Les acteurs de la menace commencent à trouver des moyens de contourner l’authentification multifacteur, un signe qui, selon certains chercheurs en sécurité, pourrait démontrer que la MFA est devenue plus courante, selon un rapport publié mardi par Secureworks.
“Le fait que le multifacteur lui-même soit maintenant une cible est une bonne chose – cela montre qu’il est suffisamment répandu pour perturber l’accès des criminels, à tel point que la technologie elle-même est attaquée”, a déclaré Andrew Barratt, vice-président de Coalfire. .
Mike Parkin, ingénieur technique senior chez Vulcan Cyber, a déclaré que le défi avec MFA est qu’ils ne sont pas tous créés égaux et que tout le monde ne les implémente pas de la manière la plus sécurisée possible.
“Certaines formes de MFA sont intrinsèquement plus robustes que d’autres et plus résistantes aux attaques”, a déclaré Parkin. “Bien que presque toutes les implémentations de MFA soient un pas dans la bonne direction, elles ne sont pas une solution miracle et doivent trouver le bon équilibre. entre commodité et efficacité.
Patrick Harr, directeur général de SlashNext, a déclaré que les utilisateurs doivent toujours rester attentifs lorsqu’ils utilisent MFA. Harr a déclaré qu’il s’agissait toujours d’une atténuation efficace contre le phishing, car cela augmentait la difficulté d’exploiter des informations d’identification compromises pour violer une organisation.
“Cependant, ce n’est pas infaillible”, a déclaré Harr. “Si le lien conduit l’utilisateur vers une fausse réplique d’un site légitime, l’utilisateur peut en être victime. En fait, la CISA a mis en garde contre une augmentation du nombre de cybercriminels utilisant des tactiques pour contourner la MFA comme une tactique efficace pour le vol financier et de données.
Jerrod Piker, analyste en veille concurrentielle chez Deep Instinct, a déclaré que bien que la MFA ait été efficace, les attaquants ont récemment contourné ces outils pour y accéder.
Un exemple de la façon dont ils passent l’AMF est appelé «bombardement rapide», a expliqué Piker. Cela implique qu’un attaquant qui a réussi à accéder à un facteur d’authentification envoie des demandes d’authentification encore et encore dans l’espoir d’épuiser l’utilisateur final et de l’amener à approuver accidentellement ou délibérément une demande. Piker a déclaré qu’il y avait eu plusieurs rapports publics sur le succès de cette méthode.
“L’important est de rappeler aux utilisateurs que s’ils voient beaucoup d’activités inhabituelles comme celle-ci, ils doivent le signaler à leur équipe de sécurité le plus rapidement possible et changer leurs mots de passe”, a déclaré Piker.
Une autre méthode avec laquelle les attaquants connaissent du succès est le détournement de session, a déclaré Piker. Dans cette technique, un attaquant envoie un e-mail de phishing avec un lien vers un site de connexion légitime, mais avec un proxy transparent entre les deux afin que l’attaquant puisse voler les informations d’identification et les clés de session et continuer à travailler avec une session authentifiée. Piker a déclaré que pour éviter ce type d’attaque, les équipes de sécurité devraient former les utilisateurs à ne jamais se connecter à partir d’un lien trouvé dans un e-mail. Au lieu de cela, ils doivent accéder directement à l’URL de la ressource MFA pour lancer une session de connexion.
Les ransomwares restent la principale menace
Dans l’ensemble, le rapport Secureworks a révélé que les ransomwares restent la principale menace à laquelle sont confrontées les organisations privées et publiques.
Les chercheurs ont découvert que la fenêtre médiane de détection des attaques de ransomwares en 2022 était de 4,5 jours. Les chargeurs restent également un élément important de l’écosystème des rançongiciels, bien que leur utilisation fluctue entre les options nouvelles et établies de longue date.
“Le ransomware a prouvé qu’il s’agissait d’une charge utile cohérente qui peut être déposée sur une cible à l’aide de n’importe quel nombre de vecteurs d’attaque qui [attackers] peut monétiser », a déclaré Barratt de Coalfire. « Avec les courtiers d’accès initiaux ayant un accès « en gros » à certains environnements, il existe un modèle commercial de crime en tant que service. Achetez l’accès initial en masse auprès d’un courtier – déposez votre boîte à outils de ransomware/malware, puis exploitez la victime pour des paiements élevés. Cela donne aux criminels un retour sur investissement très facile à déterminer et signifie que le courtier d’accès initial reçoit un paiement rapide et passe à autre chose.
:strip_icc()/i.s3.glbimg.com/v1/AUTH_da025474c0c44edd99332dddb09cabe8/internal_photos/bs/2024/C/m/hyWGduTQSCHk0xE0g5BQ/arte-76-.png?fit=300%2C300&ssl=1)
