
Résumé de l’incident
- Un employé d'une entreprise de télécommunications s'est connecté comme d'habitude à son compte cloud.
- Ils a ensuite semblé parcourir une distance de 361 km à près de deux fois la vitesse du son avant de se reconnecter, selon les données parvenues aux systèmes de détection automatisés de Barracuda Managed XDR.
- Ces systèmes de détection ont simultanément enregistré que :
- La deuxième connexion de l'utilisateur a été effectuée à partir d'un autre appareil.
- La deuxième connexion provenait d'une adresse IP et d'un emplacement inhabituels pour cet utilisateur.
- Cette adresse IP a été signalée comme malveillante.
- Il y avait globalement 99 % de risques que le compte soit compromis par un pirate.
- Comme l'employeur de l'utilisateur disposait de la réponse automatisée aux menaces dans le cadre de la sécurité cloud XDR, le compte concerné a été automatiquement suspendu, le client a été alerté et l'incident a été résolu.
L'incident a été détecté, contenu et neutralisé par la fonctionnalité de réponse automatisée aux menaces de Barracuda Managed XDR Cloud Security. Barracuda Managed XDR est un service de visibilité, de détection et de réponse étendues (XDR) qui fonctionne en continu pour nos clients et fournit des prestations de détection des menaces, d’analyse des réponses aux incidents et d’atténuation des risques. Il recourt à des méthodes basées aussi bien sur des interventions humaines que sur l'IA, afin de protéger nos utilisateurs contre les menaces complexes.
Le déroulement de l'attaque
Un après-midi, vers 15 h 25, un employé d'une entreprise de télécommunications s'est connecté à son compte cloud avec son appareil habituel et depuis son lieu habituel.
- Il a ensuite semblé se déplacer à plus de 2 160 km/h, à la vitesse d'un avion de reconnaissance avancé Lockheed SR-71 Blackbird, vers un lieu qu'il avait rarement voire jamais visité, et s'est reconnecté à son compte en utilisant un autre appareil.
- Cette activité anormale a déclenché toute une série de signaux d’alarme dans les systèmes de détection Barracuda XDR.
- La deuxième connexion a été identifiée comme suspecte et non autorisée.
- Elle présentait quatre caractéristiques indiquant une compromission de compte avec un indice de confiance de 99 % :
- Le scénario du « voyage impossible », couvrant une distance de 361 km à près de deux fois la vitesse du son entre les connexions.
- Un appareil différent a été utilisé lors de la deuxième connexion suspecte.
- Les indicateurs d'apprentissage automatique de Barracuda Managed XDR ont signalé que l'adresse IP et la localisation associées à la connexion suspecte étaient considérées comme « rares » pour le compte utilisateur affecté.
- La fonctionnalité de renseignements sur les menaces a signalé l'adresse IP utilisée lors de l'évènement de connexion suspect comme potentiellement malveillante.
Réponse et neutralisation des menaces
- Peu de temps après la deuxième tentative de connexion, le modèle d'apprentissage automatique de XDR a validé les caractéristiques anormales de l'évènement de connexion suspect et a déclenché une alerte de détection malveillante.
- Six minutes plus tard, XDR a automatiquement suspendu le compte concerné et a envoyé un avertissement de sécurité à l'entreprise.
- Un analyste en cybersécurité du SOC a effectué le suivi en appelant l'entreprise pour l'informer en personne. Celle-ci a confirmé que l'incident n'était pas une fausse alerte.

Principaux enseignements clés
- En plus de mettre en œuvre des solutions de sécurité telles que Barracuda Managed XDR avec réponse automatisée aux menaces et une protection avancée et multicouche des e-mails, les entreprises peuvent renforcer leur protection contre de tels incidents grâce à des politiques robustes et à la formation des employés.
- Cela devrait inclure des politiques d'accès conditionnel, telles que l'autorisation de l'authentification uniquement à partir d'emplacements autorisés, des mesures d'authentification multifacteur (MFA) et une rotation régulière des identifiants pour éviter l'utilisation de mots de passe obsolètes ou divulgués.
- La formation de sensibilisation à la sécurité aidera à empêcher les utilisateurs de devenir victimes de la lassitude des MFA et des attaques par hameçonnage de plus en plus complexes et discrètes.
Barracuda Managed XDR dispose de fonctionnalités qui apportent une protection complète contre les risques. Elles permettent de bloquer les activités malveillantes dans des délais très courts. Ces fonctionnalités comprennent la collecte et l’usage de renseignements sur les menaces, la réponse automatisée aux menaces ainsi que des intégrations avec des outils Barracuda XDR de plus large portée, comme nos outils de sécurisation des serveurs, de protection des réseaux et de sécurisation du cloud.
Pour plus d'informations sur la manière dont Barracuda Managed XDR et le centre d'opérations de sécurité peuvent vous aider, veuillez nous contacter.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter