Les responsables américains de la cybersécurité avertissent les défenseurs de réseaux d’une campagne cybernétique qui utilise des logiciels légitimes de surveillance et de gestion à distance (RMM) pour exécuter une escroquerie par hameçonnage.

Selon l’Agence de cybersécurité et de sécurité des infrastructures (CISA) du Département de la Sécurité intérieure, la « vaste campagne cybernétique » a touché au moins deux organismes fédéraux. CISA a mis en garde les défenseurs de réseaux contre l’utilisation malveillante de logiciels RMM dans un avis conjoint avec la National Security Agency et le Multi-State Information Sharing and Analysis Center (MS-ISAC).

Dans l’avis, les organisations responsables expliquent que les cybercriminels ont envoyé des courriels d’hameçonnage qui menaient à un téléchargement de logiciel RMM légitime. Les acteurs ont ensuite utilisé une escroquerie de remboursement pour voler de l’argent sur les comptes bancaires des victimes.

Dans l’avis, les organisations responsables expliquent que les cybercriminels ont envoyé des courriels d’hameçonnage qui menaient à un téléchargement de logiciel RMM légitime. Les acteurs ont ensuite utilisé une escroquerie de remboursement pour voler de l’argent sur les comptes bancaires des victimes.

« L’utilisation d’exécutables portatifs de logiciels RMM permet aux acteurs de s’octroyer un accès en tant qu’utilisateur local sans nécessiter de privilèges administratifs ni d’installation complète du logiciel—ce qui contourne efficacement les contrôles logiciels courants et les hypothèses de gestion des risques », indique l’avis.

CISA avait découvert l’activité cybernétique en octobre 2022, mais à ce moment-là, les pirates informatiques envoyaient déjà des courriels d’hameçonnage aux comptes personnels et professionnels des employés fédéraux depuis juin. L’analyse médico-légale de la campagne cybernétique a révélé une activité connexe sur de nombreux autres réseaux fédéraux en plus des deux premiers organismes victimes.

Protéger votre réseau

Les organisations responsables de l’avis sur la cybersécurité ont recommandé aux défenseurs de réseaux d’examiner les indicateurs de compromission (IOC) et les sections des mesures d’atténuation dans l’avis et d’appliquer ces recommandations pour se protéger contre l’utilisation malveillante de logiciels RMM.

Parmi ces recommandations, il faut notamment : mettre en œuvre des pratiques exemplaires pour bloquer les courriels d’hameçonnage, vérifier les outils d’accès à distance sur votre réseau pour repérer l’utilisation actuelle et/ou autorisée de logiciels RMM, et utiliser des logiciels de sécurité pour détecter les instances où le logiciel RMM n’est chargé qu’en mémoire.

« À mesure que les vecteurs de cyberattaque évoluent, les consommateurs et les entreprises doivent tous deux s’ajuster pour demeurer en avance », a déclaré Amit Jain, vice-président principal chez HCLTech.

L’adoption de cadres de cybersécurité adaptatifs et résilients peut aider les entreprises à s’adapter à un paysage cybernétique en mutation. Le modèle de cybersécurité dynamique d’HCLTech est un cadre de gouvernance et d’évaluation continue permettant une posture adaptative et évolutive tout en tirant parti des meilleures technologies. Le modèle aide les entreprises à contrer efficacement les risques cybernétiques et à inciter les organisations à repenser, réimaginer et réinventer la sécurité d’entreprise pour un environnement d’affaires dynamique.