La société affirme que le piratage sur 19 entreprises provenait de «outils et techniques qui n’avaient jamais été vus auparavant à l’échelle mondiale».
Les experts en cybersécurité réfléchissent à la signification de l’explication par la chaîne de gestion de la chaîne d’approvisionnement suisse, l’explication par IQ sur une violation de données qui comprendrait des informations copiées de deux banques.
Dans un communiqué de presse jeudi, la chaîne IQ a déclaré que l’attaquant sans nom, attribué à certains reportages à un gang de ransomware, avait utilisé «des outils et techniques qui n’avaient jamais été vus auparavant à l’échelle mondiale» pour infliger des contrôles à la sécurité et 19 autres organisations.
L’entreprise fournit des achats et la gestion de la chaîne d’approvisionnement aux clients, y compris les banques internationales.
Chain IQ n’a pas de données concernant l’entreprise principale de ses clients, y compris les informations RH ou informatiques, a-t-elle souligné, donc aucune donnée bancaire n’a été volée dans cette attaque. Cependant, a-t-il ajouté, les données contenant les coordonnées commerciales des employés de clients sélectionnées ont été exfiltrées. Ces données contient les numéros de téléphone internes des employés des clients.
Selon le site de nouvelles suisses, Blue News, qui comprenait les numéros de téléphone internes de la banque Suisse UBS.
Encore une autre attaque de chaîne d’approvisionnement
« La violation de la chaîne IQ sert à un autre rappel que » la confiance, mais vérifie « (la sécurité de votre partenaire) n’est pas seulement un dicton, elle devrait être intégrée dans le modèle de gouvernance tiers de chaque entreprise », a déclaré Ensar Seker, CISO à Socradar.
L’incident souligne le risque persistant et croissant d’exposition à des tiers dans l’écosystème d’entreprise interconnecté d’aujourd’hui, a-t-il déclaré dans un e-mail.
«Lorsque les fournisseurs détiennent des données opérationnelles ou financières sensibles, même en l’absence d’informations personnellement identifiables, ils deviennent une cible très attractive pour les acteurs de menace qui recherchent des voies de levier, de renseignement ou d’accès à des organisations de grande valeur», a-t-il déclaré. «Ce qui est notable ici, c’est que la violation a eu un impact sur les principales institutions financières et de conseil, qui maintiennent généralement des contrôles de sécurité intérieure rigoureux. Cela démontre que le maillon le plus faible réside souvent en dehors du périmètre.»
Les fuites impliquant des données de niveau exécutif ou de niveau des employés, en particulier celles de personnes de haut niveau comme le PDG d’UBS, augmentent la probabilité de phishing ciblé, d’ingénierie sociale ou même de tentatives d’identité, a-t-il souligné. Même si aucune donnée client n’est compromise, les métadonnées opérationnelles volées comme les antécédents de facture, les relations de consultant ou les engagements des fournisseurs informatiques peuvent fournir aux adversaires des informations utiles pour créer des campagnes sophistiquées.
« Il s’agit d’un cas classique où la gestion traditionnelle des risques tierces doit mûrir en visibilité continue et surveillance active des fournisseurs », a ajouté Seker. «Les organisations doivent aller au-delà des évaluations uniques et exiger que les fournisseurs maintiennent la télémétrie de détection des menaces, les SLA de signalement des incidents et les exercices de simulation de violation.
Le gang aurait pris le crédit de ces attaques particulières s’appelle WorldLeaks. Tim Rawlins, conseiller principal et directeur de la sécurité au groupe NCC, a déclaré qu’il semble être un changement de marque de Hunters International, qui est à son tour sorti du groupe appelé Hive. Cela semble passer au vol de données, a-t-il déclaré.
«Ce mouvement des acteurs de menace à de nouveaux groupes, de nouveaux noms et de nouvelles méthodes d’activités criminelles et d’extorsion n’est pas inhabituelle. Nous voyons régulièrement les groupes se transformer, soit en raison des activités d’application de la loi, soit des conflits personnels entre les membres. La ruche a été perturbée par une enquête allemande et américaine et de multiples agences d’application de la loi.
Il y a des avantages pour les criminels pour faire ce changement. « Le vol de données d’entreprise, qui peut couvrir n’importe quoi, des informations de fusions et acquisitions, des dossiers financiers et des enregistrements RH / Staff à des informations détaillées sur les clients peuvent avoir lieu très rapidement et ne nécessite pas nécessairement un accès à long terme ni la possibilité de dégénérer les privilèges de l’attaquant au niveau administrateur, comme cela est commun avec les ransomwares », a souligné Rawlins. «Même un utilisateur de bas niveau dans un travail sensible est susceptible d’avoir accès à certaines informations que l’organisation préférerait ne pas voir exposées ou pour mettre en place une vente à d’autres criminels à des fins frauduleuses.»
La confiance ne suffit pas
James McQuiggan, défenseur de la sensibilisation à la sécurité à KnowBe4, a déclaré que la confiance seule ne suffisait pas en ce qui concerne les risques et la cybersécurité tiers. Les organisations doivent gérer activement les risques tiers. « Ne comptez pas sur une évaluation ou un questionnaire unique », a-t-il déclaré. «Il est crucial d’envisager régulièrement de l’examen de la protection par les fournisseurs de leurs données et de leurs systèmes. Continuez à vérifier, en particulier avec les fournisseurs qui gèrent des informations sensibles. Lorsqu’un fournisseur est compromis, une réponse rapide peut être significative.»
Les organisations devraient avoir un plan bien documenté et reproductible pour gérer un incident ou une violation tiers, a-t-il ajouté. «Considérez comment isoler le problème, qui contacter et comment communiquer avec les employés et les partenaires. Évaluez vos fournisseurs en fonction des niveaux de risque: celui qui a de solides programmes de sécurité par rapport à celui qui ne le fait pas. Les fournisseurs de risques plus élevés nécessitent une surveillance supplémentaire et des contrôles de sécurité plus stricts.»
