Barracuda full logo

SOC Threat Radar — Mai 2025

Thèmes:
8 mai 2025
|

Au cours du mois dernier, les solutions de sécurité Barracuda Managed XDR, les renseignements sur les menaces et les analystes SOC ont permis d’identifier des développements dont les entreprises doivent se méfier, notamment :

  • Une augmentation de 38 % des attaques ciblant les services VPN du firewall FortiGate ;
  • Une augmentation de 26 % des tentatives d’exfiltration de données ;
  • Une augmentation de 47 % de la détection de malwares « compressés » ;
  • Des avertissements de sécurité concernant les vulnérabilités CrushFTP et Next.js.

Une augmentation de 38 % des attaques ciblant les services VPN du firewall FortiGate ;

Qu’est-ce qui se cache derrière ça ?

Les analystes des menaces du SOC ont été témoins de centaines d’attaques visant à exploiter les vulnérabilités largement signalées du firewall FortiGate au cours des deux derniers mois, les acteurs de la menace ciblant des tunnels VPN mal sécurisés pour un accès initial aux entreprises.

Quel est le risque ?

Les bugs de FortiGate permettent aux pirates de contourner l’authentification afin d’obtenir des privilèges administratifs complets sur les appareils vulnérables. Cela peut permettre aux pirates de modifier les paramètres du firewall, de créer des comptes administrateurs malicieux, d’accéder aux réseaux internes, etc. Pour la victime, l’attaque peut entraîner des violations de données, une atteinte à la réputation, des amendes réglementaires et des attaques par ransomware, comme le dossier RansomHub du SOC récemment publié.

Puis-je être exposé(e) ?

  • Les entreprises concernées sont celles qui utilisent les firewalls FortiGate, mais qui n’ont pas encore entièrement mis à jour le logiciel comme le recommande Fortinet.
  • Un autre facteur de risque est l’absence de mesures d’authentification multifacteur (MFA) robustes et appliquées de manière cohérente, en particulier pour les comptes VPN accessibles de l’extérieur.
  • Une main-d’œuvre distribuée ou en télétravail peut entraîner une plus grande dépendance aux services VPN, qui sont une cible populaire des pirates. Plus le nombre d’employés, de sous-traitants et autres tiers pouvant se connecter au réseau depuis l’extérieur du périmètre de sécurité principal est élevé, plus la surface d’attaque pour les acteurs de la menace est importante.

Mesures à prendre

  • Maintenez les systèmes et les logiciels à jour avec les derniers correctifs de sécurité.
  • Imposez l’utilisation de la MFA pour accéder au VPN : les pirates auront plus de difficultés à y accéder, même s’ils ont réussi à compromettre les identifiants des utilisateurs, par exemple via une attaque par hameçonnage ou par force brute.
  • Mettez en œuvre des politiques de géorepérage ou d’accès conditionnel pour autoriser uniquement les connexions VPN à partir des emplacements autorisés, depuis lesquels votre entreprise exerce ses activités.
  • Installez des défenses complètes, à plusieurs niveaux, avec une visibilité intégrée et étendue.
  • La plateforme Barracuda Managed XDR dispose de fonctionnalités qui apportent une protection complète contre les risques et qui permettent de réduire considérablement la durée d’exposition. Ces fonctionnalités comprennent la collecte et l’usage de renseignements sur les menaces, la réponse automatisée aux menaces ainsi que des intégrations de solutions à plus large portée, comme XDR Server Security, XDR Network Security et XDR Cloud Security.

Une augmentation de 26 % des tentatives d’exfiltration de données

Qu’est-ce qui se cache derrière ça ?

Le mois dernier, les analystes des menaces du SOC ont constaté une hausse de 26 % des activités d’exfiltration de données, puisque les acteurs de la menace abandonnent de plus en plus le chiffrement des données pour se contenter de voler des données sensibles ou confidentielles et d’extorquer de l’argent aux victimes pour éviter la divulgation ou la vente desdites informations.

