Les rançongiciels, les menaces de la chaîne d’approvisionnement et la façon dont les organisations et leur personnel sont leur pire ennemi en matière de sécurité figurent parmi les principaux enseignements du rapport annuel de Verizon sur les 12 derniers mois de cyberattaques.

Le Rapport d’enquête sur les violations de données (DBIR) 2022 révélé mardi offrait des informations importantes aux organisations visant à se protéger contre les menaces pouvant conduire à la compromission du système et au manque de connaissances, de sources, d’argent, de temps et/ou de tout ce qui précède.

Les chercheurs à l’origine du rapport – Gabriel Bassett, C. David Hylender, Philippe Langlois, Alex Pinto et Suzanne Widup – ont remarqué que les dernières années ont été “écrasantes” pour tout le monde, sans en citer les éléments apparents, à savoir la pandémie et le début du conflit au sein de l’Ukraine proprement dite sur ses talons.

Néanmoins, ce qui importe le plus aux dépositaires du rapport, ce sont les connaissances associées à la prévalence des incidents et des violations de la sécurité – le premier étant tout compromis d’un actif d’information, et le second la publicité d’informations à des événements non autorisés. Et en 2021, les chercheurs ont découvert que chacun avait connu une montée en flèche sans précédent de la prévalence.

Une découverte qui montre une menace qui a pris de l’importance au cours des dernières années, cependant, est que rançongiciel a poursuivi sa tendance à la hausse. L’un de ces cybercrimes – qui enferme les données de l’entreprise par intrusion et ne les lance pas tant que l’équipe n’a pas payé une grosse somme d’extorsion – a augmenté de près de 13 % d’une année sur l’autre en 2021. L’augmentation a été aussi massive que le Les cinq dernières années mitigées, au cours desquelles la prévalence des rançongiciels a augmenté de 25 % au total, selon des chercheurs célèbres.

“Les rançongiciels L’âge d’or continue et est présent dans près de 70 % des violations de logiciels malveillants cette année », ont-ils écrit.

Certes, bien que groupes de rançongiciels avoir viens et disparu et les autorités fédérales ont fait de beaux pas sévir En ce qui concerne le type de cybercriminalité, l’acquisition est si rentable pour les criminels qu’elle va probablement durer un certain temps, selon les consultants en sécurité.

“Le ransomware est de loin le moyen le plus fiable que les cybercriminels peuvent tirer parti pour compromettre leurs victimes”, a déclaré Chris Clemens, vice-président de la structure des options pour l’agence de sécurité. Cerbère Sentinelle, dans un e-mail à Threatpost. “Aucun autre mouvement que les attaquants ne peuvent prendre ne se rapproche de l’avantage et de l’ampleur de garantir un paiement de leurs opérations.”

Fournir une chaîne sous le foyer

Les attaques vitales sur la chaîne de disponibilité – par lesquelles une brèche se produit dans un seul système ou logiciel qui peut simplement se propager dans toutes les organisations – qui ont démontré des répercussions durables ont également augmenté en importance et en prévalence en 2021, ont découvert des chercheurs.

“Pour tous ceux qui offrent des chaînes d’approvisionnement, des événements tiers et des partenaires, cela a été une année pour se souvenir”, ont-ils écrit.

Sans le citer par son nom, le groupe Verizon a cité par exemple le désormais tristement célèbre Attaque de la chaîne d’approvisionnement de SolarWinds cela s’est produit à la toute fin de 2020 et a néanmoins poussé les entreprises à réagir correctement aux retombées jusqu’en 2021.

En effet, “la chaîne de distribution était responsable de 62 % des incidents d’intrusion dans le système cette année”, ont rapporté les chercheurs. De plus, contrairement à un acteur menaçant à motivation financière, les auteurs de ces crimes sont parfois des acteurs parrainés par l’État qui préfèrent “sauter la brèche et maintenir l’entrée”, persistant sur les réseaux du groupe pendant un certain temps, ont déclaré les chercheurs.

Ces agressions sont si nocives parce que, parce que l’agression peut commencer par une entreprise mais peu de temps après le voyage vers ses prospects et partenaires, il y aura tant de victimes concernées, selon les chercheurs.

