Bonjour. Vous avez atteint une page archivée. Le contenu et les liens de cette page ne sont plus mis à jour. Vous cherchez un service ? Veuillez retourner à notre page d'accueil.
Septembre 2020 - Logiciels malveillants, domaines malveillants et autres : Comment les cybercriminels attaquent les organisations SLTT
Le manuel de jeu SLTT des cybercriminels
Bien que les logiciels malveillants se présentent sous différentes formes, le type le plus prolifique utilisé contre les organisations SLTT est le ransomware (rançongiciel). Les rançongiciels sont des logiciels malveillants qui bloquent l'accès à un système, à un appareil ou à un fichier jusqu'au paiement d'une rançon. Les rançongiciels DOE le font en chiffrant les fichiers sur le poste de travail, en menaçant d'effacer les fichiers ou en bloquant l'accès au système. Il peut être particulièrement nuisible lorsque les attaques de ransomware touchent les hôpitaux, les centres d'appels d'urgence et d'autres infrastructures critiques. Le rapport Verizon Data Breach Investigations Report (DBIR) de 2020 a révélé que les ransomwares affectent de manière disproportionnée le secteur public (plus de 60% des incidents de logiciels malveillants contre 27% des logiciels malveillants dans tous les secteurs). En outre, les incidents observés par le Multi-State Information Sharing and Analysis Center (MS-ISAC) ont montré une augmentation de 153% des attaques de ransomware SLTT entre janvier 2018 et décembre 2019. En 2019, plus de 100 attaques de ransomware ont été rendues publiques contre des organisations SLTT - y compris une attaque contre les systèmes de la ville de Baltimore IT qui a bloqué des milliers d'ordinateurs et perturbé presque tous les services de la ville. On estime que cette attaque a coûté à la ville jusqu'à18 millions de dollars. Les autres types de logiciels malveillants qui affectent les organisations SLTT sont les suivants :
- Les chevaux de Troie sont des logiciels malveillants qui se présentent comme des applications ou des logiciels légitimes pouvant être installés. Les chevaux de Troie peuvent fournir une porte dérobée à un attaquant et, par la suite, un accès complet à l'appareil, ce qui permet à l'attaquant de voler des informations bancaires et sensibles, ou de télécharger d'autres logiciels malveillants. Les conclusions du DBIR de Verizon ( 2020 ) montrent que des variantes de chevaux de Troie ont été impliquées dans plus de 50% des incidents liés à des logiciels malveillants dans le secteur public.
- Les téléchargeurs ou droppers sont des logiciels malveillants qui, en plus de leurs propres actions malveillantes, permettent à d'autres logiciels malveillants, souvent plus dangereux, de s'infiltrer dans le système infecté. Les données recueillies par le DBIR de Verizon ( 2020 ) montrent que près de 25% des incidents survenus dans le secteur public impliquaient un téléchargeur ou un dropper.
- Les logiciels espions sont des logiciels malveillants qui enregistrent les frappes au clavier, écoutent les microphones des ordinateurs, accèdent aux webcams ou font des captures d'écran et envoient les informations à un acteur malveillant. Ce type de logiciel malveillant peut permettre aux acteurs d'accéder aux noms d'utilisateur, aux mots de passe, à toute autre information sensible saisie au clavier ou visible sur l'écran, et éventuellement à des informations visualisées par la webcam. Les enregistreurs de frappe, qui enregistrent principalement les frappes au clavier, sont le type de logiciel espion le plus courant. ZeuS, l'enregistreur de frappe le plus connu, figure depuis plusieurs années sur la liste des meilleurs logiciels malveillants du MS-ISAC ( 10 ).
- Click Fraud est un logiciel malveillant qui génère de faux clics automatiques vers des sites web chargés de publicité. Ces publicités génèrent des revenus lorsqu'on clique dessus. Plus il y a de clics, plus les revenus générés sont importants. Kovter, l'une des versions les plus prolifiques de la fraude au clic, figure depuis quelques années sur la liste Top 10 Malware du MS-ISAC.
Protéger votre organisation contre les logiciels malveillants
Les logiciels malveillants s'introduisent le plus souvent dans les organisations SLTT par le biais de malspam, des courriels non sollicités qui dirigent les utilisateurs vers des sites web malveillants ou les incitent à télécharger ou à ouvrir des logiciels malveillants, ou de malvertising, des logiciels malveillants introduits par le biais de publicités malveillantes. Le point commun entre ces vecteurs et les différents types de logiciels malveillants qu'ils peuvent introduire dans les systèmes IT de votre organisation est qu'ils impliquent presque toujours des utilisateurs ou des logiciels malveillants qu'ils téléchargent involontairement et qui se connectent à des domaines web malveillants.
