Qu’est-ce que Cryptolocker, Dridex et Locky ont en commun? En plus d’être des logiciels malveillants, ils ont tous commencé avec des pièces jointes malveillantes. Un PDF, un ZIP ou autre d’apparence innocente, et avant que vous ne vous en rendiez compte, vous envoyez de l’argent à un cybercriminel ou à un spécialiste de la récupération de rançongiciels. Lorsqu’il s’agit de pièces jointes malveillantes, les vecteurs d’attaque peuvent être multiples. La pièce jointe peut être une .zip contenant une application malveillante, un document Office avec un lien malveillant qui installe un enregistreur de frappe ou un cheval de Troie bancaire ou même une fausse facture non malveillante comme celle utilisée dans Business Email Compromise.
La nécessité d’une défense contre l’attachement.
Il y a eu une forte augmentation de l’utilisation des pièces jointes aux courriels comme moyen de lancer des attaques. La première raison étant le faible coût de lancement d’une pièce jointe contenant un virus ou un code malveillant. Les criminels se soucient du retour sur investissement. Une étude de Proofpoint montre que les campagnes basées sur des pièces jointes coûtent 50% moins cher que les attaques basées sur des URL, qui nécessitent souvent des sites Web d’hameçonnage pour obtenir les données. Un cybercriminel peut lancer une attaque d’hameçonnage à grande échelle contenant un code postal ou un PDF malveillant et s’assurer d’attraper quelques victimes.
Selon un rapport de Verizon Enterprise, 66% de tous les logiciels malveillants ont été installés via des pièces jointes malveillantes! Ces attaques incluent Zeus, Cryptolocker et Dunihi, entre autres.
Vecteurs d’attaque par attachement
La fin variée de The Criminal est une autre raison pour laquelle les attaques de pièces jointes à des courriels ont proliféré. Ils utilisent généralement des pièces jointes malveillantes pour ce qui suit :
Attaques d’hameçonnage – Cela peut se faire en envoyant un courriel malveillant à une victime bien documentée – et se traduit souvent par un rançongiciel (ou un chantage).
Rançongiciel – Fichier caché dans une .zip, une .exe, une .pdf ou une macro dans un .doc et pouf (ou quelque chose du genre) votre ordinateur est verrouillé.
Exploits – Également caché dans une variété de fichiers joints, seulement dans ce cas, l’exploit peut se cacher tant que le criminel a utilisé votre réseau (ou est découvert).
Livrer des chevaux de Troie bancaires – Un exploit de porte dérobée, généralement associé à l’accès à des renseignements bancaires confidentiels.
Enregistreurs de frappe – Des centaines de violations l’année dernière impliquaient des pièces jointes à des courriels, l’installation de tojans bancaires, puis l’utilisation d’enregistreurs de frappe (ou saisies de formulaires) pour suivre vos mots de passe.
Usurpation d’identité – Souvent, l’attachement semble provenir d’une partie prenante, interne ou externe, qui est difficile à différencier à l’œil nu. Le fait qu’il semble provenir d’une source légitime rend la victime plus vulnérable.
Pourquoi la PME est vulnérable aux attaques basées sur l’attachement
Les petites et moyennes entreprises font face à des défis de cybersécurité avec des besoins différents de ceux des grandes organisations. Il y a des équipes informatiques plus petites, s’il y en a un. Si c’est le cas, l « équipe n’est peut-être qu » à temps partiel sur la sécurité, la majorité de son temps passé au téléphone à déterminer pourquoi le wifi ne fonctionne pas ou pourquoi Janice de la comptabilité ne peut pas se connecter. Il n’est peut-être pas réaliste de consacrer régulièrement du temps à suivre les tendances en matière de cybersécurité.
Il y a moins de budget (en termes absolus) que par rapport aux grandes entreprises, ce qui signifie souvent lésiner sur tout sauf la sécurité la plus élémentaire et mettre en œuvre des systèmes de sécurité moins sophistiqués. C’est-à-dire s’il y a un investissement.
Il y a aussi un environnement avec moins de sensibilisation et de formation, ce qui rend l’erreur humaine plus possible (bien qu’il y ait moins de personnes qui pourraient être « le bon »).
Comment fonctionne la défense de l’attachement
La défense des pièces jointes est conçue pour s’assurer que les pièces jointes malveillantes n’atteignent pas le point de terminaison et est basée sur une approche à plusieurs niveaux. Fondamentalement, la « défense contre l’attachement » est un composant et une caractéristique de toutes ces solutions qui s’occupe de tout ce qui concerne les attachements. Le choix de filtrer ou non les pièces jointes est fait en fonction des menaces connues découvertes par des milliards de courriels filtrés et de plusieurs milliers d’échantillons évalués dans un bac à sable, ainsi que des inférences sur les endroits où les menaces inconnues peuvent émerger en fonction de la masse de connaissances sur les menaces que la défense des pièces jointes accumule au fil du temps. Afin de faciliter la compréhension, tenez compte de certains des éléments décrits ci-dessous :
Filtrage des pourriels
Comme la plupart des courriels contenant des pièces jointes malveillantes ne seront pas sollicités, le filtrage des pourriels est la première ligne de défense.
Protection avancée contre les menaces
En plus du filtrage des pourriels, la protection contre les attaques ciblées constitue la prochaine ligne de défense. Le volume est essentiel ici (dans notre cas, des milliards de messages) et combiné à l’apprentissage automatique, pour analyser et identifier les courriels malveillants et suspects, assurera un taux de réussite beaucoup plus élevé.
Numérisation avant la livraison
Une fois que la pièce jointe malveillante se retrouve dans votre réseau, la probabilité qu’elle cause des dommages augmente. Il est essentiel que les pièces jointes soient analysées avant d’être livrées à vos serveurs de messagerie.
EXE et autres mesures spécifiques au fichier
Il est recommandé de bloquer tous les fichiers .exe des courriels livrables. Sinon, des fichiers comme .rar ou .zip présentent un défi unique, car ils peuvent souvent contenir du contenu malveillant caché. Votre protection de numérisation des pièces jointes devrait être en mesure d’analyser ces fichiers avant la livraison.
Et surtout…
… Éduquez vos utilisateurs. Il y a tellement d’informations là-bas. Organisez régulièrement un dîner de sensibilisation et de formation. Combien de vos collègues savent que le téléchargement d’une pièce jointe peut entraîner de graves conséquences? Connaissent-ils les macros malveillantes?
Protéger vos appareils avec des scanners antivirus est une (dernière) ligne de défense essentielle. La raison pour laquelle on ne peut pas s’y fier comme « première ligne » (en plus du fait que le courriel est le point d’entrée de la plupart des attaques), c’est parce qu’il y a un décalage entre la détection de la menace par votre antivirus et la livraison. Proofpoint a constaté que seulement 10% des moteurs antivirus reconnaîtraient une menace… 24 heures après l’accouchement.
Pour ceux-ci et dans le cadre d’un plan complet de cybersécurité et de courriel, la défense des pièces jointes est indispensable. Compte tenu de la prévalence de cette forme de propagation de logiciels malveillants et d’autres attaques, il est difficile de considérer votre protection comme complète si vous n’avez pas envisagé la défense contre les pièces jointes malveillantes.
