Cas I

Identifier, analyser et détailler dans le premier cas :

Comment cela s'est-il produit ?
Par le biais d'une attaque de phishing, qui est une méthode pour vous inciter à partager
vos mots de passe, numéros de carte de crédit et autres informations sensibles en se
faisant passer pour une institution de confiance dans un message électronique ou un
appel téléphonique.
Où les données compromises sont-elles envoyées ?
Une fois l'index et le fichier post.php analysés, on constate que les données sont
envoyées à un compte de courrier électronique
"ejercicio_modulo1@ciberinteligencia.es", qui à son tour renvoie les données de :
$message .= "Email : ".$_POST['username']. "\n" ;
$message .= "Password : ".$_POST['password']."\N" ;
$message .= "IP : ".$ip."\n" ;
Quels sont les comptes susceptibles d'avoir été compromis ?
Dans le cas 1, nous ne pouvons pas identifier les domaines concernés, mais nous
pouvons constater que les extensions d'entreprise au Royaume-Uni et en Espagne et
certains courriels malveillants en provenance d'Allemagne pourraient simplement être
des courriels créés pour détourner l'attention.
A l'intérieur, les personnes qui ont reçu les courriers
Comment les identifier ?
Pour les extensions de courrier électronique d'entreprise
j.roman.stelso@ficticy.co.uk
m.wils.keicher@ficticy.de
l.martin.fierre@ficticy.es
Cas II

Identifier, analyser et expliquer en détail dans le deuxième cas :

Comment cela s'est-il produit ?
Une fois que la première attaque a été menée et que les données nécessaires ont été
obtenues pour accéder aux comptes de courrier électronique de l'entreprise par
hameçonnage, l'attaquant procède à l'ouverture des comptes du service financier, ce qui
lui permet d'examiner les paiements à effectuer et de manipuler les informations.
Quelle méthode l'auteur de l'attaque aurait-il pu utiliser pour effectuer cette livraison
ciblée ?
Les sites de réseaux sociaux sont devenus une cible privilégiée pour le phishing en
raison des informations gratuites dont disposait l'attaquant pour identifier les personnes
travaillant au sein du département financier.
Nom : María Protector Fresco | Courriel : m.protector.fresco@ficticy.es | Fonction :
chef du service des salaires | Réseaux sociaux utilisés : Facebook, Twitter, Linkedin,
Instagram.
Nom : Juan Philips Todobene | Email : j.philips.todobene@ficticy.es | Position :
Payment and transfer manager | Réseaux sociaux utilisés : Facebook, Linkedin,
Infojobs.
Nom : Sofía Labial Guest | Email. s.labial.guest@ficticy.es | Poste : assistant de
paiement et de transfert | Réseaux sociaux utilisés : Facebook, Linkedin, Infojobs,
Tuenti.
Comme le montre ce cas, la plupart des fonctionnaires utilisent les réseaux sociaux, qui
fournissent des informations aux attaquants.
Comment aurait-il pu être utilisé ?
Dans les années 2000, le phishing s'est intéressé à l'exploitation des systèmes de
paiement en ligne. Il est devenu courant pour les hameçonneurs de cibler les clients des
services bancaires et de paiement en ligne, dont certains, après une enquête plus
approfondie, ont été correctement identifiés et associés à la banque qu'ils utilisaient
réellement. De même, les sites de réseaux sociaux sont devenus une cible privilégiée
pour l'hameçonnage, ce qui a attiré les fraudeurs car les données personnelles
enregistrées sur ces sites sont utiles pour l'usurpation d'identité.
Une note pertinente sur ce type d'attaque est la suivante : "En 2013, 110 millions de
dossiers de clients et de cartes de crédit des clients de Target ont été volés".
L'attaque utilisée était la suivante :
Spear phishing
Alors que la plupart des campagnes de phishing envoient des courriels de masse au plus
grand nombre de personnes possible, le spear phishing est une attaque ciblée.
L'hameçonnage ciblé (spear phishing) vise une personne ou une organisation spécifique,
souvent avec un contenu personnalisé pour la ou les victime(s). Nécessite une
reconnaissance avant l'attaque pour découvrir les noms, les postes, les adresses
électroniques et autres. Les pirates font des recherches sur Internet pour relier ces
informations à ce qu'ils ont découvert sur les collègues professionnels de la cible, ainsi
qu'aux noms et aux relations professionnelles des employés clés de leur organisation.
L'escroc crée ainsi un courrier électronique crédible.

Résumé de l'affaire
L'entreprise est attaquée par l'une des cyberattaques les plus courantes, le phishing, qui
consiste à usurper l'identité d'une entité ou d'une personne par le biais d'un courrier
électronique afin que la victime "morde à l'hameçon" et livre des informations
personnelles telles que des mots de passe ou des coordonnées bancaires, en l'occurrence
une fois que la première attaque a été percée. Le Spear phishing, qui est une attaque
ciblée, a permis de vulnérabiliser davantage le système de messagerie de l'entreprise, ce
qui a permis d'attaquer le service financier et de réclamer des paiements ou des
transferts sur des comptes privés avant que les funcionos ne se rendent compte qu'ils ont
effectué ces paiements sur des comptes qui n'étaient pas ceux de leurs fournisseurs ou
de leurs clients.

Cas III

Identifier, analyser et expliquer en détail dans le troisième cas :

Quel type de menace a été subi ?
La menace WannaCrypt (également connue sous le nom de WannaCry, WanaCrypt0r,
WCrypt ou WCRY) utilise généralement l'ingénierie sociale ou le courrier électronique
comme vecteur d'attaque principal, en s'appuyant sur les utilisateurs pour télécharger et
exécuter une charge utile malveillante.Cependant, dans ce cas unique, les auteurs du
ransomware ont utilisé un code d'exploitation publiquement disponible pour la
vulnérabilité.
Comment cela s'est-il produit ?
La menace se présente sous la forme d'un cheval de Troie dropper avec les deux
composants suivants :
Un composant tentant d'exploiter la vulnérabilité SMB CVE-2017-0145 sur d'autres
ordinateurs.
Le ransomware connu sous le nom de WannaCrypt
Le dropper tente de se connecter aux domaines suivants en utilisant l'API
InternetOpenUrlA() :
www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com
www [.] ifferfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com
Si la connexion aux domaines réussit, le dropper n'infecte plus le système avec un
ransomware et ne tente plus d'exploiter d'autres systèmes pour se propager ; il arrête
simplement l'exécution. Toutefois, si la connexion échoue, la menace continue de
supprimer le ransomware et crée un service sur le système.
Comment les logiciels malveillants se propagent-ils dans le réseau interne ?
Le mécanisme de propagation de WannaCrypt emprunte des exploits SMB publics
connus, qui ont armé ce ransomware ordinaire d'une fonctionnalité de type ver, créant
ainsi un vecteur d'entrée pour les machines non encore corrigées, même après la mise à
disposition du correctif.
Quelle vulnérabilité aurait pu être exploitée ?
WannaCry s'est propagé de manière agressive en utilisant la vulnérabilité Windows
EternalBlue, ou MS17-010. "EternalBlue est un bogue critique dans le code Windows
de Microsoft qui est au moins aussi vieux que Windows XP. La vulnérabilité permet
aux attaquants d'exécuter du code à distance en créant une requête pour le service de
partage de fichiers et d'imprimantes de Windows", explique Ondrej Vlcek, directeur
technique d'Avast, une société qui propose des solutions de sécurité informatique.
Les mesures d'atténuation qui peuvent être prises en cas d'incidents de ce type.
La plupart des navigateurs Internet permettent de vérifier si un lien est sûr, mais la
première ligne de défense contre le phishing est votre jugement. Apprenez à reconnaître
les signes de l'hameçonnage et essayez de pratiquer l'informatique en toute sécurité
lorsque vous consultez votre courrier électronique, lisez des messages sur Facebook ou
jouez à votre jeu en ligne préféré.
Une fois de plus, notre Adam Kujawa propose quelques-unes des pratiques les plus
importantes pour rester en sécurité :
N'ouvrez pas les courriels provenant d'expéditeurs inconnus.
Ne cliquez pas sur un lien dans un courriel si vous ne savez pas exactement où il vous
mène.
Pour appliquer cette couche de protection, si vous recevez un courriel d'une source dont
vous n'êtes pas sûr, accédez manuellement au lien fourni en tapant l'adresse du site web
légitime dans votre navigateur.
Recherchez le certificat numérique du site web.
Si l'on vous demande de fournir des informations sensibles, vérifiez que l'URL de la
page commence par "HTTPS" et non par "HTTP". Le "S" signifie "sûr". Ce n'est pas
une garantie qu'un site est légitime, mais la plupart des sites légitimes utilisent HTTPS
parce que c'est plus sûr. Les sites HTTP, même légitimes, sont vulnérables aux pirates
informatiques.
Si vous soupçonnez qu'un courriel n'est pas légitime, sélectionnez un nom ou une partie
du texte du message et utilisez un moteur de recherche pour vérifier s'il existe des
attaques de hameçonnage connues qui utilisent les mêmes méthodes.
Passez votre souris sur le lien pour vérifier s'il est légitime.
Comme toujours, nous recommandons l'utilisation d'un logiciel de sécurité anti-
malware. La plupart des outils de sécurité informatique sont capables de détecter si un
lien ou une pièce jointe n'est pas ce qu'il semble être. Ainsi, même si vous tombez dans
le piège d'une astucieuse tentative d'hameçonnage, vous ne finirez pas par partager vos
informations avec les mauvaises personnes.
Tous les produits de sécurité Malwarebytes Premium offrent une protection efficace
contre le phishing. Ils peuvent détecter les sites frauduleux et vous empêcher de les
ouvrir, même si vous êtes convaincu de leur légitimité.
Restez donc vigilants et soyez à l'affût de toute chose suspecte.
Voir tous nos rapports sur le phishing sur Malwarebytes Labs.
Recommandations et plan de continuité à mettre en œuvre par l'équipe de sécurité.
Sensibiliser les employés afin de minimiser le risque de fuite d'informations par le biais
de courriels, de vidéoconférences, de mémos internes, etc.
Rappel hebdomadaire à tous les employés de mettre à jour les systèmes en cas de mise à
jour et de vérifier et mettre à jour les logiciels antivirus sur les ordinateurs.
Examiner tous les ports ouverts sur l'internet et s'assurer que les ports sont strictement
nécessaires et, si possible, que les employés travaillent avec un VPN pour protéger les
communications. Il serait donc bon d'effectuer au moins des analyses de vulnérabilité du
réseau et de vérifier s'il existe des vulnérabilités dans le système.
Examiner les accès des utilisateurs et les limiter au strict nécessaire.
Mise à jour de tous les systèmes afin de les protéger contre d'éventuelles nouvelles
vulnérabilités.

JE T'AIME MON AMOUR, TU ES MA PLUS BELLE

CHANCE ET LE MEILLEUR DE MON EXISTENCE.