[ad_1]

Les escrocs responsables du lancement de campagnes de phishing qui ont attiré des dizaines d’employés et plus de 100 systèmes informatiques le mois dernier à Wiprola troisième plus grande entreprise d’externalisation informatique en Inde, semble également avoir ciblé un certain nombre d’autres fournisseurs concurrents, notamment Infosys et Compétent, de nouvelles preuves suggèrent. Jusqu’à présent, les indices suggèrent le travail d’un groupe criminel assez expérimenté qui se concentre sur la fraude par carte-cadeau.

Lundi, BreachTrace a annoncé que plusieurs sources signalaient une violation de la cybersécurité chez Wipro, un important fournisseur de confiance d’externalisation informatique pour les entreprises américaines. L’histoire cite des rapports de plusieurs sources anonymes qui ont déclaré que les réseaux et systèmes de confiance de Wipro étaient utilisés pour lancer des cyberattaques contre les clients de l’entreprise.

Une capture d’écran du site de phishing Wipro securemail.wipro.com.internal-message[.]application. Image : urlscan.io

Dans un article de suivi mercredi sur la nature sourde de la réponse publique de Wipro à cet incident, BreachTrace a publié une liste d ‘«indicateurs de compromission» ou IOC, des indices révélateurs sur les tactiques, les outils et les procédures utilisés par les méchants qui pourraient signifier une intrusion tentée ou réussie.

Si l’on examine les sous-domaines liés à un seul des domaines malveillants mentionnés dans la liste des IoC (internal-message[.]app), une adresse Internet très intéressante est connectée à tous — 185.159.83[.]24. Cette adresse appartient à King Servers, une société d’hébergement à toute épreuve bien connue basée en Russie.

Selon les registres tenus par Sécurité de vision de loincette adresse héberge un certain nombre d’autres domaines de phishing probables :

securemail.pcm.com.internal-message[.]application
secure.wipro.com.internal-message[.]application
securemail.wipro.com.internal-message[.]application
secure.elavon.com.internal-message[.]application
securemail.slalom.com.internal-message[.]application
securemail.avanade.com.internal-message[.]application
securemail.infosys.com.internal-message[.]application
securemail.searshc.com.internal-message[.]application
securemail.capgemini.com.message-interne[.]application
securemail.cognizant.com.internal-message[.]application
secure.rackspace.com.internal-message[.]application
securemail.virginpulse.com.message-interne[.]application
secure.expediagroup.com.internal-message[.]application
securemail.greendotcorp.com.internal-message[.]application
secure.bridge2solutions.com.internal-message[.]application
ns1.internal-message[.]application
ns2.internal-message[.]application
mail.message-interne[.]application
ns3.microsoftonline-secure-login[.]com
ns4.microsoftonline-secure-login[.]com
tashabsolutions[.]xyz
www.tashabsolutions[.]xyz

Les sous-domaines répertoriés ci-dessus suggèrent que les attaquants pourraient également avoir ciblé un détaillant américain Sear; Point vert, le plus grand fournisseur de cartes prépayées au monde ; société de traitement des paiements Élavon; société d’hébergement Espace rack; cabinet de conseil aux entreprises Avanade; Fournisseur informatique MCP; et cabinet de conseil français Capgemini, entre autres. BreachTrace a contacté toutes ces entreprises pour obtenir des commentaires et mettra à jour cette histoire au cas où l’une d’entre elles répondrait avec des informations pertinentes.

QU’EST-CE QU’ILS CHERCHENT ?

Il semble que les attaquants dans ce cas ciblent des entreprises qui, sous une forme ou une autre, ont accès à une tonne de ressources d’entreprises tierces et/ou à des entreprises qui peuvent être exploitées pour commettre des fraudes par carte-cadeau.

Le suivi de mercredi sur la violation de Wipro a cité une source anonyme proche de l’enquête disant que les criminels responsables de la violation de Wipro semblent être après tout ce qu’ils peuvent transformer en argent assez rapidement. Cette source, qui travaille pour un grand détaillant américain, a déclaré que les escrocs qui ont fait irruption dans Wipro ont utilisé leur accès pour perpétrer une fraude par carte-cadeau dans les magasins du détaillant.

Une autre source a déclaré que l’enquête sur la violation de Wipro par une société tierce a déterminé jusqu’à présent que les intrus ont compromis plus de 100 systèmes Wipro et installés sur chacun d’eux. Connexion d’écran, un outil d’accès à distance légitime. Les enquêteurs pensent que les intrus utilisaient le logiciel ScreenConnect sur les systèmes Wipro piratés pour se connecter à distance aux systèmes clients Wipro, qui ont ensuite été utilisés pour exploiter davantage l’accès aux réseaux clients Wipro.

Ceci est remarquablement similaire à une activité dirigée contre une société basée aux États-Unis en 2016 et 2017. En mai 2018, Maritz Holdings Inc.une entreprise basée au Missouri qui gère des programmes de fidélisation de la clientèle et de cartes-cadeaux pour des tiers, a poursuivi Cognizant (PDF), affirmant qu’un enquête médico-légale a déterminé que les pirates ont utilisé les ressources de Cognizant dans une attaque contre le programme de fidélité de Maritz qui a rapporté aux attaquants plus de 11 millions de dollars en cartes-cadeaux électroniques frauduleuses.

