Tout comme les utilisateurs professionnels se sont tournés vers les services de cloud computing et les logiciels de collaboration en ligne pour faire leur travail, il en va de même pour les cybercriminels, selon une nouvelle étude de Proofpoint.
Au cours des derniers mois, la société de cybersécurité a observé une augmentation massive du nombre d’acteurs de menaces abusant de l’infrastructure de Microsoft et de Google pour héberger et envoyer des menaces sur le stockage Office 365, Azure, OneDrive, SharePoint, G-Suite et Firebase.
En 2020, plus de 59 millions de messages malveillants ont été envoyés depuis Microsoft Office 365 ciblant des milliers de clients de Proofpoint, tandis que plus de 90 millions ont été envoyés ou hébergés par Google, dont 27% ont été envoyés via le service de messagerie le plus populaire au monde, Gmail. Au cours du premier trimestre de cette année, la firme de cybersécurité a observé sept millions de messages malveillants envoyés via Office 365 et à 45m de l’infrastructure de Google.
Pour aggraver les choses, le volume de messages malveillants de ces services cloud de confiance a dépassé celui de n’importe quel botnet l’année dernière. En effet, la réputation de confiance des domaines Microsoft et Google augmente la probabilité que ces messages soient livrés à leurs cibles au lieu d’être détectés comme malveillants.
Sommaire
Compromis et conquérir
Alors que le courrier électronique est récemment devenu le principal vecteur des ransomwares, les cybercriminels exploitent de plus en plus la chaîne d’approvisionnement et l’écosystème de partenaires des organisations pour compromettre les comptes, voler les informations d’identification et siphonner des fonds.
Selon un rapport récent de Proofpoint sur les chaînes d’approvisionnement, 98% des près de 3 000 organisations aux États-Unis, au Royaume-Uni et en Australie ont reçu une menace d’un domaine fournisseur au cours d’une fenêtre de sept jours en février de cette année.
Un seul compte compromis peut fournir aux cybercriminels un grand accès au réseau d’une entreprise et au cours de la dernière année, l’entreprise a observé des menaces ciblant 95% des organisations qu’elle protège avec des tentatives de compromission de compte cloud et plus de la moitié en ont subi au moins un compromis. Parmi les organisations compromises, plus de 30% ont déclaré avoir subi des activités post-accès telles que la manipulation de fichiers, le transfert d’e-mails et l’activité OAuth.
Avec les informations d’identification d’une organisation en main, les cybercriminels peuvent se connecter aux systèmes en tant qu’imposteurs, se déplacer latéralement entre plusieurs services cloud et environnements hybrides et envoyer des e-mails convaincants tout en se faisant passer pour de vrais employés.
Vice-président exécutif de la stratégie de cybersécurité chez Proofpoint, Ryan Kalember a fourni des informations supplémentaires sur les dernières découvertes de l’entreprise dans un article de blog, en disant:
«Nos recherches démontrent clairement que les attaquants utilisent à la fois l’infrastructure Microsoft et Google pour diffuser des messages malveillants et cibler des personnes tout en exploitant les outils de collaboration cloud populaires. Associée à des ransomwares, à une chaîne d’approvisionnement et à une compromission de compte cloud, la protection avancée des e-mails centrée sur les personnes doit rester une priorité absolue pour les responsables de la sécurité. »
