choo.t a écrit :
Cette demande de rançon manque cruellement d'ASCII art.
kirk.roundhouse a écrit :
Le plus gros problème n'est certainement pas le travail à distance, mais principalement l'utilisateur, qu'il soit dans les locaux de la boite ou pas.
99% du temps, une intrusion vient d'un phishing ou d'un spear phising qui compte sur la naïveté ou l'inattention de l'utilisateur et le fait cliquer sur la première merde reçue dans sa boite mail.
Et le fait que le nombre de cas augmente, vient du simple fait que les attaques par phishing+ransomware augmentent (argent facile pour les brokers et opérateurs) et de façon complètement décorrélée avec le COVID.
Les boites ne paient pas "officiellement", mais il y a bien de grosses sommes d'argent qui transitent, et les affaires sont souvent étouffées par les autorités locales (coucou l'ANSSI).
Et il ne faut pas se laisser duper par la forme ou la qualité de la demande de rançon. Ce sont bien des groupes très organisés qui sont à la manœuvre, c'est juste que l'opérateur qui est le dernier maillon de la chaine d'attaque est souvent un hacker lambda qui utilise des outils créés par des groupes tentaculaires.
Un peu comme le dealer de shit du coin de rue (et pas très futé) qui est fourni par un plus gros réseau.
BeatKitano a écrit :kirk.roundhouse a écrit :
Le plus gros problème n'est certainement pas le travail à distance, mais principalement l'utilisateur, qu'il soit dans les locaux de la boite ou pas.
99% du temps, une intrusion vient d'un phishing ou d'un spear phising qui compte sur la naïveté ou l'inattention de l'utilisateur et le fait cliquer sur la première merde reçue dans sa boite mail.
Et le fait que le nombre de cas augmente, vient du simple fait que les attaques par phishing+ransomware augmentent (argent facile pour les brokers et opérateurs) et de façon complètement décorrélée avec le COVID.
Les boites ne paient pas "officiellement", mais il y a bien de grosses sommes d'argent qui transitent, et les affaires sont souvent étouffées par les autorités locales (coucou l'ANSSI).
Et il ne faut pas se laisser duper par la forme ou la qualité de la demande de rançon. Ce sont bien des groupes très organisés qui sont à la manœuvre, c'est juste que l'opérateur qui est le dernier maillon de la chaine d'attaque est souvent un hacker lambda qui utilise des outils créés par des groupes tentaculaires.
Un peu comme le dealer de shit du coin de rue (et pas très futé) qui est fourni par un plus gros réseau.
Ouais enfin la première source de déplacement dans le reseau ça reste les prestataires de service externe qui justement se font souvent compromettre par ce genre d'attaques. Tu rajoutte donc 50% (chiffre sorti du chapeau magique mais qui est probablement très élevé) le personnel travaillant maintenant a distance et tu augmente significativement les points d'entrées (tu controles pas ce que fait ton employé sur son pc hors heures de travail, hors VPN/SSH)
Donc oui c'est pas la faute a COVID, mais ça y participe beaucoup.
kirk.roundhouse a écrit :
Le plus gros problème n'est certainement pas le travail à distance, mais principalement l'utilisateur, qu'il soit dans les locaux de la boite ou pas.
99% du temps, une intrusion vient d'un phishing ou d'un spear phising qui compte sur la naïveté ou l'inattention de l'utilisateur et le fait cliquer sur la première merde reçue dans sa boite mail.
kirk.roundhouse a écrit :
Sauf que c'est faux. Les cibles visées sont presque toujours le personnel interne. Et le "patient zéro" est toujours un interne.
Mais tu veux peut être parler du déplacement latéral suite à la compromission d'une société de prestation (comme SOPRA par exemple).
Ce déplacement latéral ne se fait pas via le réseau ou les interconnexion du SI, puisque les clients coupent tous les liens (qui sont déjà filtrés de base).
Mais se fait par récupération des annuaires et liste de contacts, pour relancer du spear phishing en se faisant passer pour de la correspondance légitime, à destination des clients.
das_Branleur a écrit :
A noter que je suis particulièrement inquiet de la qualité en hausse de ces attaques.
L'orthographe/grammaire s'améliorent, les adresses email utilisées deviennent beaucoup plus malignes et difficiles à vérifier, etc.
J'en ai reçu un ce matin très bien foutu intitulé "You have six(6) new sharepoint documents", avec un bon HTML, et dont l'adresse d'expédition était no_reply46991.sharepoint@prod_exchange.net.
Honnêtement, faut être suffisamment vigilant pour pas se faire avoir ; je dis pas qu'il faut être un génie, mais... 100% des employés ne sont pas infaillibles xD
On est loin des adresses pourraves que les phisheurs prenaient y'a encore 1 ou 2 ans et qui ne ressemblaient strictement à rien et qui étaient faciles à flag. Là, tout de suite, je pourrais acheter l'extension gouv-public.fr ou .net (dispos) et envoyer des emails à partir de relance@ssi.gouv-public.fr ; et c'est juste un exemple!
BeatKitano a écrit :kirk.roundhouse a écrit :
Sauf que c'est faux. Les cibles visées sont presque toujours le personnel interne. Et le "patient zéro" est toujours un interne.
Mais tu veux peut être parler du déplacement latéral suite à la compromission d'une société de prestation (comme SOPRA par exemple).
Ce déplacement latéral ne se fait pas via le réseau ou les interconnexion du SI, puisque les clients coupent tous les liens (qui sont déjà filtrés de base).
Mais se fait par récupération des annuaires et liste de contacts, pour relancer du spear phishing en se faisant passer pour de la correspondance légitime, à destination des clients.
Y'a QU'UNE manière de pénetrer un reseau mais pas tout le temps. Je note pour mes prochains pentesting, surtout la règle internationale sur comment on opère un déplacement latéral. Ah et le patient zéro c'est toujours sur son temps de travail qu'il se fait pwn sa machine. Ça aussi c'est écrit dans le manuel international du piratage. Bref si y'a un truc que j'ai appris c'est qu'avoir des certitudes sur comment les choses n'arrivent jamais en infosec c'est être déjà au chomage.
das_Branleur a écrit :
@__MaX__ : donc tu reçois un mail d'un expéditeur inconnu, c'est poubelle direct?
__MaX__ a écrit :
Qu'il gicle direct tout ce qui est même trés vaguement chelou.
Écrire dans un français correct et lisible : ni phonétique, ni style SMS. Le warez et les incitations au piratage sont interdits. La pornographie est interdite. Le racisme et les incitations au racisme sont interdits. L'agressivité envers d'autres membres, les menaces, le dénigrement systématique sont interdits. Éviter les messages inutiles