Bilan de la cybersécurité avril 2024

Rubriques connexes

Vous voulez continuer à apprendre?

Abonnez-vous à la newsletter SSL.com, restez informé et en sécurité.

Chaînes d’attaques contre les éviers de cuisine : la principale cybermenace pour les élections de 2024    

À l’approche des élections de 2024, les experts en cybersécurité préviennent que la menace la plus importante pour le processus démocratique sera probablement une combinaison de diverses cyberattaques plutôt qu’un seul incident isolé. Ces chaînes d’attaques « d’évier de cuisine », comme on les appelle, impliquent que les pirates utilisent plusieurs tactiques en tandem pour atteindre leurs objectifs malveillants, ce qui les rend plus difficiles à détecter et à se défendre. Selon un récent rapport de Mandiant, qui fait partie de Google Cloud, les menaces les plus puissantes contre les élections sont les attaques en chaîne, dans lesquelles les acteurs de la menace superposent délibérément plusieurs tactiques dans des opérations hybrides pour amplifier l'effet de chaque composant. Cette approche a été utilisée lors d'élections précédentes, comme lors de l'élection présidentielle ukrainienne de 2014, où des acteurs russes ont lancé des attaques DDoS, supprimé des fichiers des ordinateurs électoraux centraux du pays, divulgué des courriels et des documents et tenté de présenter de faux résultats favorisant un candidat spécifique. Lors des élections américaines de 2020, deux ressortissants iraniens ont mené une campagne contre les sites Web liés au vote de plusieurs États, obtenant des informations confidentielles sur les électeurs, envoyant des courriels intimidants et trompeurs et diffusant de la désinformation sur les vulnérabilités des infrastructures électorales. Ils ont également piraté une société de médias, qui aurait pu constituer un autre canal de diffusion de fausses déclarations. Outre les acteurs parrainés par l’État, les initiés, les hacktivistes et les cybercriminels constituent également une menace pour le processus démocratique. Les faux comptes de réseaux sociaux et sites Web affiliés à des candidats à la présidentielle peuvent être utilisés pour propager des escroqueries, des logiciels malveillants, voler des fonds ou influencer l'opinion des électeurs en diffusant de fausses nouvelles. Ces usurpations d’identité peuvent également être utilisées pour interagir avec de vraies personnes issues des campagnes et infiltrer leurs systèmes. Alors que le champ de bataille numérique devient de plus en plus accessible, il est crucial que les responsables électoraux, les campagnes et les électeurs restent vigilants et proactifs pour sauvegarder l’intégrité du processus démocratique contre ces cybermenaces en évolution.
SSL.com Insights : Pour se défendre contre les menaces complexes et multicouches décrites dans l'article, les entreprises et les organisations impliquées dans les processus électoraux devraient renforcer leurs défenses en intégrant des systèmes qui examinent le contenu transitant par leurs réseaux pour détecter les paquets de données nuisibles et les signes de falsification. . Ils devraient également déployer des technologies qui vérifient l’authenticité et la sécurité des sites Web, empêchant ainsi tout accès non autorisé aux données et systèmes sensibles. La mise en œuvre de mesures permettant de surveiller et d'analyser en permanence le trafic réseau peut aider à détecter des modèles inhabituels pouvant indiquer une attaque coordonnée. Les certificats SSL de SSL.com peuvent jouer un rôle crucial dans ces stratégies en garantissant que les données transmises sur les réseaux sont cryptées, réduisant ainsi considérablement le risque d'interception et de falsification, et en authentifiant l'identité des entités impliquées, renforçant ainsi la confiance et la sécurité dans les communications numériques.

Renforcez la sécurité, faites confiance aux certificats SSL.com.  

