Le Federal Bureau of Investigation avertit que les acteurs de la menace de ransomware ciblent les serveurs de casino et utilisent des outils de gestion de système légitimes pour augmenter leurs autorisations sur le réseau.
Dans une notification du secteur privé, l’agence affirme que les fournisseurs et services tiers constituent un vecteur d’attaque courant. Les gangs de ransomwares continuent de s’appuyer sur des fournisseurs de jeux tiers pour pirater les casinos.
« Les nouvelles tendances incluent des acteurs de ransomware exploitant les vulnérabilités de l’accès à distance contrôlé par les fournisseurs aux serveurs de casino, et des entreprises victimes d’outils de gestion de système légitimes pour élever leur niveau de sécurité.
autorisations réseau », explique l’agence.
À partir de 2022, le FBI a noté des attaques de ransomware ciblant les petits casinos et les casinos tribaux pour crypter les serveurs et les informations personnelles identifiables des employés et des clients.
L’alerte précise également que l’acteur malveillant connu sous le nom de « Silent Ransom Group » (SRG) et « Luna Moth » mène des attaques de vol de données et d’extorsion par rappel-phishing depuis juin.
L’agresseur a trompé la victime pour qu’elle appelle un numéro sous prétexte que des accusations étaient en cours sur son compte. Si la victime tombait dans le piège, SRG la convaincrait d’installer un outil de gestion du système, qui serait ensuite utilisé pour installer d’autres utilitaires légitimes pouvant également être utilisés à des fins malveillantes.
« Les acteurs [SRG] ont ensuite compromis les fichiers locaux et les disques partagés du réseau, exfiltré les données des victimes et extorqué les entreprises » – Federal Bureau of Investigation
Des rapports précédents notent que parmi les leurres de phishing associés aux attaques Luna Moth/SRG figurent de fausses ruses de renouvellement d’abonnement. Ce groupe se concentre sur l’extorsion de données et n’encrypte pas les fichiers.
Conseils d’atténuation
Le FBI recommande aux organisations de mettre en œuvre plusieurs mesures d’atténuation pour limiter l’utilisation par un adversaire des techniques courantes de découverte des systèmes et des réseaux.
Les organisations doivent conserver des sauvegardes hors ligne cryptées et immuables pour l’ensemble de l’infrastructure de données de l’entreprise. La mise en œuvre de politiques d’accès à distance et l’exécution uniquement d’applications connues et fiables constituent également une étape vers une meilleure sécurité.
Des politiques de mot de passe fortes et une authentification multifacteur sont encouragées, ainsi que l’audit et la gestion des privilèges administratifs.
La segmentation du réseau, l’ajout de solutions de surveillance des activités anormales, l’utilisation sécurisée du RDP et les composants logiciels à jour sont des recommandations courantes que de nombreuses entreprises doivent encore respecter.
Enfin, il est recommandé aux administrateurs système de désactiver les ports et protocoles inutiles, d’ajouter des bannières de courrier électronique pour les messages provenant de l’extérieur de l’organisation et de restreindre les activités de ligne de commande et de script.