Technologie
Produits
Secteurs
Actualités
Ressources
Entreprise
Français
Technologie
Produits
Secteurs
Actualités
Blog
Ressources
Entreprise

Comment un incident non détecté par Mimecast a conduit à une attaque par e-mail à grande échelle

Dan Fein, Director of Email Security Products

Ces dernières années, les attaques par e-mail ont rapidement gagné en volume et en complexité. On observe aujourd’hui des attaques par usurpation d’identité bien documentées et convaincantes qui augmentent le risque de prise de contrôle de compte. Cette sophistication s’est particulièrement accélérée en 2020, dans un contexte plus pertinent dans lequel les entreprises adoptent en masse le télétravail, pratique particulièrement propice aux attaques par e-mail.

Dans ce panorama des menaces, les outils traditionnels de protection de la messagerie – qui créent des règles pour définir à quoi ressemblent les e-mails indésirables en s’appuyant sur les campagnes antérieures – ne parviennent pas à intercepter ces e-mails frauduleux, nouveaux et sophistiqués.

Cet article s’intéresse à une entreprise logistique australienne, qui utilisait la solution Mimecast dans son environnement Microsoft 365, mais a adopté une approche autonome de la sécurité des e-mails le jour où un e-mail malveillant (que les autres outils avaient jugé bénin) a été détecté par l’IA de Darktrace.

L’entreprise faisait alors un essai d’Antigena Email, qui était installé en mode passif (le produit n’était pas configuré pour intervenir activement). Cependant, le tableau de bord de la messagerie nous permet de voir les actions que la technologie aurait mises en œuvre. On comprend qu’il est insuffisant de s’appuyer uniquement sur des passerelles pour neutraliser les menaces avancées.

En l’absence d’intervention de l’IA, il a suffi au cybercriminel de compromettre le compte d’un seul employé pour progresser librement dans toute l’entreprise. Le pirate a accédé à plusieurs fichiers sensibles, a collecté des informations sur les employés et les transactions par carte de crédit, puis il a commencé à communiquer avec d’autres personnes de l’organisation. Il a envoyé plus de deux cents e-mails supplémentaires pour tenter de prendre possession d’autres comptes. Cette activité a été détectée en temps réel par le module SaaS Microsoft 365 de Darktrace.

Détails de l’attaque

L’entreprise subissait de nombreuses attaques menées par un cybercriminel qui avait déjà réussi à prendre le contrôle de comptes utilisateurs chez plusieurs fournisseurs de confiance. Profitant de ces rapports de confiance, le pirate a envoyé à l’entreprise australienne plusieurs e-mails personnalisés provenant de ces partenaires. Tous ces messages utilisaient la même convention dans la ligne d’objet : DP à l’attention de [nom de l’entreprise compromise] – et cherchaient manifestement à récolter des identifiants.

Figure 1 : Exemple d’e-mail malveillant provenant des comptes piratés. L’icône rouge indique qu’Antigena Email aurait bloqué ces e-mails

Chacun de ces e-mails contenait une charge malveillante, prenant la forme d’un lien de stockage de fichier (SharePoint) dissimulé derrière le texte suivant. Le pirate a vraisemblablement utilisé cette technique pour échapper aux outils d’analyse de liens dans les e-mails. Mimecast a bien réécrit le lien pour l’analyser, mais ne l’a pas identifié comme étant malveillant.

Figure 2 : Darktrace met en évidence le texte derrière lequel le lien était dissimulé

Un clic sur ce lien ouvrait une fausse page de connexion Microsoft servant à collecter les identifiants des victimes. Cette réplique fidèle d’une page de connexion authentique envoyait les combinaisons e-mail/mot de passe directement au cybercriminel pour lui permettre d’accéder à d’autres comptes.

Figure 3 : La fausse page de connexion Microsoft

Plusieurs employés ont consulté le message, dont le PDG. Toutefois, seul le compte d’une personne (directeur général) a été piraté.

