Cet avertissement est un signe pour les OSC que la formation à la sécurité physique et informatique est essentielle pour protéger les entreprises contre le vol de données.
Depuis des années, les escroqueries au support informatique en ligne ou par téléphone incitent les employés à télécharger ou à cliquer sur des logiciels malveillants. Mais selon le FBI, un groupe qui cible les cabinets d’avocats basés aux États-Unis a récemment réussi à convaincre les entreprises de laisser entrer dans le bâtiment un soi-disant technicien d’assistance informatique, où il insère un périphérique de stockage dans l’ordinateur d’une victime et installe des logiciels malveillants ou vole des données.
Cette révélation provient d’un rapport Flash du FBI publié cette semaine décrivant les activités d’un gang qu’il appelle The Silent Ransom Group (SRG). D’autres chercheurs l’appellent Luna Moth, Chatty Spider et UNC3753.
Les experts en cybersécurité ne sont cependant pas surpris que les employés puissent être amenés à autoriser un étranger à toucher leur ordinateur.
« L’adversaire visitant un lieu en personne avec une sorte de dispositif de piratage de clé USB est utilisé depuis des décennies, en particulier dans le secteur bancaire », a déclaré Roger Grimes, conseiller RSSI chez KnowBe4.
« Habituellement, il ne s’agit pas simplement d’un téléchargement direct de données, mais de l’utilisation d’une clé de stockage USB pour surveiller la saisie du mot de passe, pour installer un logiciel d’accès à distance que le pirate informatique peut utiliser pour revenir dans l’environnement à distance, ou pour installer un autre type de logiciel malveillant. C’est si courant dans le secteur bancaire qu’ils ont souvent ajouté et autorisé ce scénario – un attaquant physique – dans leurs audits réguliers de tests d’intrusion, plus que dans tout autre secteur. «
Lance Spitzner, directeur de la formation en cybersécurité du personnel à l’Institut SANS, a déclaré que la tactique consistant à entrer dans une entreprise pour utiliser des clés USB infectées n’est pas nouvelle, mais à son avis, elle est relativement rare. Il est plus courant qu’un acteur malveillant envoie un disque à un employé.
« Permettre à quelqu’un de s’exposer physiquement en entrant dans une organisation est un risque que la plupart des cyberattaquants ne sont pas prêts à prendre », a-t-il déclaré. « Les détails du rapport du FBI sont assez limités ; je suppose que si cela s’est produit, un attaquant a payé quelqu’un pour le faire à sa place, peut-être un interne ou un entrepreneur en qui l’entreprise avait confiance. »
Le FBI affirme que les acteurs du SRG mènent des opérations de vol et d’extorsion de données depuis au moins 2022. Malgré son nom, le gang n’utilise pas de cryptage par ransomware, mais cherche généralement un accès rapide aux systèmes des victimes pour voler des données. Ils recourent ensuite à l’extorsion, par le biais de menaces de divulgation publique ou de vente de données volées, pour tenter d’obtenir des paiements.
Historiquement, le gang accédait au réseau de la victime en envoyant des courriels de phishing prétendant facturer de petits « frais d’abonnement » ; Pour annuler le faux abonnement, la victime a été invitée à appeler l’auteur de la menace, qui lui a ensuite envoyé par courrier électronique un lien permettant de télécharger un logiciel d’accès à distance.
Nouvelle tactique
Mais depuis le printemps de cette année, les acteurs de la SSR ont ajouté une nouvelle tactique: se faire passer pour un employé du service informatique de la victime. Ils appellent directement ou envoient des e-mails de phishing pour inciter les collaborateurs à contacter un acteur de la SSR se faisant passer pour le support informatique de leur entreprise. Au téléphone, l’acteur de la SSR demande à l’employé d’autoriser l’accès à une session de bureau à distance.
Si cela échoue, SRG envoie un acteur menaçant chez la victime pour accéder physiquement à son ordinateur et insérer un périphérique de stockage. L’excuse : le soi-disant responsable du support informatique doit créer une image de l’appareil ou créer un fichier de sauvegarde pour gérer les impacts potentiels de l’e-mail de phishing. Une fois que l’auteur de la menace obtient l’accès à l’appareil de la victime, il augmente légèrement ses privilèges et passe rapidement à l’exfiltration des données sans cryptage.
Leurs outils incluent WinSCP (Windows Secure Copy) ou une version cachée ou renommée de « Rclone » pour exfiltrer les données. Ils peuvent également exfiltrer des données vers des plateformes de partage de fichiers internes telles que Google Drive ou Microsoft OneDrive. Et une fois en possession des données de l’entreprise, le gang appellera les employés ou les clients de l’entreprise victime pour faire pression sur la victime afin qu’elle entame des négociations.
Le FBI avertit les professionnels de la sécurité de l’information que les indicateurs d’une attaque SRG peuvent inclure de nouveaux téléchargements non autorisés d’outils de gestion du système ou d’accès à distance, notamment Zoho Assist, Quick Assist, AnyDesk, RustDesk, Syncro, Splashtop ou Atera ; installation non autorisée de disques durs externes ou de clés USB sur les ordinateurs de l’entreprise ; exfiltration de données vers Microsoft OneDrive, Google Drive ou des serveurs externes ; Connexion WinSCP ou Rclone établie à une adresse IP externe ; et alerte que des données ont été exfiltrées de l’environnement de l’entreprise.