Chiffrer aujourd'hui

Des pirates informatiques parrainés par l'État piratent le réseau de R&D MITRE via les vulnérabilités Ivanti Zero-Day     

MITRE, une société à but non lucratif financée par le gouvernement fédéral, a récemment révélé une violation de son environnement d'expérimentation, de recherche et de virtualisation en réseau (NERVE) par un acteur menaçant parrainé par un État étranger début janvier. Les attaquants ont exploité deux vulnérabilités Zero Day, CVE-2023-46805 et CVE-2024-21887, dans les appareils Ivanti Connect Secure VPN pour obtenir un accès initial. Ces vulnérabilités ont été signalées pour la première fois par Volexity le 10 janvier, attribuant leur exploitation à des pirates informatiques soutenus par le gouvernement chinois. Après avoir obtenu l'accès, les attaquants ont effectué une reconnaissance, contourné l'authentification multifacteur en utilisant le détournement de session et se sont déplacés latéralement au sein du réseau de MITRE. Ils ont utilisé des portes dérobées et des webshells sophistiqués pour maintenir la persistance et récolter les informations d'identification, ciblant l'infrastructure VMware de l'organisation à l'aide d'un compte administrateur compromis. Bien que MITRE n'ait pas fourni de détails d'attribution au-delà de l'identification des attaquants en tant qu'acteurs menaçants d'un État-nation étranger, Mandiant de Google Cloud est au courant de plusieurs acteurs menaçants liés à la Chine qui exploitent les vulnérabilités Ivanti VPN dans leurs attaques. L'enquête en cours de MITRE n'a trouvé aucune preuve d'impact sur son réseau d'entreprise principal ou sur les systèmes de ses partenaires. L'organisation a partagé des informations sur les techniques ATT&CK observées, les meilleures pratiques pour détecter de telles attaques et des recommandations pour renforcer les réseaux. Les mêmes vulnérabilités Ivanti ont également été utilisées pour pirater des systèmes appartenant à l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), affectant potentiellement 100,000 XNUMX personnes. MITRE, largement connu pour sa base de connaissances ATT&CK sur les tactiques et techniques adverses, a récemment ouvert un nouveau laboratoire d'assurance et de découverte de l'IA pour découvrir et gérer les risques dans les systèmes compatibles avec l'IA. 
SSL.com Insights : Pour améliorer la sécurité contre les cyberattaques parrainées par l'État, telles que celles subies par MITRE via l'exploitation des vulnérabilités des produits, les organisations doivent déployer des technologies permettant l'inspection et la validation du trafic réseau crypté, ce qui aidera ensuite à identifier et à atténuer les activités suspectes avant ils s'intensifient. Chez SSL.com, nous proposons des protocoles SSL/TLS des solutions de certificat adaptées aux appareils IoT, garantissant des connexions d'appareils sécurisées et fiables dès le départ. En s'associant avec nous, les organisations peuvent tirer parti de notre solution hébergée PKI et des autorités de certification personnalisées compatibles ACME pour gérer efficacement les cycles de vie des certificats, atténuant ainsi les risques associés à la sécurité des appareils et du réseau. Notre API SWS facilite en outre la gestion transparente des certificats directement à partir de votre infrastructure IoT.

Découvrez comment SSL.com peut améliorer la sécurité de votre IoT.  

En savoir plus

L'acteur de menace CoralRaider lance une campagne d'attaque mondiale avec plusieurs voleurs d'informations  

