Secured.22 : Comprendre le vol d'identifiants et de données et remettre l'entreprise sur pied

Lors de la dernière conférence virtuelle des clients de Barracuda en septembre dernier, Secured.22, les participants ont recueilli une multitude d'informations utiles et exploitables sur les dernières tendances relatives aux menaces et aux stratégies de cybersécurité.

Aujourd'hui, je veux vous faire découvrir une session présentée conjointement par Fleming Shi, directeur technique de Barracuda, et Shawn Lubhan, chef de produit senior pour la protection des données. Elle s'intitule « Comprendre le vol d'identifiants et de données et remettre l'entreprise sur pied » et vous pouvez la visionner ici.

Nouvelles menaces destructric e

La session commence par la présentation par M. Fleming d'une nouvelle tendance préoccupante en matière de cybercriminalité : l'essor des wiperwares.

Ces attaques se déploient de la même manière que les ransomwares, à une grande différence près. Les victimes de ransomware ont la possibilité de négocier avec les criminels. Une fois que leur code malveillant aura rempli sa mission, vous aurez affaire à quelqu'un qui pourra remédier à la situation.

Mais les wiperwares n'ont d'autre vocation que de détruire. Comme son nom l'indique, ils visent à effacer vos données, vos instances de stockage, vos backups, etc. Les attaques de wiperware très médiatisées, qui se faisaient rares depuis l'attaque nord-coréenne de 2014 contre Sony et ce, jusqu'en 2021, sont soudainement bien plus nombreuses, puisqu'au moins cinq attaques de ce type sont survenues cette année.

Voici une vidéo de Fleming où celui-ci évoque l'essor des wiperwares :

Minimiser les risques liés aux wiperwares

En vous privant de la possibilité de négocier avec les pirates, au terme d'une attaque, les wiperwares réduisent considérablement vos chances de limiter les risques. Vous ne pouvez influer sur la suite des événements qu'avant l'attaque, pendant celle-ci ou à son terme.

Avant l'attaque

Après avoir analysé en détail de véritables attaques de ransomware et de wiperware, ainsi que des données globales révélatrices générées par le produit SOC-as-a-Service de Barracuda, M. Fleming souligne que presque toutes ces attaques ont pour point de départ le vol d'identifiants personnels, généralement via une attaque par phishing. Dans la grande majorité des cas, ces tentatives de phishing auraient pu être détectées et contrées par une solution antiphishing moderne dotée d'une intelligence artificielle, telle que la solution Barracuda Phishing and Impersonation Protection.

Une autre stratégie pour enrayer ces attaques avant qu'elles ne surviennent consiste à retirer toute valeur aux identifiants volés. Une authentification multifactorielle (MFA) correctement configurée peut répondre à cette nécessité, à condition que vous identifiiez et remplaciez tous les services externes ne prenant pas en charge la MFA.

Une meilleure approche consiste à adopter une solution d'authentification sans mot de passe (vous en apprendrez davantage à ce sujet lors de la session Secured.22 que j'ai évoquée dans cet article).

Pendant l'attaque

Une fois que les pirates ont infiltré votre réseau, ils passent généralement un temps considérable à l'explorer, à se voir accorder l'accès à des informations importantes et à identifier les données qu'ils souhaitent cibler. Barracuda Account Takeover Protection peut détecter et neutraliser cette menace interne et latérale.

Après l'attaque

Si des pirates réussissent à effacer vos données sensibles ou des serveurs entiers, un bon système de backup pourrait vous permettre de les récupérer rapidement et facilement. Mais les pirates le savent, et l'un des objectifs principaux de ces attaques est de tenter d'accéder aux systèmes de backup afin de les détruire parallèlement à l'attaque de vos données principales.

Dans la dernière partie de cette session, Shawn explique en détail comment protéger vos systèmes de backup pour assurer que vous puissiez toujours en disposer lorsque vous en aurez vraiment besoin. Il détaille une véritable attaque contre un client de Barracuda Backup dont les backups sur site ont été détruits, mais qui a néanmoins pu les récupérer rapidement et intégralement grâce à la réplication de ses fichiers de backup dans le Barracuda Cloud, auquel les pirates ne peuvent accéder.

En savoir plus

Le présent article ne peut couvrir tous les aspects de la prévention et de la récupération en cas de vol de données et d'identifiants, ainsi que la prévention des risques liés aux attaques par wiperware. Pour en savoir plus, visionnez la session enregistrée de la Secured.22.