Les principales choses auxquelles les employés doivent être formés pour surveiller sont les visites d’individus non identifiés ou non autorisés prétendant faire partie du support informatique et tentant d’accéder aux ordinateurs, ainsi que les appels téléphoniques non sollicités d’individus prétendant faussement travailler dans leur service informatique.
Au moment de mettre sous presse, le FBI n’avait pas répondu à une demande d’informations sur le nombre de fois où le gang avait trompé un employé pour qu’il autorise une visite personnelle. Mais la tactique de SRG est suffisamment nouvelle pour que le bureau demande une copie de la note d’extorsion, le numéro de téléphone ou le compte de messagerie utilisé par le groupe, les transcriptions des communications avec l’acteur menaçant et toutes les vidéos de surveillance ou photos d’individus se faisant passer pour un support informatique.
Le défi de la formation à la sensibilisation à la sécurité
Les acteurs de la menace peuvent également être aidés par le fait que les employés ne savent souvent pas qui est leur personnel de support informatique, surtout si l’entreprise fait appel à une société de support externe tierce.
(Contenu associé: Un document d’information sur la formation de sensibilisation à la sécurité)
Christopher Kayser, directeur de la société canadienne Cybercrime Analytics et auteur du livre , a déclaré dans une interview que la première hypothèse d’un employé est souvent qu’un e-mail, un SMS ou un message vocal concernant un problème grave provenant d’une personne prétendant travailler dans le domaine informatique est légitime.
Après cela, les acteurs de la menace jouent sur la volonté d’un employé d’agir sur une question supposée urgente, sur son obéissance à la direction ou sur son souhait d’être utile. « Nous avons tendance à faire confiance », a-t-il déclaré.
Le fait que les auteurs de menaces soient disposés à partager leurs tactiques efficaces avec d’autres groupes n’aide pas, a-t-il ajouté. Le fait que, dans certaines organisations, la formation à la sensibilisation à la sécurité ne s’étende pas aux sommets (PDG) ou aux bas (réceptionnistes) n’aide pas non plus, ajoute-t-il.
Ne faites confiance à personne
Pour lutter contre les escroqueries au support informatique, les employés doivent être formés sur le fait que tout e-mail, SMS ou message vocal prétendant provenir du service informatique et demandant une action doit être vérifié auprès d’un responsable informatique via un processus approuvé, et non en répondant au message ou en appelant un numéro de téléphone indiqué dans la communication suspecte, a déclaré Kayser. Les employés doivent également être formés à ralentir et à ne pas répondre ou agir rapidement aux e-mails, SMS ou messages vocaux demandant des mots de passe, des codes d’authentification multifacteur ou des informations personnelles.
Spitzner a ajouté : « La formation de sensibilisation à la sécurité est une approche pour corriger les vulnérabilités chez les humains. Vous devez les informer sur les risques liés aux clés USB infectées ou non fiables et sur les lecteurs autorisés. Dans ce cas, le problème peut provenir d’une personne non fiable ayant accès aux installations de la victime. «
Nick Tausek, architecte principal de l’automatisation de la sécurité chez Swimlane, a déclaré que la stratégie d’attaque du groupe Silent Ransom, qui consiste à s’appuyer sur la confiance, en dit long sur la direction que prend l’extorsion. « Cela rend cette situation particulièrement dangereuse pour les cabinets d’avocats », a-t-il déclaré. « Ces environnements contiennent des dossiers clients sensibles, des communications privilégiées, des détails financiers et des informations sur les dossiers. Si ces données sont volées, les dommages ne s’arrêtent pas à l’organisation victime. Les clients peuvent subir des pressions, les stratégies juridiques peuvent être exposées et les employés peuvent devenir la cible d’escroqueries ultérieures. »
Le plus difficile est qu’une grande partie de cette activité peut paraître normale à première vue, a-t-il déclaré. Étant donné que les outils légitimes utilisés par les auteurs de menaces ne déclenchent pas toujours des alarmes, les équipes de sécurité ont besoin de moyens plus rapides pour connecter les comportements inhabituels entre les utilisateurs, les appareils, le stockage cloud et les sessions d’accès à distance. « Lorsque les attaquants se déplacent aussi rapidement, une détection retardée leur donne l’avantage », a-t-il déclaré.
Grimes a ajouté que les défenses devraient inclure une éducation solide et fréquente des employés sur les attaques physiques, la désactivation des ports USB sur les ordinateurs accessibles au public et d’autres mesures d’atténuation qui empêchent la connexion de périphériques de stockage physiques. Microsoft Windows, a-t-il souligné, dispose depuis plus d’une décennie de mesures d’atténuation pour empêcher l’insertion de périphériques de stockage non autorisés, y compris des clés USB.
En outre, le FBI exhorte les responsables de la sécurité physique et informatique à vérifier les informations d’identification de toute personne accédant aux espaces de l’entreprise, à obtenir des copies de la carte d’identité de chaque visiteur, à limiter l’accès aux données sensibles provenant de réseaux moins sécurisés, tels que les ordinateurs personnels ou l’Internet public, et à élaborer et communiquer des politiques concernant le moment et la manière dont le support informatique communiquera et s’authentifiera auprès des employés.