Pour aider les organisations de SLTT à se protéger contre ces types courants de cyber-attaques, le Center of Internet Security (CIS) s'associe, par l'intermédiaire du MS-ISAC et du Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC), à la Cybersecurity Infrastructure Security Agency (CISA) du ministère américain de la sécurité intérieure (DHS) et à Akamai pour offrir gratuitement son nouveau service de blocage et de signalement des domaines malveillants (MDBR) aux membres du MS- et de l'EI-ISAC du gouvernement américain de SLTT. Ce service permet aux équipes de sécurité de SLTT d'ajouter rapidement une couche supplémentaire de protection contre la cybersécurité en empêchant leurs systèmes de se connecter à des domaines web malveillants et en renforçant les défenses existantes de leur réseau.
Pour les organisations qui ne peuvent pas adhérer au MS- ou EI-ISAC, une protection similaire peut être obtenue par l'intermédiaire de Quad9. Quad9 est une plateforme DNS récursive et anycast gratuite qui offre aux utilisateurs finaux de solides protections de sécurité, de hautes performances et une grande confidentialité. Quad9 a été développé par la Global Cyber Alliance (GCA), une organisation internationale à but non lucratif fondée par un partenariat d'organismes d'application de la loi et de recherche qui se consacrent à la lutte contre le cyber-risque systémique de manière réelle et mesurable (le CIS est une organisation fondatrice de la GCA).
À propos du blocage et du signalement des domaines malveillants (MDBR)
Le service MDBR n'est disponible que pour les membres des MS- et EI-ISAC. Pour les personnes qui ne sont pas éligibles à l'adhésion, veuillez consulter la section ci-dessous sur Quad9 pour un service similaire disponible pour le grand public.
MDBR bloque de manière proactive le trafic réseau d'une organisation vers des domaines web nocifs connus, ce qui contribue à protéger les systèmes IT contre les menaces de cybersécurité et à limiter les infections liées aux logiciels malveillants, aux rançongiciels, à l'hameçonnage et à d'autres menaces cybernétiques connues. Cette capacité peut bloquer la grande majorité des infections par ransomware simplement en empêchant l'accès initial à un domaine de diffusion de ransomware. Au cours des cinq premières semaines d'activité, le service MDBR a bloqué 10 millions de requêtes malveillantes provenant de plus de 300 entités SLTT.
Une fois qu'une organisation dirige ses requêtes DNS vers les adresses IP du serveur DNS d'Akamai, chaque recherche DNS est comparée à une liste de domaines malveillants connus ou suspectés. Les tentatives d'accès à des domaines malveillants connus, tels que ceux associés à des logiciels malveillants, à l'hameçonnage ou à des rançongiciels, sont bloquées et enregistrées.
Akamai fournit toutes les données enregistrées au centre des opérations de sécurité (SOC) des MS- et EI-ISAC, y compris les requêtes DNS réussies et bloquées. Le SOC utilise ces données pour effectuer des analyses et des rapports détaillés afin d'améliorer la situation de la communauté SLTT, ainsi que pour fournir des services de renseignement et des rapports réguliers spécifiques à l'organisation. Si nécessaire, une assistance à la remédiation est fournie à chaque organisation SLTT qui met en œuvre le service.
Toute entité gouvernementale américaine de la SLTT qui est membre du MS- ou de l'EI-ISAC peut s'inscrire au MDBR. Ils peuvent bénéficier de cette couche supplémentaire de protection de la cybersécurité sans aucun frais, grâce au soutien financier fourni par la CISA.
À propos de Quad9
Quad9 bloque contre les domaines malveillants connus, empêchant les ordinateurs et les appareils IoT de votre organisation de se connecter à des logiciels malveillants ou à des sites de phishing. Chaque fois qu'un utilisateur de Quad9 clique sur un lien de site web ou tape une adresse dans son navigateur web, Quad9 vérifie le site par rapport à une liste de domaines compilée à partir de plus de 18 partenaires différents de renseignements sur les menaces. Chaque partenaire de veille sur les menaces fournit une liste de domaines malveillants basée sur l'examen heuristique de facteurs tels que la découverte de logiciels malveillants scannés, les comportements antérieurs des IDS du réseau, la reconnaissance visuelle d'objets, la reconnaissance optique de caractères (OCR), la structure et les liens avec d'autres sites, ainsi que les rapports individuels sur les comportements suspects ou malveillants. En fonction des résultats, Quad9 résout ou refuse la tentative de recherche, empêchant ainsi les connexions aux sites malveillants en cas de correspondance. Quad9 achemine les requêtes DNS de votre organisation à travers un réseau sécurisé de serveurs dans le monde entier.
Informations sur les droits d'auteur
Ces conseils vous sont proposés sur le site Commonwealth of Virginia par l'Agence des technologies de l'information de Virginie, en coordination avec l'Agence des technologies de l'information de Virginie :