Quel est le risque ?

  • La suppression de données sensibles peut entraîner la perte d’une propriété intellectuelle précieuse et d’un avantage concurrentiel, un impact financier, une atteinte à la réputation, des violations de données, des amendes réglementaires, etc.
  • L’exfiltration de données est souvent mise en œuvre à l’aide de mesures avancées et furtives telles que la compression, la stéganographie (dissimulation du contenu dans un fichier texte, audio, vidéo ou image), la tunnelisation (utilisation d’un canal privé sur un réseau public) ou le déplacement discret et lent de données afin d’utiliser une bande passante minimale et de ressembler à du trafic ordinaire. Les outils de sécurité traditionnels peuvent ainsi avoir du mal à repérer les transferts de données non autorisés.
  • L’exfiltration de données peut également être effectuée par des initiés, tels que des employés ou des sous-traitants susceptibles d’avoir un accès légitime aux informations sensibles.
  • Les attaques par hameçonnage et le social engineering peuvent inciter des employés imprudents à autoriser par inadvertance l’exfiltration de données en partageant ou en déplaçant des fichiers confidentiels, par exemple.
  • Les pirates peuvent également utiliser des portes dérobées qu’ils ont installées ou exploiter des vulnérabilités pour contourner les défenses et exfiltrer des données sans être détectés.

Puis-je être exposé(e) ?

  • Une faible protection du réseau et des paramètres de sécurité mal configurés, en particulier pour les actifs sur le cloud, peuvent permettre aux pirates de déplacer plus facilement les informations hors du réseau.
  • L’absence d’inventaire à jour des outils et des applications peut également constituer un risque. Les pirates installent ou utilisent souvent des outils légitimes pour faire circuler les données à travers et hors du réseau. Il est important de connaître les applications et outils utilisés par les employés, à quoi ils servent et s’il existe des anomalies.
  • Les bugs logiciels non corrigés sont la principale cible des pirates qui cherchent à installer des outils malicieux, tels que des portes dérobées.
  • L’absence de formation de sensibilisation à la sécurité pour les employés pourrait les rendre plus susceptibles de tomber dans le piège des scams par hameçonnage et de partager des informations sensibles ou confidentielles.

Mesures à prendre

  • Mettez en œuvre des contrôles stricts pour limiter l’accès aux données sensibles.
  • Mettez en place des contrôles supplémentaires pour surveiller et contrôler les transferts de données à l’intérieur et à l’extérieur de l’entreprise.
  • Expliquez aux employés comment repérer les arnaques par hameçonnage et protéger les données sensibles.
  • Segmentez les réseaux et mettez en œuvre des mesures de sécurité Zero Trust pour limiter la capacité des intrus indésirables à accéder à vos données les plus sensibles.
  • XDR Endpoint Security et XDR Network Security peuvent protéger les systèmes en détectant et en atténuant les activités anormales associées aux pirates qui tentent de déplacer des données hors du réseau.

Une augmentation de 47 % de la détection de malwares « compressés » ;

Qu’est-ce qui se cache derrière ça ?

Les analystes des menaces du SOC ont identifié une utilisation croissante de malwares « compressés », un code malicieux compressé ou chiffré pour échapper à la détection. Les exemples rencontrés par les analystes du SOC étaient des fichiers exécutables ou binaires compressés avec UPX (Ultimate Packer for eXecutables).

Quel est le risque ?

Bien que le nombre total de détections soit relativement faible, les analystes des menaces du SOC s’attendent à ce que l’utilisation de malwares compressés augmente.

  • Ce phénomène est dû à la disponibilité généralisée d’outils de compression automatisés qui facilitent la création de codes malicieux dissimulés, même par des pirates peu compétents.
  • Les attaques par ransomware impliquaient souvent des malwares compressés destinés à masquer la charge utile finale du chiffrement jusqu’à ce qu’elle soit prête à être exécutée.
  • Les outils de sécurité traditionnels peuvent avoir du mal à détecter les malwares compressés, car le code malicieux reste caché.

