This week in Ransomware – Friday June 24th, 2022

By Donna Thompson 2 years ago

La véritable cible n’est pas toujours évidente

Un rapport récent de Telus a noté que Les cyberattaques sont en hausse au Canada, 98 % des organisations canadiennes signalant une cyberattaque au cours des 12 derniers mois. Les attaques sont fréquentes, 25 % des organisations subissant au moins une attaque par jour et la plupart des organisations subissant plus de 11 à 30 attaques par mois.

Un autre rapport d’une firme de recherche Cyberaison en avril 2022, rapporte que « les trois quarts (73 %) ont déclaré que leur organisation avait été ciblée par au moins une attaque de ransomware au cours des 24 mois précédents, contre seulement 55 % des entreprises qui avaient été ciblées par au moins une attaque dans notre rapport 2021, un augmentation stupéfiante de 33 % d’une année à l’autre.” Le rapport a interrogé près de 1 500 professionnels de la cybersécurité d’entreprises de 700 employés ou additionally, avec des members du monde entier.

Le rapport a également souligné que la plupart des organisations (64 %) ont indiqué que le principal vecteur d’attaque provenait d’un tiers ou d’une compromission de la chaîne d’approvisionnement. Cela fait suite à un avertissement as well as tôt cette année du FBI et d’autres agences avertissant des attaques de ransomwares qui utilisaient les fournisseurs de solutions gérés (MSP) comme leur «mécanisme de livraison». Ces deux éléments confirment une tendance croissante selon laquelle la victime initiale d’une violation n’est pas la cible finale.

Cela ne signifie pas que ces victimes involontaires ont “esquivé la balle”. Bien qu’ils ne subissent peut-être pas d’attaque de ransomware, il pourrait y avoir d’autres conséquences graves. Il y a quelques années, une petite entreprise de CVC a été « démasquée » comme la manière dont le géant de la distribution Target a été piraté. Une petite entreprise peut-elle survivre à cette publicité négative ?

Un autre affect a été que, quelle que soit leur taille ou leur secteur d’activité, les fournisseurs tiers sont de additionally en furthermore appelés à démontrer leur conformité en matière de sécurité de manière as well as rigoureuse que les années précédentes, un processus qu’un dirigeant a qualifié de « mort par conformité ».

Issu d’études téléchargeables sur Telus et un autre de Cyberaison. (Enregistrement requis)

Ransomware comme leurre

Le podcast de sécurité Cyber ​​Security Now avait une histoire qui révélait que les acteurs de la menace pouvaient utiliser des attaques de rançongiciels « pour distraire le assistance informatique d’un vol de données en cours ailleurs dans l’organisation » et pour « distraire les intervenants en cas d’incident de ce qui se passe réellement ». L’animateur Howard Solomon a noté qu’un gang chinois du nom de “Bronze Starlight” déployait un logiciel de rançon avec une durée de vie très courte, suggérant que “l’objectif du gang est le vol de données ou l’espionnage”.

Une histoire en Journée de l’actualité technologique observe que les analystes des menaces de la société de cybersécurité Secureworks ont découvert les activités de deux groupes de piratage chinois qui utilisent des rançongiciels comme leurre pour le cyberespionnage. Le ransomware en tant que leurre permet aux attaquants de brouiller les pistes, de compliquer l’attribution et de distraire les défenseurs.

Il be aware également qu’un indice de la présence de ce gang est l’utilisation d’un “chargeur de DLL personnalisé appelé HUI Loader pour télécharger des chevaux de Troie d’accès à distance et des balises Cobalt Strike sur des ordinateurs et des serveurs compromis. Cela conduit au téléchargement de ransomwares.

Le gang compromet initialement les réseaux en exploitant les vulnérabilités connues des appareils, ce qui les rend in addition difficiles à détecter, mais il convient de noter qu’il y avait souvent des correctifs disponibles qui auraient pu empêcher l’attaque en leading lieu.

La leçon pour les défenseurs de la cybersécurité est que même si vous disposez de capacités de sauvegarde et de restauration exceptionnelles, vous ne devez pas vous laisser distraire par une attaque initiale.

Tiré du podcast Cyber ​​Security Now avec l’hôte Howard Solomon, produit par le réseau de podcasting ITWC avec des notes supplémentaires d’une histoire dans Journée de l’actualité technologique.

Contact Me Probably?

Dans une autre brèche axée sur les appareils, des acteurs auraient attaqué des appliances Mitel MiVoice VOIP basées sur Linux pour fournir un accès preliminary à une attaque potentielle de ransomware.

Les appareils Mitel VOIP sont utilisés par un grand nombre d’organisations dans de nombreux secteurs différents pour les companies de téléphonie. Ceux-ci ont déjà été exploités pour des attaques d’amplification DDoS.

Les gurus en sécurité de Crowdstrike pensent que cette attaque faisait partie d’une attaque de ransomware. Heureusement, cette attaque a été détectée et arrêtée, mais qu’il existe un grand nombre de systèmes vulnérables. Bien qu’il n’y ait pas de correctif officiel, Mitel a publié un scénario de correction en avril pour les variations MiVoice Hook up 19.2 SP3 et antérieures et R14.x et antérieures.

La leçon est clairement que les correctifs sont essentiels pour tous les appareils, même ceux qui ne transportent pas de données susceptibles d’être cryptées.

Extrait d’un post de Ordinateur qui bipe