Cyber threats
Barometer
Éclairage du mois
En juin 2024, Snowflake, un important fournisseur de gestion de données cloud, a été ciblé par une attaque coordonnée attribuée au groupe de cybercriminels UNC5537. Les pirates ont exploité des identifiants de connexion volés pour infiltrer des comptes clients de Snowflake, réussissant à exfiltrer des données sensibles. Selon les informations disponibles, les cybercriminels ont acquis ces informations d’identification soit via l’utilisation d’infostealers sur des systèmes externes à Snowflake, soit en exploitant leur disponibilité sur le dark web, à la suite de piratages antérieurs. Une fois l’accès aux comptes obtenu, les attaquants ont exfiltré des données sensibles et ont tenté d’extorquer les entreprises affectées en menaçant de divulguer les informations volées. Comme il est courant dans ce type d’opérations, les données compromises ont également été mises en vente sur des forums cybercriminels, tels que BreachForum.
La société de sécurité Mandiant, en collaboration avec Snowflake, a contacté 165 organisations potentiellement affectées par l’attaque. Parmi ces entités, des entreprises de renom telles que Ticketmaster, Santander Bank et Mitsubishi ont été citées. Snowflake travaille activement avec les clients concernés pour minimiser l’impact de l’incident et maintient que la sécurité de sa plateforme ainsi que de ses systèmes internes demeure robuste. Mandiant a analysé les méthodes utilisées lors de l’attaque et a conclu que les techniques du groupe UNC5537 n’étaient pas particulièrement sophistiquées. Les comptes visés manquaient non seulement d’authentification multifactorielle (AMF), mais aussi de restrictions d’accès réseau, permettant ainsi aux pirates de se connecter facilement depuis n’importe quel endroit. L’entreprise prévoit que UNC5537 pourrait continuer à exploiter cette approche pour cibler d’autres services SaaS, tant que les mesures de sécurité comme l’AMF ne sont pas systématiquement mises en œuvre. Le 17 juin, elle a également publié un guide de recherche de menaces pour aider les organisations à détecter des activités anormales et non autorisées dans leurs instances Snowflake.
TOP
VULNÉRABILITÉS CRITIQUES (%)
TOP
SECTEURS D’ACTIVITÉ VISÉS (%)
Définitions du mois
L’authentification multi-facteur est une méthode de sécurité qui requiert que les utilisateurs fournissent au moins 2 preuves distinctes justifiant leur identité avant d’accéder à un compte ou à un système. Ces preuves peuvent provenir de différentes catégories : une information que l’utilisateur est le seul à connaitre (un mot de passe ou un code PIN), un dispositif que l’utilisateur possède (un téléphone ou un jeton de sécurité), ou une caractéristique biométrique qui est inhérent à l’utilisateur (empreinte digitale ou reconnaissance faciale).
L’AMF est conçue pour renforcer la sécurité en combinant plusieurs obstacles à l’entrée, ce qui rend beaucoup plus difficile pour un attaquant d’accéder illégalement aux systèmes et données sensibles.
TOP
FAMILLES DE MALWARE (%)
TOP
CATÉGORIES DE MENACES (%)
À propos du cyber threats barometer
Malwares, vulnérabilités critiques, attaques persistantes avancées, secteurs particulièrement visés, signaux faibles de menaces émergentes… Ce n’est un secret pour personne, la connaissance de son environnement cyber est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.
Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de quatre milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.