En plus de protéger vos données directement, chez Acronis, nous surveillons également les menaces, développons des correctifs pour les nouvelles vulnérabilités et préparons des recommandations pour assurer la protection de divers systèmes. À cette fin, le réseau mondial des Acronis Cyber Protection Operations Centers (CPOC) a été récemment créé. Ces centres analysent en permanence le trafic afin de détecter de nouveaux types de logiciels malveillants, de virus et de cryptojacking.
Aujourd'hui, nous voulons parler des résultats des CPOC, qui sont désormais régulièrement publiés sur la chaîne YouTube d'Acronis. Et voici les 5 nouvelles les plus chaudes sur les incidents qui auraient pu être évités avec au moins une protection de base contre les ransomwares et le phishing.
Le ransomware Black Kingdom a appris à compromettre les utilisateurs de Pulse VPN
Le fournisseur de VPN Pulse Secure, sur lequel 80% des entreprises Fortune 500 comptent, a été victime d'attaques de ransomwares Black Kingdom. Ils exploitent une vulnérabilité du système qui leur permet de lire le fichier et d'en extraire les informations de compte. Après cela, le nom d'utilisateur et le mot de passe volés sont utilisés pour accéder au réseau compromis.
Bien que Pulse Secure ait déjà publié un correctif pour remédier à cette vulnérabilité, les entreprises qui n'ont pas encore installé la mise à jour courent un risque accru.
Cependant, des tests ont montré que les solutions qui utilisent l'intelligence artificielle pour identifier les menaces, comme Acronis Active Protection, empêchent Black Kingdom d'infecter les ordinateurs des utilisateurs finaux. Donc, si l'entreprise dispose d'une telle protection ou d'un système avec un mécanisme de contrôle de mise à jour intégré (par exemple, Acronis Cyber Protect), vous n'avez pas à vous soucier de Black Kingdom.
Une attaque de ransomware sur Knoxville a entraîné une déconnexion du réseau
Le 12 juin 2020, une attaque massive de Ransomware a été menée sur la ville de Knoxville (USA, Tennessee), qui a conduit à l'arrêt des réseaux informatiques. Y compris les agents des forces de l'ordre ont perdu la capacité de répondre aux incidents à l'exception des urgences et des menaces à la vie des gens. Et même quelques jours après la fin de l'attaque, une annonce était toujours publiée sur le site Web de la ville selon laquelle les services en ligne n'étaient pas disponibles.
L'enquête initiale a révélé que l'attaque était le résultat d'une attaque de phishing massive qui a envoyé de faux e-mails aux employés des services municipaux. Ils ont utilisé des ransomwares tels que Maze, DoppelPaymer ou NetWalker. Comme dans l'exemple précédent, si les autorités de la ville utilisaient des contre-mesures Ransomware, une telle attaque ne serait pas possible, car les systèmes de protection AI détectent instantanément les variantes du ransomware utilisé.
MaxLinear a signalé une attaque Maze et une violation de données
Le fabricant de systèmes intégrés sur puce MaxLinear a confirmé que les réseaux de l'entreprise avaient été attaqués par le ransomware Maze. environ 1 To de données ont été volées, y compris des données personnelles ainsi que des informations financières sur les employés. Les organisateurs de l'attaque ont déjà publié 10 Go de ces données.
En conséquence, MaxLinear a dû mettre hors ligne tous les réseaux de l'entreprise et engager des consultants pour mener une enquête. Répétons-le encore une fois en utilisant cette attaque comme exemple: Maze est une version assez connue et bien reconnue d'un programme de ransomware. Dans le cas de l'utilisation de systèmes de protection contre Ransomware MaxLinear, il serait possible d'économiser beaucoup d'argent et d'éviter de nuire à la réputation de l'entreprise.
Fuite de logiciels malveillants via de fausses alertes Google
Les attaquants ont commencé à utiliser les alertes Google pour envoyer de fausses notifications sur les violations de données. En conséquence, lorsqu'ils recevaient des messages alarmants, des utilisateurs effrayés se sont rendus sur de faux sites et ont téléchargé des logiciels malveillants dans l'espoir de «résoudre le problème».
Les notifications malveillantes fonctionnent dans Chrome et Firefox. Cependant, les services de filtrage d'URL, y compris le service Acronis Cyber Protect, empêchaient les utilisateurs des réseaux protégés de cliquer sur des liens infectés.
Le ministère américain de la Santé signale 393 violations de la sécurité HIPAA l'année dernière
Le ministère de la Santé et des Services sociaux (HHS) a signalé 393 fuites d'informations confidentielles sur la santé des patients qui ont conduit à des violations des exigences de la loi HIPAA (Health Insurance Portability and Accountability Act) pour la période allant de juin 2019 à juin 2020. Dont 142 incidents étaient le résultat d'attaques de phishing sur District Medical Group et Marinette Wisconsin, dont 10190 et 27137 dossiers médicaux électroniques ont été divulgués, respectivement.
Malheureusement, la pratique a montré que même des utilisateurs spécialement formés et formés, à qui on a expliqué à maintes reprises qu'il était interdit de cliquer sur des liens ou d'ouvrir des pièces jointes à partir de lettres suspectes, pouvaient devenir des victimes. Et sans systèmes automatisés pour bloquer les activités suspectes et filtrer les URL pour empêcher la navigation vers de faux sites, il est très difficile de se défendre contre des attaques sophistiquées qui utilisent de très bonnes excuses, des boîtes aux lettres crédibles et un haut niveau d'ingénierie sociale.
Si vous êtes intéressé par les nouvelles sur les dernières menaces, vous pouvez vous abonner à la chaîne YouTube Acronis, où nous partageons les derniers résultats de surveillance CPOC en temps quasi réel. Vous pouvez également vous abonner à notre blog sur Habr.com car nous diffuserons ici les mises à jour et les résultats de recherche les plus intéressants.