Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Skyhigh Networks a récemment détecté un nouveau botnet « KnockKnock »

octobre 2017 par Skyhigh Networks

Skyhigh Networks a récemment détecté un nouveau botnet « KnockKnock », source d’une cyberattaque sophistiquée sur les comptes de messagerie Office 365 Exchange Online et provenant de 16 pays à travers le monde. Celle-ci cible plus de la moitié des grandes entreprises utilisant O365. En outre, les attaquants derrière KnockKnock ont ciblé des comptes de courrier électronique automatisés non liés à une identité humaine, ceux-ci manquant souvent de politiques de sécurité avancées.

Parmi les statistiques de cette attaque :

• Les pirates ont utilisés 63 réseaux et 83 adresses IP pour mener leurs attaques.
• Environ 90% des tentatives de connexion provenaient de Chine. Des tentatives supplémentaires provenaient de la Russie, du Brésil, des États-Unis, de l’Argentine et de 11 autres pays.
• Les cibles étaient principalement des fournisseurs liés à l’internet des objets (IOT) et des fournisseurs d’infrastructures, ainsi que les départements en charge de superviser l’infrastructure et l’IOT au sein de grandes entreprises de diverses industries telles que la fabrication, les services financiers, les services de santé, les produits de consommation et le secteur public.
• La quasi-totalité des comptes ont été confirmés comme étant des comptes système « non humains » (adresse de messagerie automatisée à destination du marketing, des ventes ou de l’administratif). Étant donné que ces comptes ne sont pas liés à une identité humaine et s’appuient sur une utilisation automatisée, ils sont moins susceptibles d’être protégés contre les politiques de sécurité telles que l’authentification multi-facteurs (MFA) et la réinitialisation récurrente du mot de passe.

Lors de l’accès à un compte O365 d’entreprise, KnockKnock crée une nouvelle règle de boîte de réception, exfiltre toutes les données de la boîte de réception, déclenche une attaque de phishing et tente de propager l’infection dans l’entreprise à l’aide de cette boîte de réception contrôlée.

La campagne KnockKnock a démarré au cours du mois de mai et se poursuit toujours, le pic d’activité ayant eu lieu entre juin et août. Elle a mis l’accent sur des objectifs précis plutôt que sur un volume élevé de cibles et a touché en moyenne 5 adresses de messagerie par organisation.

L’attaque a été détectée grâce aux modèles d’analyse des comportements de la solution de protection de Skyhigh Networks, s’appuyant sur des algorithmes exploitant le machine learning.




Voir les articles précédents

    

Voir les articles suivants