Cet article examine les 10 cyberpirates les plus désastreux effectués sur les organisations dans les années 2020, jusqu’à présent
Qu’elles soient financières ou de réputation, les cyberattaques sont capables d’arrêter les opérations des organisations les plus grandes et les plus sécurisées. Les acteurs de la menace font constamment évoluer leurs techniques pour contourner les mesures de sécurité, au point où la cybercriminalité – qui devrait coûter aux entreprises 10,5 milliards de dollars par an d’ici 2025 – est devenue sa propre industrie.
Vous trouverez ci-dessous une liste de 10 des cyberpirates les plus désastreux des années 2020 à ce jour.
>À lire aussi : Le Dark Web : un bazar de la cybercriminalité où les données sont une denrée rare
Marriott International (2020)
Début 2020, le réseau de Marriott International a été infiltré par des attaquants qui ont obtenu les identifiants de connexion de deux membres du personnel. Identifié en février 2020 et déterminé à remonter à janvier de cette année-là, cela a entraîné la violation des données de 339 millions de clients Marriott signalés. Les détails concernés comprenaient les coordonnées, les informations sur le programme de fidélité Marriott Bonvoy et les préférences de séjour.
Suite à la violation, l’hôtel a contacté les clients avec des services de surveillance des informations personnelles et a réinitialisé le mot de passe de son compte Bonvoy, tout en avertissant les clients concernés d’éventuelles attaques de phishing à la suite de la violation de détails. L’ICO a infligé une amende de 18,4 millions de livres sterling à Marriott en octobre 2020.
La chaîne hôtelière a signalé trois violations en quatre ans (une précédente attaque avait été menée en 2018), la plus récente en juillet 2022, cette fois par un acteur menaçant ayant obtenu l’accès d’un employé via l’ingénierie sociale.
Vents solaires (2020)
En décembre 2020, les experts en cybersécurité FireEye (maintenant Trellix) ont découvert que des acteurs de la menace persistante avancée (APT) avaient violé la chaîne d’approvisionnement de SolarWinds, mettant en œuvre des chevaux de Troie se faisant passer pour son application commerciale SolarWinds Orion.
Les organisations qui ont téléchargé l’application malveillante comprenaient le département américain de la Défense, du Trésor et du Commerce et d’autres ministères, ainsi que 425 des États-Unis Fortune 500. Le réseau de FireEye a également été consulté à la suite de l’attaque de la chaîne d’approvisionnement. Cependant, conformément aux estimations de la Maison Blanche, SolarWinds a annoncé que le nombre réel de clients piratés par l’attaque était inférieur à 100.
On pense que le groupe russe de cybercriminalité Cozy Bear était à l’origine de l’attaque et qu’il a profité d’une vulnérabilité de l’application Orion qui permettait le contournement de l’authentification. On pense que les mesures prises par le groupe remontent à mars 2020.
>À lire aussi : La prochaine crise de SolarWinds est plus proche que vous ne le pensez
Pipeline colonial (2021)
L’un des plus grands pipelines nationaux des États-Unis, Colonial Pipeline, a été mis hors ligne en mai 2021 après la prise en otage de 100 Go de données de son réseau. Les coupables de l’attaque par rançongiciel seraient le groupe de cybercriminalité DarkSide.
Le fournisseur de carburant a payé la rançon de 75 Bitcoins – soit 4,4 millions de dollars – avant qu’un outil ne lui soit accordé pour remettre son système en ligne, ce qui a pris plusieurs jours. En juin 2021, le ministère de la Justice a annoncé la récupération de 63,7 Bitcoins (environ 2,3 millions de dollars) de la rançon initiale prise par DarkSide.
Avec les pénuries de carburant résultant de l’attaque, les compagnies aériennes américaines ont dû reprogrammer leurs vols et les prix du carburant ont atteint leur plus haut niveau depuis 2014.
> À lire aussi : La cyberattaque du Colonial Pipeline « une catastrophe du monde réel »
Microsoft Exchange (2021)
Les données hébergées par Microsoft Exchange ont été infiltrées entre janvier et mars 2021, à commencer par la découverte de quatre exploits zero-day. À la suite des attaques – qui auraient été menées par le réseau de pirates informatiques Hafnium parrainé par l’État chinois – plus de 250 000 serveurs d’entreprise dans le monde ont été touchés. Ceux-ci appartenaient à des organisations comprenant des agences gouvernementales américaines, des institutions universitaires et des cabinets d’avocats.
Alors que Microsoft a déclaré que les produits Exchange Online et Microsoft 365 basés sur le cloud n’étaient pas affectés, les entreprises ont été laissées ouvertes aux tentatives de violation ciblant les e-mails. Les attaquants sont connus pour avoir pris des informations de contact et des carnets d’adresses entiers, ainsi que pour avoir implémenté des logiciels malveillants pour faciliter un accès à plus long terme.
Suite aux attaques, Microsoft a publié des correctifs de sécurité d’urgence et a publié un outil permettant aux clients de détecter les activités malveillantes sur leurs réseaux.
>Voir aussi : Les attaques de Microsoft Exchange mettent en évidence un problème plus large : les e-mails sont obsolètes
Ordinateur Quanta (2021)
Le fabricant d’appareils Apple Quanta Computer s’est fait voler une gamme de plans de produits en avril 2021, Apple devenant victime d’une attaque de ransomware de 50 millions de dollars en échange d’un retour en toute sécurité des schémas. Il a été découvert que la cyberattaque avait été menée par REvil et s’est produite quelques heures seulement avant le sommet Spring Loaded d’Apple.
