La coop¨¦ration de concert avec l’¨¦quipe de s¨¦curit¨¦ du client bloque le vol de 700 000 dollars ¨¤ quelques minutes pr¨¨s
M¨ºme les entreprises sensibilis¨¦es ¨¤ la s¨¦curit¨¦ avec des strat¨¦gies et une posture de s¨¦curit¨¦ fortes sont potentiellement vuln¨¦rables ¨¤ la compromission des e-mails professionnels provenant de pirates informatiques cibl¨¦s, comme un client du secteur de la vente au d¨¦tail d’Arctic Wolf? l’a r¨¦cemment appris.
Dans ce cas, cependant, une collaboration ¨¦troite avec l’Arctic Wolf Concierge Security? Team a stopp¨¦ net une attaque smash-and-grab par virement bancaire.
La cible?
L’entreprise de vente au d¨¦tail cibl¨¦e dans cette attaque utilise Office?365 comme logiciel de bureau interne, y compris l’application Cloud Outook. Cette entreprise ¨¦tant sensibilis¨¦e ¨¤ la s¨¦curit¨¦, son ¨¦quipe informatique avait activ¨¦ et demand¨¦ une authentification multifacteur (MFA) au sein des services cloud, y compris O365. Elle a ¨¦galement ¨¦tabli un partenariat avec nous, en faisant appel aux solutions d’op¨¦rations de s¨¦curit¨¦ ? Managed Detection and Response (MDR) et Managed Cloud Monitoring d’Arctic Wolf pour d¨¦fendre en profondeur ses syst¨¨mes Cloud et sur site.
Un fait suppl¨¦mentaire important?: L’entreprise recourt r¨¦guli¨¨rement ¨¤ des virements bancaires de grande valeur pour payer des fournisseurs, commer?ants et partenaires commerciaux.
La cyberattaque?
La plupart des cybercriminels motiv¨¦s par l’app?t du gain se concentrent sur les attaques par violation de donn¨¦es, qui leur permettent de voler des informations sensibles pour la revente sur l’internet clandestin. Ces pirates informatiques, cependant, ont fait en sorte de supprimer les interm¨¦diaires. Ils ont planifi¨¦ une attaque par compromission de la messagerie professionnelle, qui aurait eu pour cons¨¦quence le vol direct de 0,75?million de dollars en un seul apr¨¨s-midi.
La premi¨¨re ¨¦tape a consist¨¦ ¨¤ s¨¦lectionner la bonne cible. Les criminels utilisent fr¨¦quemment des renseignements de source ouverte pour identifier leurs cibles, fouillant les sites commerciaux, les r¨¦seaux sociaux professionnels et d’autres sources publiques pour se concentrer sur les comptes utiles. Dans ce cas, les pirates informatiques ont finalement cibl¨¦ un employ¨¦ haut plac¨¦ de la soci¨¦t¨¦ de vente au d¨¦tail, un cadre dont le travail incluait la demande et l’autorisation de virements bancaires importants.???
Les pirates informatiques ont probablement utilis¨¦ une attaque par dictionnaire lente et basse pour compromettre le compte de cette personne. Comme les pirates informatiques ciblaient lentement un seul compte de messagerie, leurs ¨¦checs de connexion (peut-¨ºtre un ou deux par jour), n’ont pas d¨¦clench¨¦ d’alarme. Finalement, ils sont parvenus ¨¤ identifier la bonne combinaison nom d’utilisateur-mot de passe.
C’est alors que les pirates se sont attaqu¨¦s ¨¤ la ligne de d¨¦fense suivante?: l’authentification multifacteur. Les pirates connaissaient d¨¦sormais le nom d’utilisateur et le mot de passe pour acc¨¦der au compte, mais ils devaient acc¨¦der au t¨¦l¨¦phone du cadre. Cela signifiait qu’ils ne pouvaient pas acc¨¦der directement au compte. Cependant, les pirates ne se sont pas d¨¦courag¨¦s.?
Ils ont envoy¨¦ ¨¤ leur cible une demande de connexion. Et ils ont eu de la chance. Une demande d’authentification malveillante s’est affich¨¦e sur le t¨¦l¨¦phone de la cible pendant que le cadre utilisait un service?Office?365, et ce dernier a cliqu¨¦ sur ¡°OK.¡±
Les pirates ¨¦taient entr¨¦s.
Ce qu’il s’est ensuite pass¨¦
Cet incident ¨¦tait d¨¦sormais une compromission de messagerie professionnelle officielle. Et c’est ¨¤ ce moment que la solution Arctic Wolf Managed Cloud Monitoring a g¨¦n¨¦r¨¦ sa premi¨¨re alerte.
De leur c?t¨¦, les pirates ont r¨¦agi rapidement. Ils ont imm¨¦diatement lanc¨¦ la reconnaissance du compte d’utilisateur compromis, cherchant ¨¤ identifier des informations ou un acc¨¨s ¨¤ exploiter. Dans ce cas, ils ont d¨¦couvert que le cadre cibl¨¦ faisait r¨¦guli¨¨rement des demandes de virements bancaires.
Les pirates ont fouill¨¦ la messagerie et identifi¨¦ pr¨¦cis¨¦ment comment ces demandes ¨¦taient effectu¨¦es?: ¨¤ qui le cadre envoyait des e-mails, le format des demandes et les montants d’argent transf¨¦r¨¦s. Maintenant qu’ils avaient collect¨¦ ces informations, les pirates ¨¦taient pr¨ºts ¨¤ frapper.
