La coopération de concert avec l’équipe de sécurité du client bloque le vol de 700 000 dollars à quelques minutes près
Même les entreprises sensibilisées à la sécurité avec des stratégies et une posture de sécurité fortes sont potentiellement vulnérables à la compromission des e-mails professionnels provenant de pirates informatiques ciblés, comme un client du secteur de la vente au détail d’Arctic Wolf® l’a récemment appris.
Dans ce cas, cependant, une collaboration étroite avec l’Arctic Wolf Concierge Security® Team a stoppé net une attaque smash-and-grab par virement bancaire.
La cible
L’entreprise de vente au détail ciblée dans cette attaque utilise Office 365 comme logiciel de bureau interne, y compris l’application Cloud Outook. Cette entreprise étant sensibilisée à la sécurité, son équipe informatique avait activé et demandé une authentification multifacteur (MFA) au sein des services cloud, y compris O365. Elle a également établi un partenariat avec nous, en faisant appel aux solutions d’opérations de sécurité ® Managed Detection and Response (MDR) et Managed Cloud Monitoring d’Arctic Wolf pour défendre en profondeur ses systèmes Cloud et sur site.
Un fait supplémentaire important : L’entreprise recourt régulièrement à des virements bancaires de grande valeur pour payer des fournisseurs, commerçants et partenaires commerciaux.
La cyberattaque
La plupart des cybercriminels motivés par l’appât du gain se concentrent sur les attaques par violation de données, qui leur permettent de voler des informations sensibles pour la revente sur l’internet clandestin. Ces pirates informatiques, cependant, ont fait en sorte de supprimer les intermédiaires. Ils ont planifié une attaque par compromission de la messagerie professionnelle, qui aurait eu pour conséquence le vol direct de 0,75 million de dollars en un seul après-midi.
La première étape a consisté à sélectionner la bonne cible. Les criminels utilisent fréquemment des renseignements de source ouverte pour identifier leurs cibles, fouillant les sites commerciaux, les réseaux sociaux professionnels et d’autres sources publiques pour se concentrer sur les comptes utiles. Dans ce cas, les pirates informatiques ont finalement ciblé un employé haut placé de la société de vente au détail, un cadre dont le travail incluait la demande et l’autorisation de virements bancaires importants.
Les pirates informatiques ont probablement utilisé une attaque par dictionnaire lente et basse pour compromettre le compte de cette personne. Comme les pirates informatiques ciblaient lentement un seul compte de messagerie, leurs échecs de connexion (peut-être un ou deux par jour), n’ont pas déclenché d’alarme. Finalement, ils sont parvenus à identifier la bonne combinaison nom d’utilisateur-mot de passe.
C’est alors que les pirates se sont attaqués à la ligne de défense suivante : l’authentification multifacteur. Les pirates connaissaient désormais le nom d’utilisateur et le mot de passe pour accéder au compte, mais ils devaient accéder au téléphone du cadre. Cela signifiait qu’ils ne pouvaient pas accéder directement au compte. Cependant, les pirates ne se sont pas découragés.
Ils ont envoyé à leur cible une demande de connexion. Et ils ont eu de la chance. Une demande d’authentification malveillante s’est affichée sur le téléphone de la cible pendant que le cadre utilisait un service Office 365, et ce dernier a cliqué sur “OK.”
Les pirates étaient entrés.
Ce qu’il s’est ensuite passé
Cet incident était désormais une compromission de messagerie professionnelle officielle. Et c’est à ce moment que la solution Arctic Wolf Managed Cloud Monitoring a généré sa première alerte.
De leur côté, les pirates ont réagi rapidement. Ils ont immédiatement lancé la reconnaissance du compte d’utilisateur compromis, cherchant à identifier des informations ou un accès à exploiter. Dans ce cas, ils ont découvert que le cadre ciblé faisait régulièrement des demandes de virements bancaires.