100%
Thu Aug 12 2020, 07:06:34
From:Andrew Jennings <[email protected]>
Recipient:Peter Saunderson <[email protected]>
RFP for Holdings Inc
Email Tags
Suspicious Link
New Contact
Actions on Email
Move to Junk
Hold Message
Double Lock Link

Figure 1 : Aperçu interactif de l’interface utilisateur d’Antigena Email

Environ trois heures après l’ouverture de l’e-mail malveillant, une connexion anormale à un SaaS a été détectée sur le compte compromis. Cette connexion était effectuée à partir d’une adresse IP qui n’avait jamais été vue dans toute l’entreprise.

L’analyse open source de l’adresse IP a montré qu’il s’agissait d’un FAI à fort risque de fraude, qui utilise des VPN et des serveurs d’anonymisation. C’est peut-être grâce à ces éléments que le pirate a réussi à contourner les règles de geofencing.

Peu de temps après, Darktrace a détecté la création d’un lien de partage de fichier anonyme pour un fichier de mots de passe.

Figure 5 : Le module SaaS de Darktrace révèle la création anormale d’un lien

Darktrace a révélé que ce fichier avait ensuite été ouvert par l’adresse IP anormale. Une analyse approfondie a montré que l’attaquant a répété cette méthodologie : rendre accessibles des ressources auparavant protégées, puis les ouvrir immédiatement via la même adresse IP. L’IA de Darktrace a observé que le pirate accédait à des informations potentiellement sensibles, dont un fichier qui contenait manifestement des informations sur des transactions par carte de crédit, ainsi qu’un document contenant des mots de passe.

Figure 6 : La console SaaS de Darktrace signale l’activité inhabituelle sur le compte compromis

Déroulement de l’attaque

Le lendemain, après que l’attaquant a épuisé toutes les informations sensibles auxquelles il pouvait accéder à partir du compte compromis, il a utilisé ce compte pour envoyer d’autres e-mails malveillants à des associés de confiance en suivant la même méthode qu’auparavant : l’envoi de fausses demandes de propositions dans le but de récupérer des identifiants. Le module SaaS de Darktrace a identifié ce comportement anormal et a montré sous forme graphique que le cybercriminel avait envoyé plus de 1 600 e-mails personnalisés en 25 minutes.

Figure 7 : Représentation graphique de la série d’e-mails envoyés sur une période de 25 minutes

Pourquoi l’IA est nécessaire pour lutter contre les menaces par e-mail modernes

Pour l’entreprise de logistique en question, l’incident a servi de coup de semonce. Le fournisseur de services de sécurité gérés (MSSP) responsable de la sécurité de leur cloud n’avait aucune connaissance de la prise de contrôle du compte, qui avait été détectée par le module SaaS de Darktrace. L’organisation s’est aperçue qu’une protection efficace des systèmes de messagerie devait aujourd’hui s’appuyer sur les meilleures technologies disponibles, capables non seulement d’empêcher les e-mails de phishing de parvenir jusqu’à la boîte de réception, mais aussi de détecter les prises de contrôle de compte et l’expédition d’e-mails malveillants à partir d’un compte compromis.

À cause de cet incident, l’organisation a déployé Antigena Email en mode actif afin de pouvoir neutraliser les menaces les plus subtiles et ciblées circulant par e-mail, grâce à sa compréhension fine et contextualisée du « modèle comportemental normal » de chaque utilisateur et de chaque machine.

En réalité, ces centaines d’e-mails de ce type parviennent à tromper non seulement des humains, mais aussi des outils de sécurité traditionnels chaque jour. Pour répondre aux nouveaux défis posés par la protection des systèmes de messagerie, il est clair que le statu quo ne suffit plus. Les équipes sont aujourd’hui extrêmement dispersées et agiles, et les entreprises ont besoin de protéger les utilisateurs distants sur toutes les plateformes de collaboration SaaS tout en neutralisant les attaques par e-mail avant qu’elles ne parviennent à la boîte de réception.

Nous remercions l’analyste Darktrace Liam Dermody pour les informations qu’il nous a fournies sur la menace ci-dessus.

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.