L'unité de recherche en sécurité Talos de Cisco a découvert une campagne d'attaque généralisée menée par un acteur malveillant connu sous le nom de CoralRaider, qui emploie une combinaison de voleurs d'informations pour récupérer les informations d'identification et les données financières des utilisateurs du monde entier. L'acteur malveillant, soupçonné d'être d'origine vietnamienne, cible des individus dans divers secteurs d'activité et zones géographiques depuis au moins 2023. La campagne d'attaque de CoralRaider a évolué au fil du temps, l'acteur malveillant utilisant auparavant une variante personnalisée de QuasarRAT appelée RotBot et le voleur XClient. pour cibler les informations financières et de connexion et voler des comptes de réseaux sociaux. Depuis février 2024, l’acteur malveillant a élargi son arsenal pour inclure trois voleurs d’informations : Cryptbot, LummaC2 et Rhadamanthys. Les attaques ont ciblé des utilisateurs en Équateur, en Égypte, en Allemagne, au Japon, au Nigéria, en Norvège, au Pakistan, aux Philippines, en Pologne, en Syrie, en Turquie, au Royaume-Uni et aux États-Unis. Certaines victimes ont été identifiées comme étant des employés d'organisations de centres d'appels de services informatiques au Japon. et les organisations de services de protection civile en Syrie. CoralRaider utilise des e-mails de phishing contenant des liens malveillants pour fournir des archives ZIP contenant des fichiers de raccourci contrefaits, déclenchant ainsi une chaîne d'infection en plusieurs étapes qui finit par exécuter les voleurs d'informations sur les systèmes ciblés. CryptBot, LummaC2 et Rhadamanthys sont des voleurs d'informations bien connus dotés de diverses capacités, notamment la collecte d'informations d'identification à partir des navigateurs, le vol de fichiers sensibles et l'exfiltration de données de portefeuilles de crypto-monnaie et d'autres applications. L'utilisation combinée de ces voleurs permet à CoralRaider de maximiser l'impact de ses attaques et de recueillir un large éventail d'informations précieuses auprès de ses victimes. Alors que CoralRaider continue d'évoluer et d'étendre sa portée mondiale, les organisations et les individus doivent rester vigilants et adopter des mesures de cybersécurité robustes pour se protéger contre ces menaces de plus en plus sophistiquées. La mise à jour régulière des logiciels, l'utilisation de mots de passe forts et uniques, l'activation d'une authentification multifacteur et l'éducation des utilisateurs sur les dangers des e-mails de phishing sont des étapes essentielles pour atténuer le risque d'être victime de telles attaques. 
SSL.com Insights : Pour contrer la campagne mondiale menée par les acteurs malveillants utilisant plusieurs voleurs d'informations, comme indiqué par Cisco, les organisations doivent mettre en œuvre des outils robustes de surveillance de l'intégrité des fichiers et d'analyse du comportement, capables de détecter et de répondre aux accès non autorisés et aux modifications des données sensibles. Des mises à jour régulières et des solutions complètes de sécurité des points de terminaison sont essentielles pour se protéger contre les souches de logiciels malveillants avancés qui ciblent les informations d'identification et les informations financières via des mécanismes furtifs. De plus, le déploiement du chiffrement des fichiers sensibles et l'utilisation de protocoles de détection améliorés peuvent atténuer le risque de vol et d'utilisation abusive d'informations. SSL.com S/MIME Les certificats garantissent l'intégrité et la confidentialité des communications par courrier électronique, fournissant une couche de protection essentielle contre les programmes de phishing qui pourraient autrement conduire au déploiement de voleurs d'informations. Ils vérifient également l'identité de l'expéditeur pour empêcher les tentatives d'usurpation d'identité, sécurisant ainsi le courrier électronique en tant que canal de communication.

E-mail sécurisé, faites confiance à SSL.com S/MIME.  