Les pirates ont fouillé la messagerie et identifié précisément comment ces demandes étaient effectuées : à qui le cadre envoyait des e-mails, le format des demandes et les montants d’argent transférés. Maintenant qu’ils avaient collecté ces informations, les pirates étaient prêts à frapper.
Mais avant de le faire, ils ont éliminé leurs traces. Pour empêcher la cible de remarquer la demande de virement bancaire malveillante et toute réponse, ils ont créé une règle de messagerie qui cacherait le courrier entrant en provenance du service de comptabilité dans un dossier isolé.
Le décor était posé et les pirates étaient prêts à poursuivre. Ils ont ensuite demandé un virement de 700 000 $ vers un compte en leur possession.
La réponse d’Arctic Wolf
Entre-temps, heureusement, l’attaque n’était pas passée inaperçue. Le premier signe de problème a été la connexion initiale : les pirates se sont connectés au compte du cadre à partir d’un pays suspect. Cela a déclenché une alerte de haute priorité dans la Arctic Wolf® Platform, qui a immédiatement été signalée au client. Il a été décidé qu’aucune action immédiate n’était nécessaire à ce moment, car ces alertes peuvent également être générées par un employé en déplacement ou le VPN.
Mais Arctic Wolf surveillait désormais de près la situation. C’est alors que le second indicateur de compromission est arrivé : la nouvelle règle de messagerie.
Cette combinaison (connexion suspecte, suivie d’une nouvelle règle de messagerie) indiquait fortement qu’une attaque était en cours. L’équipe d’Arctic Wolf est entrée en action pour l’arrêter.
L’équipe des opérations de sécurité d’Arctic Wolf a rapidement alerté le client et impliqué le Concierge Security Engineer (CSE) du client. Le CSE d’Arctic Wolf est un expert en opérations de sécurité dédié qui travaille en permanence en étroite collaboration avec ce client de vente au détail pour comprendre son environnement et ses besoins. Le CSE était alors en contact constant avec le client pour l’aider à surveiller et gérer la réponse durant l’attaque en cours.
Entre-temps, l’équipe d’Arctic Wolf s’est empressée de comprendre l’objectif de cette compromission de messagerie professionnelle. Ils ont examiné les journaux et identifié la règle de messagerie malveillante : elle pouvait cacher les réponses de la comptabilité. Ainsi, cette attaque ciblait un virement.
Le CSE de ce client avait près d’une décennie d’expérience en tant que CSO dans une banque communautaire. Le CSE savait très bien à quelle rapidité des fonds pouvaient être volés par virement et qu’il serait impossible de les récupérer. Et la demande malveillante était déjà en cours de traitement.
En travaillant avec l’équipe de sécurité informatique du client, le CSE d’Arctic Wolf a pris contact avec la comptabilité, qui a pu bloquer en urgence le virement. The $700,000 was safe.
L’équipe informatique a ensuite verrouillé le compte compromis et réinitialisé ses identifiants, chassant les pirates informatiques pour de bon.
Amélioration de la protection
L’implication d’Arctic Wolf ne s’est pas arrêtée une fois que les pirates ont été supprimés d’Outlook.
Le CSE a fourni au client des conseils supplémentaires très détaillés. Ces conseils ont aidé le client à revoir ses stratégies de virement pour améliorer la sécurité, ainsi que la formation et les conseils de sécurité pour les employés susceptibles d’être les cibles d’une compromission de messagerie professionnelle (BEC). Le client a tenu compte de ces suggestions, et il est désormais davantage protégé contre toute tentative ultérieure d’attaque smash-and-grab par virement BEC.
Pour en savoir plus sur la manière dont Arctic Wolf aide d’autres clients à gérer leur sécurité, consultez les autres articles de cette série, ou consultez certaines de nos études de cas. Et pour en savoir plus sur la manière dont nous protégeons les environnements Cloud des clients, notamment les outils SaaS tels qu’Office 365 et les plate-formes IaaS, découvrez notre solution Managed Cloud Monitoring.
