne de supermarchés, et la tentative de piratage du détaillant haut de gamme Harrods.

Au cours du week-end, le Royaume-Uni National Cyber ​​Security Center (NCSC) a exhorté les détaillants à suivre les meilleures pratiques de cybersécurité pour minimiser les chances d’être victimes, ainsi que pour les aider à récupérer si une attaque passe par des défenses. Un gang de ransomware appelé Dragonforce revendique la responsabilité des trois incidents, selon la BBC.

Dans une lettre aux membres, le PDG de la coopérative Shirine Khoury-Haq a écrit que les pirates «ont consulté des données relatives à un nombre important de nos membres actuels et antérieurs». Et la BBC a rapporté que Co-op a maintenant dit au personnel qui tenait des réunions en ligne de garder des caméras informatiques et de vérifier tous les participants afin qu’ils puissent détecter des pirates cachés, après que les attaquants ont montré les captures d’écran de la BBC d’un appel confidentiel des équipes internes.

Marks & Spencer a été contraint de suspendre les ordres en ligne et de cesser d’embaucher, et un initié a déclaré à Sky News qu’il pourrait prendre des mois pour que la chaîne se remette de l’attaque.

Le NCSC a déclaré dans son alerte qu’il avait des «idées» sur les trois attaques, mais «nous ne sommes pas encore en mesure de dire si ces attaques sont liées, s’il s’agit d’une campagne concertée d’un seul acteur ou s’il n’y a aucun lien entre eux.»

Johannes Ullrich, doyen de la recherche au Sans Institute, a déclaré dans un e-mail que le dénominateur commun pourrait être une vulnérabilité dans les logiciels que les trois détaillants utilisent.

Réseaux de vente au détail IT DIFFICIE

Traditionnellement, les réseaux informatiques de détaillants ont été difficiles à sécuriser, a déclaré Robert Beggs, responsable de DigitalDence canadienne, une société de réponse aux incidents. Ces chaînes sont des entités distribuées avec plusieurs réseaux de données et applications qui contiennent fréquemment des systèmes hérités et ont une main-d’œuvre mobile, a-t-il noté. De plus, ils gèrent un grand volume de transactions financières et sont très sensibles à tout montant d’arrêt du réseau. Combiné, cela en fait des cibles idéales pour une cyberattaque, a-t-il déclaré.

Il pourrait y avoir deux facteurs dans les récentes attaques britanniques, a déclaré Beggs:

Premièrement, un groupe peut cibler les détaillants britanniques car il comprend les processus métier et les architectures cibles (réseau, appareils et serveurs, fonctionnement des appareils POS, contrôles de sécurité) communs dans cette verticale. Plus important encore, a-t-il ajouté, ils ont peut-être identifié et savoir comment mettre en œuvre une attaque cohérente d’ingénierie sociale qui fonctionne particulièrement bien avec les détaillants britanniques.

«Le ciblage des détaillants basés au Royaume-Uni peut indiquer que les attaquants sont situés au Royaume-Uni, ou du moins parler couramment l’anglais et peuvent utiliser ces compétences pour augmenter leurs chances de succès», a-t-il déclaré.

Deuxièmement, Beggs a ajouté, une publication cite une source dans Marks & Spenser suggérant qu’elle n’était pas préparée à l’attaque. Si c’est vrai, c’est «un signal que les petites organisations qui n’ont pas les ressources présumées de M&S peuvent également être non préparées.

Les experts disent que les escrocs ciblent les détaillants pour plusieurs raisons: obtenir un nombre de cartes de crédit de clients, des informations personnelles des employés, et probablement surtout, pour rançons des données volées et extorquer de l’argent à la direction. Chaque jour, une entreprise est hors ligne peut coûter beaucoup d’argent.

Ils utiliseront la même gamme de tactiques pour obtenir un accès au réseau qu’ils utilisent contre n’importe quelle organisation: la farce des informations d’identification, l’achat ou le tir de l’administration volée des informations d’administration, exploitant des vulnérabilités, incitant les employés à donner un accès au réseau en usurpant l’identité du personnel de bureau, en envoyant des e-mails de phishing infectés, en installant des données de gratte-ci les logiciels malveillants sur des sites Web dans des attaques dits MageCart… la liste continue.

Conseil aux Cisos

Dans son article de week-end, le NCSC du Royaume-Uni a déclaré: «La préparation et la résilience ne signifient pas seulement avoir de bonnes défenses pour empêcher les attaquants. Peu importe la qualité de vos défenses, l’attaquant va parfois réussir.

Il a offert ce conseil à toutes les organisations, y compris les détaillants:

  • s’assurer que l’authentification multi-facteurs est déployée dans toute l’organisation;
  • améliorer la surveillance contre une mauvaise utilisation des comptes non autorisés; Par exemple, la recherche de «connexions risquées» dans la protection de l’identification de Microsoft Entra, lorsque des tentatives de connexion ont été signalées comme potentiellement compromises en raison d’une activité suspecte ou d’un comportement inhabituel, en particulier lorsque le type de détection est «Microsoft Entra Threat Intelligence»;
  • Portez une attention spécifique à l’administrateur de domaine, à l’administrateur d’entreprise et aux comptes d’administration cloud et vérifiez si l’accès est légitime;
  • Passez en revue leurs processus de réinitialisation des mots de passe du bureau d’assistance, y compris la façon dont le service d’assistance authentifie les informations d’identification des membres du personnel avant de réinitialiser les mots de passe, en particulier ceux qui ont des privilèges croissants;
  • Assurer que les centres d’opération de sécurité peuvent identifier les connexions provenant de sources atypiques telles que les services VPN dans les gammes résidentielles, par l’enrichissement des sources et similaire;
  • Assurez-vous qu’ils ont la capacité de consommer des techniques, des tactiques et des procédures provenant rapidement de l’intelligence des menaces et de la capacité de répondre en conséquence.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission