Avec la pandémie évoluant vers une nouvelle phase amorphe et une polarisation politique croissante dans le monde, 2022 a été une année difficile et souvent déroutante en matière de sécurité numérique. Et tandis que les pirates s’appuyaient fréquemment sur de vieilles châtaignes comme les attaques de phishing et de ransomware, ils trouvaient toujours de nouvelles variantes vicieuses pour subvertir les défenses.
Voici le retour de WIRED sur les pires violations, fuites, attaques de ransomwares, campagnes de piratage parrainées par l’État et prises de contrôle numériques de l’année. Si les premières années des années 2020 en sont une indication, le domaine de la sécurité numérique en 2023 sera plus bizarre et imprévisible que jamais. Restez vigilant et restez en sécurité là-bas.
Pendant des années, la Russie a frappé l’Ukraine avec des attaques numériques brutales provoquant des coupures de courant, volant et détruisant des données, s’immisçant dans les élections et diffusant des logiciels malveillants destructeurs pour ravager les réseaux du pays. Depuis l’invasion de l’Ukraine en février, cependant, les temps ont changé pour certains des pirates informatiques militaires les plus importants et les plus dangereux de Russie. Des campagnes astucieuses à long terme et des piratages sinistrement ingénieux ont largement cédé la place à un clip plus strict et plus réglementé d’intrusions rapides dans les institutions ukrainiennes, de reconnaissance et de destruction généralisée sur le réseau, puis d’accès répétés encore et encore, que ce soit par une nouvelle brèche soit en conservant l’ancien accès. Le livre de jeu russe sur le champ de bataille physique et dans le cyberespace semble être le même : un bombardement féroce que les projets pourraient et cause autant de douleur que possible au gouvernement ukrainien et à ses citoyens.
L’Ukraine n’a cependant pas été numériquement passive pendant la guerre. Le pays a formé une « armée informatique » volontaire après l’invasion, et celle-ci, avec d’autres acteurs du monde entier, a monté des attaques DDoS, des piratages perturbateurs et des violations de données contre des organisations et des services russes.
Au cours de l’été, un groupe de chercheurs surnommé 0ktapus (également connu sous le nom de “Scatter Swine”) s’est lancé dans une attaque massive de phishing, compromettant près de 10 000 comptes au sein de plus de 130 organisations. La majorité des institutions victimes étaient basées aux États-Unis, mais il y en avait également des dizaines dans d’autres pays, selon les chercheurs. Les attaquants ont principalement envoyé des SMS aux cibles avec des liens malveillants qui ont conduit à de fausses pages d’authentification pour la plate-forme de gestion d’identité Okta, qui peut être utilisée comme outil de connexion unique pour de nombreux comptes numériques. L’objectif des pirates était de voler les informations d’identification Okta et les codes d’authentification à deux facteurs afin qu’ils puissent accéder à un certain nombre de comptes et de services à la fois.
Une entreprise touchée pendant le déchaînement était la société de communication Twilio. Elle a subi une brèche début août qui a touché 163 de ses organisations clientes. Twilio est une grande entreprise, qui ne représentait que 0,06 % de ses clients, mais des services sensibles comme l’application de messagerie sécurisée Signal, l’application d’authentification à deux facteurs Authy et la société d’authentification Okta étaient tous dans cette tranche et sont devenus des victimes secondaires de la violation. . Étant donné que l’un des services proposés par Twilio est une plate-forme d’envoi automatique de SMS, l’un des effets d’entraînement de l’incident a été que les attaquants ont pu compromettre les codes d’authentification à deux facteurs et violer les comptes d’utilisateurs de certains clients Twilio.
Comme si cela ne suffisait pas, Twilio a ajouté dans un rapport d’octobre qu’il avait également été piraté par 0ktapus en juin et que les pirates avaient volé les coordonnées des clients. L’incident met en évidence le véritable pouvoir et la menace du phishing lorsque les attaquants choisissent leurs cibles de manière stratégique pour amplifier les effets. Twilio a écrit en août : “Nous sommes très déçus et frustrés par cet incident”.
Ces dernières années, les pays du monde entier et l’industrie de la cybersécurité se sont de plus en plus concentrés sur la lutte contre les attaques de ransomwares. Bien qu’il y ait eu quelques progrès en matière de dissuasion, les gangs de rançongiciels se déchaînaient toujours en 2022 et continuaient de cibler les institutions sociales vulnérables et vitales, y compris les prestataires de soins de santé et les écoles. Le groupe russophone Vice Society, par exemple, s’est longtemps spécialisé dans le ciblage des deux catégories, et a concentré ses attaques sur le secteur de l’éducation cette année. Le groupe a eu une confrontation particulièrement mémorable avec le Los Angeles Unified School District début septembre, au cours de laquelle l’école a finalement pris position et a refusé de payer les attaquants, alors même que ses réseaux numériques tombaient en panne. LAUSD était une cible de premier plan, et Vice Society a peut-être mordu plus qu’il ne pouvait mâcher, étant donné que le système comprend plus de 1 000 écoles desservant environ 600 000 élèves.
Pendant ce temps, en novembre, l’Agence américaine de cybersécurité et de sécurité des infrastructures, le FBI et le ministère de la Santé et des Services sociaux ont publié un avertissement conjoint concernant le groupe de rançongiciels et fabricant de logiciels malveillants lié à la Russie connu sous le nom de HIVE. Les agences ont déclaré que le ransomware du groupe a été utilisé pour cibler plus de 1 300 organisations à travers le monde, ce qui a entraîné environ 100 millions de dollars de paiements de rançon de la part des victimes. “De juin 2021 à au moins novembre 2022, les acteurs de la menace ont utilisé le rançongiciel Hive pour cibler un large éventail d’entreprises et de secteurs d’infrastructures critiques”, ont écrit les agences, “y compris les installations gouvernementales, les communications, la fabrication critique, les technologies de l’information, et en particulier les soins de santé et Santé publique.”
Début 2022, le gang d’extorsion numérique Lapsus$ se lançait dans une frénésie de piratage intense, volant le code source et d’autres informations sensibles d’entreprises telles que Nvidia, Samsung, Ubisoft et Microsoft, puis divulguant des échantillons dans le cadre de tentatives d’extorsion apparentes. Lapsus$ a un talent sinistre pour le phishing et, en mars, il a compromis un sous-traitant ayant accès au service d’authentification omniprésent Okta. Les agresseurs semblaient être basés principalement au Royaume-Uni et, fin mars, la police britannique a arrêté sept personnes en association avec le groupe et en a inculpé deux début avril. En septembre, cependant, le groupe a repris vie, violant sans pitié la plate-forme de covoiturage Uber et apparemment le développeur de Grand Theft Auto Rockstar également. Le 23 septembre, la police britannique a déclaré avoir arrêté un jeune de 17 ans anonyme dans l’Oxfordshire qui semble être l’une des personnes précédemment arrêtées en mars en lien avec Lapsus $.
Le géant assiégé du gestionnaire de mots de passe LastPass, qui a traité à plusieurs reprises des violations de données et des incidents de sécurité au fil des ans, a déclaré fin décembre qu’une violation de son stockage en nuage en août avait conduit à un autre incident dans lequel des pirates avaient ciblé un employé de LastPass pour le compromettre. identifiants et clés de stockage cloud. Les attaquants ont ensuite utilisé cet accès pour voler les coffres-forts de mots de passe chiffrés de certains utilisateurs (les fichiers contenant les mots de passe des clients) et d’autres données sensibles. De plus, la société affirme que “du code source et des informations techniques ont été volés dans notre environnement de développement” lors de l’incident d’août.
Le PDG de LastPass, Karim Toubba, a déclaré dans un article de blog que lors des attaques ultérieures, les pirates avaient compromis une copie d’une sauvegarde contenant les coffres-forts des mots de passe des clients. Il n’est pas clair quand la sauvegarde a été effectuée. Les données sont stockées dans un “format binaire propriétaire” et contiennent à la fois des données non cryptées, comme les URL de sites Web, et des données cryptées, comme les noms d’utilisateur et les mots de passe. La société n’a pas fourni de détails techniques sur le format propriétaire. Même si le cryptage du coffre-fort de LastPass est fort, les pirates tenteront de se frayer un chemin dans les trésors de mots de passe en tentant de deviner les “mots de passe principaux” que les utilisateurs définissent pour protéger leurs données. Avec un mot de passe principal fort, cela peut ne pas être possible, mais des mots de passe principaux faibles pourraient être à risque Et puisque les coffres ont déjà été volés, les utilisateurs de LastPass ne peuvent pas arrêter ces attaques par force brute en changeant leur mot de passe principal. Les utilisateurs doivent plutôt confirmer qu’ils ont déployé l’authentification à deux facteurs sur autant de leurs comptes qu’ils peut, donc même si leurs mots de passe sont compromis, les attaquants ne peuvent toujours pas s’introduire. Et les clients LastPass devraient envisager de changer les mots de passe de leurs comptes les plus précieux et les plus sensibles.