De plus, généralement, les violations qui parcourent la chaîne de disponibilité ne sont détectées que longtemps après que les attaquants ont déjà eu accès aux méthodes d’une entreprise, ce qui rend le potentiel de violation de données et de vol à long terme plus probable.

Erreur, Humaine et Dans tous les autres cas

Deux autres conclusions clés du rapport sont associées lorsqu’il s’agit de savoir où se trouve le dernier mot: quelqu’un à l’intérieur ou à l’extérieur d’une entreprise qui fait une erreur. Certes, l’erreur humaine continue d’être un modèle dominant pour expliquer comment et pourquoi les violations se produisent, ont découvert des chercheurs.

“L’erreur continue d’être un modèle dominant et est responsable de 13% des violations”, ont noté les chercheurs. Cette découverte est principalement due à un stockage en nuage mal configuré, qui est en fait souvent le devoir de la personne ou des personnes responsables de la mise en place du système, ont-ils déclaré.

En effet, 82 % des manquements analysés au sein du DBIR en 2021 concernaient ce que les chercheurs appellent « l’aspect humain, qui sera de toutes sortes de problèmes, précisent-ils.

“Qu’il s’agisse ou non d’utiliser des informations d’identification volées, de l’hameçonnage, d’une mauvaise utilisation ou simplement d’une erreur, les individus continuent de jouer un rôle très important dans les incidents et les violations”, ont écrit les chercheurs.

Menace la plus ancienne dans l’ebook

Les consultants en sécurité ont exprimé peu de surprise face à la découverte de « l’élément humain », qui sévit dans l’industrie de la technologie depuis même avant la sécurité et l’ensemble de l’entreprise, c’était un facteur, le célèbre spécialiste de la sécurité.

“Il en est ainsi depuis le démarrage des systèmes informatiques et il en sera probablement ainsi pendant de nombreuses années”, a déclaré Roger Grimes, évangéliste de la protection des données pour l’agence de sécurité. KnowBe4, dans un e-mail à Threatpost.

De nombreuses erreurs qui se produisent actuellement sont le résultat d’une ingénierie sociale intelligente de la part des attaquants, en particulier lors d’attaques de phishing qui incitent les individus à cliquer sur des données malveillantes ou des hyperliens qui permettent l’accès à l’ordinateur ou présentent des informations d’identification privées qui peuvent être utilisées pour compromettre les méthodes d’entreprise, a-t-il déclaré.

La seule solution pour remédier aux points de sécurité créés par l’erreur humaine est la formation, qu’il s’agisse ou non d’erreurs de configurationl’importance des correctifsdes informations d’identification volées et ou simplement “des erreurs courantes, comme lorsqu’un utilisateur envoie par e-mail par e-mail des informations personnelles incorrectes”, a déclaré Grimes.

“Les gens ont toujours été une grande partie de l’image informatique, mais pour certaines raisons, nous avons toujours pensé que seules les options de technologie pouvaient à elles seules réparer ou prévenir les problèmes”, a-t-il déclaré. «Trois années à tenter de réparer les problèmes de cybersécurité en se spécialisant dans tous les éléments, mais l’aspect humain a prouvé que ce n’est pas une technique viable.

Google a annoncé un remplacement pour le navigateur Chrome qui comporte 32 correctifs de sécurité. Le classement de gravité pour l’une des nombreuses vulnérabilités corrigées est Essentiel.

Le canal sécurisé a été promu à 102.0.5005.61/62/63 pour Windows et 102.0.5005.61 pour Mac et Linux.

Essentiel

Google qualifie les vulnérabilités de vitales si elles permettent à un attaquant d’exécuter du code arbitraire sur la plate-forme sous-jacente avec les privilèges du consommateur dans le cours normal des achats.

Les failles de sécurité des ordinateurs portables divulguées publiquement sont répertoriées dans la base de données des vulnérabilités et expositions fréquentes (CVE). Son objectif est de simplifier le partage des connaissances à travers des capacités de vulnérabilité distinctes (instruments, bases de données et entreprises).

Cette mise à jour corrige la vulnérabilité vitale répertoriée comme CVE-2022-1853: Utiliser après free dans Listed DB.

Use after free (UAF) est une vulnérabilité résultant d’une utilisation incorrecte de la mémoire dynamique tout au long du fonctionnement d’un programme. Si après avoir libéré un emplacement de réminiscence, un programme n’efface pas le pointeur vers cette réminiscence, un attaquant peut utiliser l’erreur pour contrôler ce système.

