Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Skyhigh Networks a récemment détecté un nouveau botnet « KnockKnock »

octobre 2017 par Skyhigh Networks

Skyhigh Networks a récemment détecté un nouveau botnet « KnockKnock », source d’une cyberattaque sophistiquée sur les comptes de messagerie Office 365 Exchange
Online et provenant de 16 pays à travers le monde. Celle-ci cible plus de la
moitié des grandes entreprises utilisant O365. En outre, les attaquants derrière
KnockKnock ont ciblé des comptes de courrier électronique automatisés non liés
à une identité humaine, ceux-ci manquant souvent de politiques de sécurité
avancées.

Parmi les statistiques de cette attaque :

• Les pirates ont utilisés 63 réseaux et 83 adresses IP pour mener leurs attaques.
• Environ 90% des tentatives de connexion provenaient de Chine. Des tentatives
supplémentaires provenaient de la Russie, du Brésil, des États-Unis, de
l’Argentine et de 11 autres pays.
• Les cibles étaient principalement des fournisseurs liés à l’internet des
objets (IOT) et des fournisseurs d’infrastructures, ainsi que les départements en
charge de superviser l’infrastructure et l’IOT au sein de grandes entreprises de
diverses industries telles que la fabrication, les services financiers, les services
de santé, les produits de consommation et le secteur public.
• La quasi-totalité des comptes ont été confirmés comme étant des comptes
système « non humains » (adresse de messagerie automatisée à destination du
marketing, des ventes ou de l’administratif). Étant donné que ces comptes ne
sont pas liés à une identité humaine et s’appuient sur une utilisation
automatisée, ils sont moins susceptibles d’être protégés contre les politiques
de sécurité telles que l’authentification multi-facteurs (MFA) et la
réinitialisation récurrente du mot de passe.

Lors de l’accès à un compte O365 d’entreprise, KnockKnock crée une nouvelle
règle de boîte de réception, exfiltre toutes les données de la boîte de
réception, déclenche une attaque de phishing et tente de propager l’infection
dans l’entreprise à l’aide de cette boîte de réception contrôlée.

La campagne KnockKnock a démarré au cours du mois de mai et se poursuit toujours,
le pic d’activité ayant eu lieu entre juin et août. Elle a mis l’accent sur
des objectifs précis plutôt que sur un volume élevé de cibles et a touché en
moyenne 5 adresses de messagerie par organisation.

L’attaque a été détectée grâce aux modèles d’analyse des comportements de
la solution de protection de Skyhigh Networks, s’appuyant sur des algorithmes
exploitant le machine learning.


Voir les articles précédents

    

Voir les articles suivants