Mais avant de le faire, ils ont ¨¦limin¨¦ leurs traces. Pour emp¨ºcher la cible de remarquer la demande de virement bancaire malveillante et toute r¨¦ponse, ils ont cr¨¦¨¦ une r¨¨gle de messagerie qui cacherait le courrier entrant en provenance du service de comptabilit¨¦ dans un dossier isol¨¦.
Le d¨¦cor ¨¦tait pos¨¦ et les pirates ¨¦taient pr¨ºts ¨¤ poursuivre. Ils ont ensuite demand¨¦ un virement de 700?000?$ vers un compte en leur possession.
La r¨¦ponse d’Arctic Wolf
Entre-temps, heureusement, l’attaque n’¨¦tait pas pass¨¦e inaper?ue. Le premier signe de probl¨¨me a ¨¦t¨¦ la connexion initiale?: les pirates se sont connect¨¦s au compte du cadre ¨¤ partir d’un pays suspect. Cela a d¨¦clench¨¦ une alerte de haute priorit¨¦ dans la Arctic Wolf? ºÚÁÏÉç, qui a imm¨¦diatement ¨¦t¨¦ signal¨¦e au client. Il a ¨¦t¨¦ d¨¦cid¨¦ qu’aucune action imm¨¦diate n’¨¦tait n¨¦cessaire ¨¤ ce moment, car ces alertes peuvent ¨¦galement ¨ºtre g¨¦n¨¦r¨¦es par un employ¨¦ en d¨¦placement ou le VPN.
Mais Arctic Wolf surveillait d¨¦sormais de pr¨¨s la situation. C’est alors que le second indicateur de compromission est arriv¨¦?: la nouvelle r¨¨gle de messagerie.
Cette combinaison (connexion suspecte, suivie d’une nouvelle r¨¨gle de messagerie) indiquait fortement qu’une attaque ¨¦tait en cours. L’¨¦quipe d’Arctic Wolf est entr¨¦e en action pour l’arr¨ºter.
L’¨¦quipe des op¨¦rations de s¨¦curit¨¦ d’Arctic Wolf a rapidement alert¨¦ le client et impliqu¨¦ le Concierge Security Engineer (CSE) du client. Le CSE d’Arctic Wolf est un expert en op¨¦rations de s¨¦curit¨¦ d¨¦di¨¦ qui travaille en permanence en ¨¦troite collaboration avec ce client de vente au d¨¦tail pour comprendre son environnement et ses besoins. Le CSE ¨¦tait alors en contact constant avec le client pour l’aider ¨¤ surveiller et g¨¦rer la r¨¦ponse durant l’attaque en cours.
Entre-temps, l’¨¦quipe d’Arctic Wolf s’est empress¨¦e de comprendre l’objectif de cette compromission de messagerie professionnelle. Ils ont examin¨¦ les journaux et identifi¨¦ la r¨¨gle de messagerie malveillante : elle pouvait cacher les r¨¦ponses de la comptabilit¨¦. Ainsi, cette attaque ciblait un virement.
Le CSE de ce client avait pr¨¨s d’une d¨¦cennie d’exp¨¦rience en tant que CSO dans une banque communautaire. Le CSE savait tr¨¨s bien ¨¤ quelle rapidit¨¦ des fonds pouvaient ¨ºtre vol¨¦s par virement et qu’il serait impossible de les r¨¦cup¨¦rer. Et la demande malveillante ¨¦tait d¨¦j¨¤ en cours de traitement.
En travaillant avec l’¨¦quipe de s¨¦curit¨¦ informatique du client, le CSE d’Arctic Wolf a pris contact avec la comptabilit¨¦, qui a pu bloquer en urgence le virement. The $700,000 was safe.
L’¨¦quipe informatique a ensuite verrouill¨¦ le compte compromis et r¨¦initialis¨¦ ses identifiants, chassant les pirates informatiques pour de bon.?
Am¨¦lioration de la protection
L’implication d’Arctic Wolf ne s’est pas arr¨ºt¨¦e une fois que les pirates ont ¨¦t¨¦ supprim¨¦s d’Outlook.
Le CSE a fourni au client des conseils suppl¨¦mentaires tr¨¨s d¨¦taill¨¦s. Ces conseils ont aid¨¦ le client ¨¤ revoir ses strat¨¦gies de virement pour am¨¦liorer la s¨¦curit¨¦, ainsi que la formation et les conseils de s¨¦curit¨¦ pour les employ¨¦s susceptibles d’¨ºtre les cibles d’une compromission de messagerie professionnelle (BEC). Le client a tenu compte de ces suggestions, et il est d¨¦sormais davantage prot¨¦g¨¦ contre toute tentative ult¨¦rieure d’attaque smash-and-grab par virement BEC.
Pour en savoir plus sur la mani¨¨re dont Arctic Wolf aide d’autres clients ¨¤ g¨¦rer leur s¨¦curit¨¦, consultez les autres articles de cette s¨¦rie, ou consultez certaines de nos ¨¦tudes de cas. Et pour en savoir plus sur la mani¨¨re dont nous prot¨¦geons les environnements Cloud des clients, notamment les outils SaaS tels qu’Office?365 et les plate-formes IaaS, d¨¦couvrez notre solution Managed Cloud Monitoring.