IndexedDB est une interface de programmation utilitaire (API) de bas niveau pour le stockage côté client de grandes quantités de connaissances structurées, ainsi que d’informations. Cette API utilise des index pour permettre des recherches d’une efficacité excessive de ces connaissances. Alors que le stockage Doc Object Mannequin (DOM) est avantageux pour stocker de plus petites quantités de connaissances, IndexedDB donne une réponse pour stocker de plus grandes quantités de connaissances structurées.

Chaque base de données IndexedDB est exclusive à une origine (généralement, c’est la zone de positionnement ou le sous-domaine), ce qui signifie qu’elle ne doit pas être accessible par une autre origine.

Google ne divulgue pas de détails sur les vulnérabilités tant que les utilisateurs n’ont pas eu suffisamment d’alternative pour installer les correctifs, donc je peux très bien lire cette erreur. Cependant, je suppose qu’un attaquant pourrait assembler un site Web spécialement conçu et prendre le contrôle du navigateur du client en manipulant IndexedDB.

Différentes vulnérabilités

Sur les 31 vulnérabilités restantes, Google en a classé 12 comme Excessif. Des vulnérabilités de gravité excessive permettent à un attaquant d’exécuter du code dans le contexte de, ou dans tout autre cas d’usurper l’identité, d’origines différentes.

13 autres vulnérabilités ont été classées comme Moyen. Les bogues de gravité moyenne permettent aux attaquants d’apprendre ou de modifier des quantités limitées d’informations, ou qui ne sont pas dangereuses en elles-mêmes mais probablement dangereuses lorsqu’elles sont mélangées à d’autres bogues.

Ce qui laisse six vulnérabilités qui ont été classées comme Bas. Les vulnérabilités de faible gravité sont généralement des bogues qui peuvent généralement être d’une meilleure gravité, mais qui ont des éléments d’atténuation excessifs ou une portée extrêmement restreinte.

remplacer

Si vous êtes un utilisateur de Chrome sur Windows, Mac ou Linux, vous devez remplacer le modèle 101.0.4951.41 dès que possible.

La méthode la plus simple pour remplacer Chrome consiste à lui permettre de remplacer mécaniquement, ce qui utilise la même méthode que celle décrite ci-dessous, mais ne vous oblige pas à faire quoi que ce soit. Mais vous pouvez vous retrouver à bloquer les mises à jour informatisées pour ceux qui ne ferment jamais le navigateur, ou si quelque chose se passe mal, cela rappelle une extension vous empêchant de mettre à jour le navigateur.

Donc, ça ne fait pas de mal de vérifier de temps en temps. Et maintenant pourrait être un moment superbe, compte tenu de la gravité des vulnérabilités répertoriées.

Ma technique la plus populaire consiste à faire en sorte que Chrome ouvre la page Web chrome://paramètres/assistance que vous pouvez également découvrir en cliquant Paramètres > À propos de Chrome.

S’il peut y avoir un remplacement, Chrome vous en informera et commencera à le télécharger. Ensuite, tout ce que vous avez à faire est de relancer le navigateur pour vous assurer que le remplacement est terminé.

Il est préférable de voir ensuite le message “Chrome est mis à jour”.

Techniques concernées :

• Versions de Google Chrome pour Windows Home antérieures à 102.0.5005.61/62/63
• Versions de Google Chrome pour Mac et Linux antérieures à 102.0.5005.61

Restez en sécurité, tout le monde !

Associé

Le groupe Google d’évaluation des risques (TAG) a révélé que sur les 9 vulnérabilités zero-day affectant Chrome, Android, Apple et Microsoft qu’elle a signalées en 2021, 5 avaient été utilisées par une seule entreprise de surveillance industrielle.

Ai-je entendu quelqu’un dire Pégase? Une supposition éclairée, mais erronée sur cette affaire. Le titre de l’entreprise de surveillance – ou du fournisseur de logiciels publicitaires qualifié mentionné plus haut – est Cytrox et le titre de son logiciel publicitaire est Predator.