Puis-je être exposé(e) ?

  • Une main-d’œuvre distribuée ou en télétravail, dépendant de VPN et d’actifs importants sur le cloud, peut augmenter le nombre de points d’accès potentiellement sous-protégés et vulnérables que les pirates peuvent cibler.

Mesures à prendre

  • Mettez en œuvre une protection avancée des points de terminaison, telle que la sécurité cloud Barracuda Managed XDR.
  • Maintenez les systèmes et les logiciels à jour avec les derniers correctifs de sécurité.
  • Mettez en œuvre une MFA pour accéder au VPN : les pirates auront plus de difficultés à y accéder, même s’ils ont réussi à compromettre les identifiants des utilisateurs, par exemple via une attaque par hameçonnage ou par force brute.
  • Vérifiez et corrigez en permanence les erreurs de configuration dans les paramètres du service cloud.
  • Utilisez la segmentation du réseau pour limiter l’accès aux zones sensibles de ce dernier.
  • Mettez en œuvre des défenses complètes, à plusieurs niveaux, avec une visibilité intégrée et étendue.

Autres activités de menace actuelles à connaître

Vulnérabilité critique de CrushFTP

CrushFTP est un système de transfert de fichiers multiplateforme conçu pour les particuliers et les entreprises. Une vulnérabilité critique a été signalée en avril. Elle permet aux pirates de contourner l’authentification et d’accéder, sans identifiant, au serveur de transfert de fichiers, où ils peuvent potentiellement manipuler des fichiers, exfiltrer des données et perturber les services. Un code d’exploitation de preuve de concept a été publié avant que la vulnérabilité ne soit largement corrigée. Les acteurs de la menace ont rapidement saisi l’occasion, et les analystes des menaces du SOC et d’autres personnes ont été témoins de la vulnérabilité exploitée par les pirates.

Mesures à prendre

Passez immédiatement à une version corrigée de CrushFTP, et vérifiez la configuration de CrushFTP, y compris les mots de passe, les autorisations utilisateur et les droits d’accès aux serveurs.

Pour en savoir plus

Avis sur les menaces à la cybersécurité de Barracuda : vulnérabilité critique de CrushFTP

Vulnérabilité critique de Next.js

Next.js est un cadre qui permet de créer des applications web et des sites web rapides et conviviaux. La vulnérabilité critique récemment signalée permet aux pirates de contourner les contrôles d’autorisation dans le « logiciel intermédiaire » (code qui contrôle l’accès à certaines parties d’une application) de Next.js. L’exploitation réussie de ce bug permet aux pirates d’accéder à des zones restreintes d’une application web sans les autorisations appropriées, ce qui leur permet de manipuler des données, de modifier des configurations ou de compromettre l’intégrité de l’application.

Mesures à prendre

Installez la dernière version de Next.js et de toutes ses dépendances, et mettez en place de solides contrôles d’accès et d’authentification.

Pour en savoir plus

Avis sur les menaces à la cybersécurité de Barracuda : vulnérabilité critique de Next.js

Comment le système Barracuda Managed XDR peut-il aider votre entreprise ?

Barracuda Managed XDR offre une protection avancée contre les menaces identifiées dans ce rapport en combinant une technologie de pointe avec une surveillance experte du SOC. Grâce à des informations sur les menaces en temps réel, à des réponses automatisées et à une équipe du SOC disponible 24/7 et 365 jours par an, Barracuda Managed XDR garantit une protection complète et proactive de votre réseau, de votre cloud, de votre email, de vos serveurs et de vos points de terminaison, vous donnant ainsi la confiance nécessaire pour garder une longueur d’avance sur l’évolution des menaces.

Pour en savoir plus sur la manière dont nous pouvons vous aider, veuillez contacter Barracuda Managed XDR

Planifiez votre démonstration de Managed XDR
Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.