Selon un message publié sur le Dark Web par le groupe de cybercriminalité, Quanta n’avait pas payé la rançon demandée, ce qui a conduit le groupe à changer de tact pour cibler Apple. Les messages ont ensuite menacé de publier de nouvelles données à partir des schémas du Macbook obtenus chaque jour jusqu’à ce qu’ils reçoivent le paiement.
Cependant, à la suite des ordres de rançon, REvil a retiré toutes les références des attaques de son site Web, qui hébergeait auparavant des captures d’écran des plans Macbook volés.
Kaseya (2021)
Une attaque de ransomware a été menée contre le fournisseur de gestion informatique Kaseya et ses clients, par le groupe de cybercriminalité russe REvil, en juillet 2021. Les premières vulnérabilités apparues dans le logiciel de Kaseya remontaient à avril de cette année-là, et malgré quatre des sept vulnérabilités principales étant corrigées, une faille de contournement d’authentification au sein de son administrateur système virtuel (VSA) a été exploitée. En réponse, la société a fermé ses serveurs cloud VSA et SaaS.
Entre 800 et 1 500 organisations en aval ont été touchées par l’attaque. Ceux-ci comprenaient 50 fournisseurs de services gérés (MSP) et des entreprises de cybersécurité telles que Huntress. En plus du cryptage des données, les rançons demandées par REvil allaient de quelques milliers de dollars à plus de 5 millions de dollars.
REvil, le groupe qui était également à l’origine de l’attaque du rançongiciel Quanta Computer, a été mis hors ligne en octobre 2021.
>Lire aussi : Kaseya : le tournant des attaques sur la supply chain ?
News Corp (2022)
L’infrastructure de messagerie de la société d’édition News Corp a été piratée en janvier 2022 par des acteurs de la menace soupçonnés d’être liés au gouvernement chinois. L’intrusion de son système remontait à février 2020 au plus tôt, selon une enquête menée par les forces de l’ordre américaines et Mandiant.
Les comptes de messagerie et les documents hébergés par News Corp HQ, News Technology Services, Dow Jones, News UK et The New York Post ont été touchés. Le nombre de journalistes touchés par l’attaque n’a pas été précisé.
Crypto.com (2022)
En janvier 2022, l’échange de crypto-monnaie Crypto.com s’est fait voler environ 33,7 millions de dollars en jetons Bitcoin et Ether. La société a constaté que les comptes d’utilisateurs étaient sujets à des activités non autorisées, les transactions ayant lieu sans la soumission standard de codes d’authentification à deux facteurs (2FA). Les jetons obtenus ont été envoyés à Tornado Cash, ce qui les rend impossibles à surveiller davantage.
Suite à l’attaque, Crypto.com a suspendu les retraits de tous les comptes pendant 14 heures pendant qu’une enquête avait lieu. Les utilisateurs ont ensuite été invités à suivre un nouveau processus 2FA. Selon l’entreprise, aucun client n’a subi de perte de fonds, les retraits étant bloqués ou les clients étant remboursés.
Marquard & Bahls (2022)
Oiltanking GmbH Group et Mabanaft Group, filiales de la société allemande d’approvisionnement en pétrole Marquard & Bahls, ont fait l’objet d’une cyberattaque en février 2022. En conséquence, Oiltanking Terminals a vu sa capacité limitée. Cela a entraîné l’impact de 233 stations-service dans le nord de l’Allemagne, hébergées par Aral – le plus grand réseau de stations-service d’Allemagne – et Shell.
Suite à cette attaque, Shell a annoncé qu’elle avait réacheminé l’approvisionnement vers d’autres dépôts d’approvisionnement.
Comité international de la Croix-Rouge (2022)
Le réseau du Comité international de la Croix-Rouge à but non lucratif a été attaqué en janvier 2022, les serveurs hébergeant des données personnelles appartenant à plus de 515 000 personnes dans le monde ayant été piratés. Une vulnérabilité d’authentification critique non corrigée a été exploitée par des pirates, ce qui a compromis les informations d’identification de l’administrateur et les fichiers Active Directory. Les pirates se sont ensuite fait passer pour des utilisateurs légitimes en utilisant des outils de sécurité contradictoires.
Les victimes individuelles faisant appel aux services de la Croix-Rouge comprenaient des réfugiés du conflit et des personnes portées disparues. Les données piratées provenaient d’au moins 60 sociétés de la Croix-Rouge et du Croissant-Rouge à travers le monde.
Le CICR a été contraint de fermer ses systèmes et a conseillé aux personnes concernées de contacter leur bureau local de la Croix-Rouge, du Croissant-Rouge ou du CICR. Les services de l’organisation sont ensuite revenus en ligne avec des processus 2FA améliorés.
Lié:
Comment assurer la sécurité du réseau sans fil 5G – La 5G crée des opportunités pour les utilisateurs mais aussi pour les cybercriminels, alors comment les organisations peuvent-elles garantir la sécurité des réseaux sans fil 5G ?
Lutte contre les menaces courantes à la sécurité de l’information — Quelles sont les menaces de sécurité auxquelles les entreprises sont le plus souvent confrontées aujourd’hui et comment peuvent-elles être surmontées ?
Établir une politique de sécurité de l’information solide — Il y a plusieurs considérations pour les entreprises qui créent une politique de sécurité de l’information. Alors, comment les organisations peuvent-elles s’assurer qu’elles ont mis en place une politique solide qui reflète les besoins de l’entreprise ?
Atténuation des problèmes de sécurité courants liés à la gestion du réseau — Bien que la technologie soit essentielle à la sécurisation des réseaux, il est essentiel que les entreprises aient mis en place les bonnes politiques et procédures de gestion du réseau pour éviter d’être victimes de cyberattaques.