Cette enquête a déterminé que les attaquants utilisaient également ScreenConnect pour accéder aux ordinateurs appartenant aux employés de Maritz. « C’est le même outil qui a été utilisé pour effectuer la cyber-attaque au printemps 2016. Intersec [the forensic investigator] a également déterminé que les attaquants avaient effectué des recherches sur le système Maritz pour certains mots et expressions liés à l’attaque du printemps 2016. »

Selon le procès intenté par Maritz Holdings, les enquêteurs ont également déterminé que «les attaquants accédaient au système Maritz en utilisant des comptes enregistrés auprès de Cognizant. Par exemple, en avril 2017, quelqu’un utilisant un compte Cognizant a utilisé le programme de piratage « fiddler » pour contourner les cyberprotections que Maritz avait installées plusieurs semaines plus tôt.

Maritz a déclaré que son enquêteur médico-légal a découvert que les attaquants avaient effectué des recherches sur le système Maritz pour certains mots et expressions liés au retrait de la carte-cadeau électronique du printemps 2016. De même, ma source de vente au détail dans l’attaque de Wipro a déclaré à BreachTrace que les attaquants qui les avaient fraudés ont également recherché dans leurs systèmes des phrases spécifiques liées aux cartes-cadeaux et des indices sur les systèmes de sécurité que le détaillant utilisait.

Il n’est pas clair si le travail de ces pirates criminels est lié à un groupe de menaces spécifique et connu. Mais il semble probable que les escrocs qui ont frappé Wipro ciblent des entreprises similaires depuis un certain temps maintenant, et avec un certain succès dans la traduction de leur accès à l’argent étant donné les déclarations de mes sources dans l’infraction Wipro et ce procès contre Cognizant.

Ce qui est remarquable, c’est le nombre de sociétés antivirus qui ne signalent toujours pas comme malveillantes de nombreuses adresses Internet et domaines répertoriés dans les IoC, comme en témoigne une recherche sur virustotal.com.

Mise à jour, 19 avril, 11 h 25 HE : J’ai eu des nouvelles de certaines des autres cibles. Avanade a partagé la déclaration suivante :

« Avanade a été la cible de l’incident de sécurité impliquant plusieurs entreprises, impliquant 34 de nos employés en février. Grâce à nos efforts et à nos technologies de réponse aux cyberincidents, nous avons rapidement contenu et corrigé la situation. Par conséquent, il n’y a eu aucun impact sur notre portefeuille de clients ou sur les données sensibles de l’entreprise. Notre examen a conclu qu’il s’agissait d’un incident isolé. Nos défenses de sécurité ont continué à nous protéger contre toute menace potentielle liée à cette affaire. Et nous continuons à assumer notre responsabilité de protéger les données de nos clients avec le plus grand sérieux.

Cognizant a répondu

« Nous sommes au courant de rapports selon lesquels notre société faisait partie de nombreux autres fournisseurs de services et entreprises dont les systèmes de messagerie ont été ciblés dans un programme de piratage criminel apparent lié à la fraude par carte-cadeau. Depuis que l’activité criminelle a fait surface pour la première fois plus tôt cette semaine et à la suite d’informations selon lesquelles le système de messagerie d’un autre fournisseur de services aurait été compromis, les experts en sécurité de Cognizant ont pris des mesures immédiates et appropriées, notamment en lançant un examen.

« Bien que notre examen soit en cours, nous n’avons vu aucune indication à ce jour que des données de clients aient été compromises. Il n’est pas rare qu’une grande entreprise comme Cognizant soit la cible de tentatives de spear phishing comme celle-ci. L’intégrité de nos systèmes et des systèmes de nos clients est d’une importance primordiale pour Cognizant. Nous surveillons, mettons à jour et renforçons en permanence nos systèmes contre les accès non autorisés et avons mis en place des protocoles supplémentaires liés à cet incident spécifique à l’échelle de l’industrie.

Infosys a déclaré n’avoir observé aucune violation de son réseau sur la base de sa surveillance et de ses renseignements sur les menaces. « Cela a été confirmé par une analyse approfondie des indicateurs de compromission que nous avons reçus de nos partenaires de renseignement sur les menaces », a déclaré la société dans un communiqué.

Rackspace a déclaré qu’il n’avait aucune preuve indiquant qu’il y avait eu un impact sur l’environnement de Rackspace : « Rackspace Security Operations surveille en permanence notre environnement pour détecter les menaces et prend les mesures appropriées si un problème est identifié. »

Capgemini a déclaré que son centre d’opérations de sécurité (SOC) interne avait détecté et surveillé les activités suspectes qui présentaient des schémas similaires à l’attaque à laquelle WIPRO était confronté. « Cela s’est produit entre le 4 et le 19 mars. L’activité s’est concentrée sur un nombre très limité d’ordinateurs portables et de serveurs. Des mesures correctives immédiates ont été prises. Il n’y a eu aucun impact sur nous, ni sur nos clients à ce jour.

Slalom, une autre société mentionnée ci-dessus, a déclaré qu’elle pouvait « confirmer que l’activité d’attaque de phishing a été détectée et empêchée entre le 4 et le 19 mars, ce qui est en corrélation avec les informations que vous avez publiées sur l’événement Wipro. Une combinaison de surveillance de sécurité avancée 24 heures sur 24, 7 jours sur 7, de formation à la sensibilisation à la sécurité et d’automatisation des renseignements sur les menaces nous a permis de détecter, d’alerter et de prévenir un événement provenant des attaques de phishing. Nous avons vérifié cela par le biais d’investigations internes et avec le soutien de nos partenaires de renseignement sur les menaces. »

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *