Un employé cliquant sur le mauvais lien au mauvais moment a entraîné une faille de sécurité majeure.
Un ordinateur portable d'entreprise utilisé dans un café le week-end suffisait à permettre à un groupe de cybercriminalité sophistiqué de compromettre l'ensemble de l'infrastructure d'une organisation.
Sécurité
- 8 habitudes des travailleurs à distance hautement sécurisés
- Comment trouver et supprimer les logiciels espions de votre téléphone
- Les meilleurs services VPN: comment se comparent les 5 meilleurs?
- Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite
L'incident a été détaillé par une société de cybersécurité Grève de foule dans le cadre de son Recueil de cas 2018 sur les services de cyber-intrusion rapport et rappelle que les ordinateurs portables et autres appareils sécurisés lorsqu'ils fonctionnent à l'intérieur du réseau d'une organisation peuvent être laissés exposés lorsqu'ils sont à l'extérieur des murs de l'entreprise.
VOIR: Les détails de ma carte de crédit volée ont été utilisés à 4 500 miles de là. J'ai essayé de découvrir comment c'était arrivé (article de couverture PDF) (TechRépublique)
Crowdstrike a décrit l'entreprise victime des pirates informatiques uniquement comme un fabricant de vêtements « avec une présence mondiale étendue, y compris des points de vente au détail ».
L'incident a commencé lorsqu'un employé du fabricant a emmené son ordinateur portable dans un café et l'a utilisé pour visiter le site Internet d'un des partenaires de l'entreprise.
Les chercheurs en sécurité ont déclaré que l'utilisateur avait visité le site après avoir été dirigé là-bas par un e-mail de phishing -- et que le site avait été compromis par Fausses mises à jour, une campagne de malware et d'ingénierie sociale affectant des milliers de sites Joomla et Wordpress.
Le malware affiche des fenêtres contextuelles aux utilisateurs affirmant que leur logiciel de navigation doit être mis à jour. Dans ce cas, l'ordinateur portable a ensuite été infecté par le cheval de Troie bancaire Dridex et l'ensemble d'outils post-exploit PowerShell Empire.
Le logiciel de sécurité utilisé par l'entreprise de vêtements - Crowdstrike n'a pas nommé le fournisseur - s'appuyait sur les appareils présents dans le réseau de l'entreprise pour détecter les menaces. Comme l'ordinateur portable était utilisé en dehors du réseau, cet incident n'est devenu apparent que lorsque l'ordinateur portable était de retour au bureau – il était alors trop tard.
L'ordinateur portable infecté a ensuite servi de point d'entrée aux attaquants pour compromettre le réseau de l'entreprise, permettant ainsi au les attaquants utilisent l'exploit PowerShell pour accéder à des dizaines de systèmes qui pourraient être compromis en tirant parti de l'identité de l'utilisateur. autorisations.
VOIR: Une stratégie gagnante pour la cybersécurité (Rapport spécial ZDNet) | Téléchargez le rapport au format PDF (TechRépublique)
Les attaquants ont également pu collecter des informations d'identification de compte privilégiées supplémentaires en utilisant Mimikatz, un utilitaire open source utilisé pour récupérer les informations d'identification en texte clair et les hachages de la mémoire, pour accéder aux serveurs et se déplacer davantage sur le réseau.
« Les privilèges d'administrateur local ont permis à l'auteur de la menace d'accéder plus facilement à une multitude de points finaux en accédant à un seul compte qui les reliait tous. Une fois l'accès au domaine obtenu, l'organisation a été complètement exposée", a déclaré à ZDNet Bryan York, directeur des services professionnels chez Crowdstrike.
Cette exposition a permis aux attaquants d'installer Logiciel malveillant Framework POS sur le serveur du magasin de détail dans le but de voler les données de votre carte de crédit.
Les chercheurs ont identifié un groupe cybercriminel ils appelent Araignée Indrik comme les coupables de l'attaque. L'opération de piratage est active depuis 2014 et est fortement associée à Dridex et Campagnes de ransomware BitPaymer, qui auraient rapporté des millions de dollars aux attaquants.
C'est la première fois qu'Indrik Spider est associé à FakeUpdates, ce qui indique que le groupe étend ses opérations tout en continuant à trouver de nouveaux moyens de gagner illégalement de l'argent. Crowdstrike n'a pas précisé si la campagne avait atteint son objectif ou si les données de la carte de crédit avaient été volées. entreprise - mais il y a des leçons que les organisations devraient prendre en compte pour éviter d'être victimes de problèmes similaires campagnes.
Crowdstrike recommande que les comptes soient séparés et que les utilisateurs finaux ne bénéficient pas de privilèges d'administrateur sur leurs systèmes locaux. Dans cet incident, l'adversaire a abusé d'une mauvaise configuration au sein de l'Active Directory de l'entreprise qui fournissait des privilèges inutiles. la société de sécurité recommande aux organisations de revoir régulièrement les configurations Active Directory dans l'ensemble du monde. entreprise.
« Les attaquants ont utilisé PowerShell ou Windows Management Instrumentation dans 20 % des cas que nous avons observés cette année et les entreprises doivent savoir comment mieux les détecter et s'en protéger », a déclaré York.
EN SAVOIR PLUS SUR LA CYBERCRIME
- Un groupe de piratage revient et passe des attaques du ransomware au malware cheval de Troie
- Les hackers rockstars vous protègent des méchants CNET
- Gratuit, facile à utiliser et accessible à tous: le puissant malware caché à la vue de tous sur le Web ouvert
- Comment les entreprises peuvent sensibiliser les entreprises aux cyber-risques en interne TechRépublique
- Crime désorganisé et pirates informatiques soutenus par l'État: comment le paysage de la cybercriminalité et de la cyberguerre est en constante évolution