L’attaque n’est pas décrite comme un « ransomware par écrasement et saisie », mais comme « stratégique, disciplinée et optimisée pour un effet de levier maximal ».
Telus Digital, qui fournit des services d’externalisation des processus métiers (BPO) à diverses organisations dans le monde entier, a été touché par une cyberattaque massive menée par le groupe d’extorsion ShinyHunters.
Le groupe, en activité depuis 2020, est spécialisé dans le vol de données de Salesforce et d’autres fournisseurs SaaS, et a également mené récemment des attaques de phishing vocal (vishing), se faisant passer pour le personnel informatique pour persuader les employés de saisir leurs identifiants sur des sites malveillants qui les récoltent.
Le communiqué poursuit en disant : « Toutes les opérations commerciales au sein de Telus Digital restent pleinement opérationnelles et il n’y a aucune preuve de perturbation de la connectivité ou des services des clients. Dans le cadre de notre réponse, nous avons engagé des experts en cybercriminalité de premier plan pour soutenir notre enquête, et nous travaillons avec les forces de l’ordre. »
La société a ajouté qu’elle avait mis en œuvre des mesures de sécurité supplémentaires « pour protéger davantage nos systèmes et notre environnement. À mesure que notre enquête progresse, nous informons tous les clients concernés, le cas échéant. La sécurité des informations de nos clients continue d’être notre priorité absolue. »
Un rapport publié indique que ShinyHunters affirme avoir volé plus d’un pétaoctet de données à la fois à l’entreprise et à ses clients, dont beaucoup utilisent Telus Digital comme fournisseur BPO pour leurs opérations de support client.
Un porte-parole de l’entreprise a été invité à confirmer ce chiffre, mais a refusé de commenter.
Les attaquants « savent désormais mieux faire confiance »
Fritz Jean-Louis, conseiller principal en cybersécurité chez Info-Tech Research Group, a déclaré que l’incident n’était pas une défaillance du périmètre, même si « lorsque des violations de cette ampleur se produisent, l’instinct est souvent de se demander quelle vulnérabilité a été exploitée et quel malware est passé. »
Il a ajouté que le vol de données numériques de Telus « indique de plus en plus un problème différent, dans le sens où les attaquants n’ont plus besoin de « s’introduire par effraction » s’ils peuvent se fondre dans la masse. Les caractéristiques de cette violation, comme le temps d’attente de plusieurs mois, les volumes de données massifs et la détection retardée, suggèrent un abus d’accès légitime plutôt qu’une exploitation technique manifeste. »
En d’autres termes, a-t-il déclaré, les systèmes ont probablement fait confiance à l’attaquant, notant que, sur la base de détails accessibles au public, cet incident s’aligne sur une classe croissante d’opérations de vol de données en premier, qui incluent :
- Persistance à long terme à l’aide d’informations d’identification valides ou de chemins fiables
- Mouvement latéral à travers les systèmes internes une fois à l’intérieur
- Mise en scène lente et contrôlée des données pour éviter de déclencher des alertes
- Exfiltration à grande échelle déguisée en trafic crypté normal
- Divulgation publique ou signalisation d’extorsion une fois les données sécurisées.
Selon Jean-Louis, « il ne s’agit pas d’un ransomware smash-and-grab. Il est stratégique, discipliné et optimisé pour un effet de levier maximal. L'(attaque) révèle en fait un angle mort que de nombreuses organisations ont encore : (elles) sont bonnes pour détecter les « mauvais comportements », mais pas les comportements de confiance anormaux. »
Priorités d’atténuation
Cet incident, a-t-il souligné, renforce l’importance de plusieurs priorités pour les organisations, notamment :
- Considérez l’identité comme le nouveau périmètre. Si les informations d’identification sont compromises, tout ce qui se passe en aval est menacé.
- Appliquez la MFA partout, en particulier pour les administrateurs et les tiers.
- La surveillance centrée sur les données n’est pas négociable si les organisations doivent savoir quand les données sont consultées, regroupées et déplacées.
- Définissez des alertes pour les modèles d’accès groupés, pas seulement pour les téléchargements, et définissez des seuils raisonnables de mouvement de données par rôle
Selon lui, les réseaux plats permettent de grandes brèches et, une fois que les attaquants se déplacent latéralement, l’échelle devient leur avantage.
Une leçon stratégique de cette violation est que les organisations doivent se préparer au vol de données, et pas seulement aux ransomwares, a-t-il déclaré. « De nombreux plans de réponse aux incidents supposent encore que le chiffrement est synonyme d’impact et élaborent des playbooks pour une exfiltration silencieuse des données. »
Le plus grand risque aujourd’hui, a déclaré Jean-Louis, « n’est pas que les attaquants s’améliorent en matière d’intrusion, mais plutôt qu’ils gagnent en confiance. Les organisations qui continuent de se concentrer principalement sur les défenses périmétriques et la prévention des logiciels malveillants resteront vulnérables à cette classe d’attaques ».