Protéger les e-mails

Change Healthcare subit une deuxième attaque de ransomware par RansomHub   

Change Healthcare, une filiale de United Healthcare, aurait subi une autre attaque de ransomware, cette fois par le gang RansomHub, quelques semaines seulement après avoir été ciblée par ALPHV/BlackCat. RansomHub affirme avoir volé 4 To de données sensibles, notamment des informations sur le personnel militaire américain, les patients, les dossiers médicaux et les informations financières. Le gang exige un paiement d'extorsion et menace de vendre les données au plus offrant si la rançon n'est pas payée dans les 12 jours. Cette deuxième attaque intervient à un moment difficile pour Change Healthcare, qui ne s'est remis que récemment de la précédente cyberattaque ALPHV/BlackCat. L'entreprise est désormais confrontée à une décision difficile : payer ou non la rançon pour protéger les informations sensibles de ses clients. Malachi Walker, conseiller en sécurité chez DomainTools, suggère que même si RansomHub n'est pas directement connecté à ALPHV/BlackCat, le groupe pourrait revendiquer des liens avec ses victimes pour les intimider et les inciter à effectuer un paiement. Il souligne également l’économie souterraine florissante qui entoure la scène des ransomwares, avec divers acteurs collaborant pour partager des informations. Bien qu'il y ait des spéculations sur une éventuelle connexion entre ALPHV/BlackCat et RansomHub, ou si ALPHV a été rebaptisé RansomHub, Walker déclare qu'il est trop tôt pour confirmer un lien direct entre les deux groupes. Cet incident souligne la menace permanente posée par les gangs de ransomwares et l'importance de mesures de cybersécurité robustes pour protéger les données sensibles dans le secteur de la santé. Alors que Change Healthcare fait face à cette deuxième attaque de ransomware, l'entreprise est confrontée à une situation difficile pour assurer la sécurité des informations de ses clients. 
SSL.com Insights : Pour protéger efficacement les informations sensibles, telles que les dossiers médicaux et les informations financières, contre les menaces émergentes telles que les ransomwares, les organisations doivent donner la priorité à des stratégies de sécurité avancées adaptées à leurs besoins spécifiques. La mise en œuvre d’outils de surveillance rigoureux qui analysent le trafic réseau pour détecter des modèles inhabituels peut fournir des alertes précoces en cas de violation potentielle. De plus, le renforcement des applications Web avec des outils qui bloquent spécifiquement les tentatives non autorisées d’exploitation des vulnérabilités peut protéger les actifs critiques. Pour une protection complète des données, des technologies de cryptage doivent être utilisées pour rendre les données sensibles illisibles pour les utilisateurs non autorisés, garantissant ainsi que même si les données sont compromises, elles restent sécurisées.

Annonces SSL.com

SSL.com S/MIME Les certificats peuvent désormais être intégrés à un réseau compatible LDAP

LDAP (Lightweight Directory Access Protocol) est un protocole standard de l'industrie pour accéder et gérer les services d'informations d'annuaire. Il est couramment utilisé pour stocker et récupérer des informations sur les utilisateurs, les groupes, les structures organisationnelles et d'autres ressources dans un environnement réseau.

Intégration de LDAP avec S/MIME Les certificats impliquent l'utilisation de LDAP comme service d'annuaire pour stocker et gérer les certificats utilisateur. 

En intégrant LDAP avec S/MIME certificats, les organisations peuvent centraliser la gestion des certificats, améliorer la sécurité et rationaliser le processus de récupération et d'authentification des certificats dans diverses applications et services qui exploitent LDAP comme service d'annuaire.

Contact ventes@ssl.com pour plus d'informations sur l'intégration LDAP. 

L'authentification unique (SSO) peut désormais être activée pour les comptes SSL.com 

Les utilisateurs de SSL.com peuvent désormais activer l'authentification unique (SSO) pour leurs comptes. Cette fonctionnalité permet aux utilisateurs de lier leurs comptes Google, Microsoft, GitHub et Facebook à leurs comptes SSL.com. Une fois liés et connectés à l'un des quatre fournisseurs de services mentionnés, les utilisateurs n'ont pas besoin de se connecter à plusieurs reprises à leurs comptes SSL.com avec leur nom d'utilisateur et leur mot de passe. L'adoption du SSO par SSL.com représente un engagement à maintenir des normes de sécurité élevées tout en fournissant un environnement convivial, favorisant ainsi une expérience en ligne plus sûre et plus sécurisée pour ses utilisateurs. 

Automatisez la validation et l'émission des certificats de signature et de chiffrement des e-mails pour les employés 

< p align="justifier">Inscription en masse est maintenant disponible pour ID personnel + organisation S/MIME Professionnelles (également appelé IV + OV S/MIME), Et Certificats NAESB via l'outil de commande groupée SSL.com. Inscription groupée de Personal ID+Organisation S/MIME et NAESB Certificates a l'exigence supplémentaire d'un Entreprise PKI (EPKI) Accord. Un EPKI L'accord permet à un seul représentant autorisé d'une organisation de commander, valider, émettre et révoquer un volume élevé de ces deux types de certificats pour d'autres membres, permettant ainsi une rotation plus rapide dans la sécurisation des données et des systèmes de communication d'une organisation. 

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.