Google

TAG recherche régulièrement les vulnérabilités zero-day exploitées dans la nature pour réparer les vulnérabilités des produits personnels de Google. Si le groupe trouve des zero-days en dehors de ses propres produits, il les signale aux distributeurs qui possèdent le logiciel sensible.

Des correctifs pour les 5 vulnérabilités mentionnées par TAG dans son blog peuvent être trouvés. 4 d’entre eux concernaient le navigateur Chrome et un la partie noyau d’Android.

Vulnérabilités

Par définition, les vulnérabilités zero-day sont des vulnérabilités pour lesquelles aucun patch n’existe, et de ce fait ont probablement un prix de succès excessif pour un attaquant. Cela ne signifie pas que les vulnérabilités corrigées sont inefficaces pour les attaquants, mais elles auront un plus petit nombre de cibles potentielles. Selon le produit et la simplicité d’utilisation des correctifs, les vulnérabilités seront utiles pendant un certain temps.

Dans la campagne marketing découverte par TAG, le fournisseur de logiciels publicitaires a utilisé les zero-days avec différentes vulnérabilités déjà corrigées. Les développeurs ont profité de la distinction temporelle entre la fourniture de correctifs pour certains des bogues essentiels, car cela pourrait prendre un certain temps avant que ces correctifs ne soient définitivement déployés dans l’écosystème Android.

TAG dit que Cytrox a abusé de 4 jours zéro de Chrome (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000et CVE-2021-38003) et un seul jour zéro Android (CVE-2021-1048) dernière année dans au moins trois campagnes menées au nom de divers gouvernements.

Cytrox

TAG surveille activement plus de 30 distributeurs avec diverses gammes de sophistication et de publicité publique faisant la promotion d’exploits ou de capacités de surveillance auprès d’acteurs soutenus par le gouvernement. Cytrox est considéré comme l’un de ces distributeurs, avec le groupe NSO, sans aucun doute l’un des plus reconnus d’entre eux et responsable du logiciel publicitaire Pegasus.

Citizenlab sur le Collège de Toronto publié des détails sur Cytrox en décembre 2021. Il indique que Cytrox décrit ses actions personnelles comme offrant aux gouvernements une « cyberrésolution opérationnelle » qui comprend la collecte de données à partir de gadgets et de fournisseurs de cloud. Il indique également qu’il aide à “concevoir, gérer et mettre en œuvre la collecte de cyber-renseignements au sein de la communauté, permettant aux entreprises de collecter des informations à partir de chaque appareil final ainsi que des fournisseurs de cloud”.

Cytrox aurait commencé sa vie en tant que start-up nord-macédonienne et semble avoir une présence en Israël et en Hongrie. En tant que tel, on pense que Cytrox fait partie de la soi-disant alliance Intellexa, un label publicitaire pour une diffusion de distributeurs de surveillance mercenaires qui a émergé en 2019. Le consortium de sociétés se compose de Nexa Applied sciences (anciennement Amesys), WiSpear/Passitora Ltd., Cytrox et Senpai, ainsi que d’autres entités anonymes, cherchant prétendument à rivaliser avec d’autres joueurs sur le marché de la cybersurveillance correspondant à NSO Group (Pegasus) et Verint.

Logiciels publicitaires des autorités

Les packages de logiciels espions correspondant à Predator et Pegasus créent des circonstances problématiques pour les groupes de sécurité de Google, Apple et Microsoft, et il semble qu’ils ne cesseront pas de si tôt.

Peu importe les arguments que ces distributeurs utilisent sur la façon dont ils travaillent pour les gouvernements, et pour cette raison ne font rien d’illégal, tout le monde sait que la légitimité de certains gouvernements réside dans l’œil du spectateur. Et il n’est pas toujours facile de savoir qui contrôle vraiment les informations acquises à partir du logiciel publicitaire.

C’est pour une bonne cause que le Contrôleur européen de la sécurité des connaissances (CEPD) a exhorté l’UE à interdire le développement et le déploiement de logiciels espions avec les capacités de Pegasus pour protéger les droits et libertés élémentaires. Le CEPD fait valoir que l’utilisation de Pegasus peut entraîner une étape d’intrusion sans précédent, menaçant l’essence même de l’adaptation à la vie privée, car le logiciel publicitaire est capable d’interférer avec les éléments les plus intimes de notre vie quotidienne.

Associé