L'erreur humaine au cœur des récentes attaques de ransomware contre des géants de la distribution au Royaume-Uni

Plusieurs attaques récentes de ransomware contre des détaillants britanniques montrent que l'erreur humaine est un facteur primordial dans les atteintes à la cybersécurité. Des incidents récents impliquant Marks & Spencer (M&S), Harrods et Co-op montrent que le risque humain joue un rôle essentiel dans la réalisation de ces attaques. Si les vulnérabilités techniques contribuent au problème, le facteur sous-jacent reste souvent le comportement humain, qu'il s'agisse d'informations d'identification compromises ou de protocoles de service d'assistance exploités. 

Marks & Attaque de Spencer : Perturbations prolongées et retombées pour les fournisseurs 

Le géant britannique du commerce de détail Marks & Spencer a travaillé ce mois-ci pour faire face aux retombées d'une importante attaque de ransomware. L'incident est attribué aux acteurs de la menace connus sous le nom de Scattered Spider. L'attaque a perturbé les systèmes de paiement, interrompu les commandes en ligne et contraint des centaines d'employés d'entrepôts à rester chez eux. À l'heure où nous écrivons ces lignes, les commandes en ligne restent interrompues et l'entreprise a retiré les offres d'emploi de son site web et interrompu ses efforts de recrutement. Certains magasins ont dû faire face à des pénuries de nourriture, certains systèmes ayant été mis hors ligne pour gérer l'attaque. Des fournisseurs, dont Greencore et Nails Inc. ont déclaré à la BBCqu'il y avait eu des perturbations et que certains avaient eu recours à des processus manuels pour répondre à la demande. Si les vulnérabilités techniques ont joué un rôle, la cause première réside dans le risque humain, et plus précisément dans l'exploitation des informations d'identification des employés.

Selon plusieurs rapports, les attaquants ont pénétré dans les systèmes de l'entreprise en obtenant le fichier NTDS.dit d'un contrôleur de domaine Windows, qui contient des informations d'identification hachées. Ces informations d'identification ont probablement été obtenues par des tactiques d'ingénierie sociale, telles que le phishing ou l'authentification multifactorielle (AMF), où les utilisateurs sont submergés de demandes d'AMF jusqu'à ce qu'ils en approuvent une par inadvertance. 

 Le bilan financier de l'attaque M&S est lourd. Les perturbations des commandes en ligne ont coûté à l'entreprise environ 3,8 millions de livres sterling par jour, tandis que l'incident plus général a potentiellement effacé 500 à 700 millions de livres sterling de sa valeur marchande. Le cours de l'action de la société a chuté de plus de 14% jours après l'attaque. Les dommages mettent en évidence la façon dont l'intersection de l'erreur humaine et du ransomware peut avoir des conséquences catastrophiques pour les entreprises. 

L'ingénierie sociale conduit à l'accès au réseau et au vol de données dans une coopérative L'incident débloque l'accès au réseau 

Co-op, un autre grand détaillant britannique, a également été pris pour cible ce mois-ci. Les cybercriminels ont exploité les vulnérabilités humaines en ciblant directement le personnel informatique. Selon les rapports, les attaquants ont utilisé des techniques d'ingénierie sociale pour convaincre les travailleurs informatiques de réinitialiser le mot de passe d'un employé légitime, permettant ainsi un accès non autorisé à des systèmes critiques. Une fois à l'intérieur, les attaquants se sont déplacés latéralement dans le réseau, obtenant un accès plus approfondi et récoltant potentiellement des données sensibles, y compris des parties de la base de données des membres. 

L'impact de l'attaque est sévère dans les îles écossaises, où Co-op est le principal détaillant de produits alimentaires. De nombreux magasins disent faire face à des pénuries de produits frais, notamment de lait, de fruits et de légumes. Les livraisons aux magasins du Royaume-Uni ont été interrompues en raison de l'impact de l'attaque sur les systèmes logistiques de Co-op. 

Pour contenir la menace, Co-op a pris des mesures proactives telles que la désactivation partielle de l'accès à l'internet, l'obligation pour les employés de garder leur caméra allumée pendant les réunions et la consigne de vérifier l'identité des participants lors des appels. Ces actions reflètent une approche à plusieurs niveaux visant à atténuer les mouvements latéraux potentiels une fois qu'une brèche a été ouverte. 

Le Centre national de cybersécurité (NCSC) a également publié des conseils à la suite de ces attaques, conseillant aux détaillants de renforcer les procédures de réinitialisation des mots de passe du service d'assistance afin de réduire le risque de violations similaires. Ces conseils interviennent alors que les groupes de ransomware continuent à faire évoluer leurs tactiques. Selon le dernier rapport de la Coalition, les demandes de rançon ont diminué de 22% en 2024, s'élevant en moyenne à 1,1 million de dollars, la seconde moitié de l'année ayant vu les demandes passer sous la barre du million de dollars pour la première fois depuis plus de deux ans. Cette baisse est attribuée à un changement de stratégie, les attaquants se concentrant de plus en plus sur le vol de données plutôt que sur l'extorsion basée sur le chiffrement, ce qui souligne la nécessité d'adopter des pratiques robustes en matière de protection des données.

Le commerce de détail attaqué : Harrods également attaqué par des acteurs de la menace 

Harrods, le grand magasin de luxe emblématique du Royaume-Uni, a également confirmé récemment avoir été la cible d'une cyberattaque. En réponse aux tentatives d'accès non autorisé, Harrods a restreint de manière proactive l'accès à Internet sur l'ensemble de ses sites, y compris son magasin phare de Knightsbridge et sa plateforme en ligne, afin de protéger ses systèmes. Bien que l'entreprise n'ait pas divulgué de détails spécifiques sur la violation, elle a confirmé que des tactiques d'ingénierie sociale étaient impliquées.

Cibles humaines, acteurs humains. Scattered Spider et DragonForce : Une alliance d'attaque centrée sur l'homme 

Les acteurs de la menace à l\'origine de ces attaques seraient connus sous le nom de Scattered Spider et seraient liés à DragonForce, un groupe de ransomware qui opère en tant que fournisseur de Ransomware-as-a-Service (RaaS). DragonForce a revendiqué les attaques contre M&S, Co-op et la tentative de piratage contre Harrods. Les experts en sécurité pensent que si DragonForce fournit l\'infrastructure du ransomware, Scattered Spider fait partie des affiliés qui l\'utilisent pour mener des attaques. Selon l\'agence américaine de cybersécurité et de sécurité des infrastructures (CISA), plutôt que de s\'appuyer sur des exploits techniques, ces groupes manipulent les employés par le biais de tactiques telles que les attaques par fatigue MFA, l\'échange de cartes SIM, l\'usurpation de l\'identité du personnel d\'assistance informatique et les attaques par phishing. L\'accent mis sur l\'exploitation du comportement humain plutôt que des systèmes les distingue des groupes de ransomware plus traditionnels. De nombreux groupes de ransomware s\'éloignent de plus en plus des malware pour se concentrer sur le vol de données sensibles et d\'informations d\'identification à des fins d\'extorsion ou de vente sur des forums du dark web. Cette évolution reflète une préférence croissante pour des méthodes moins détectables et plus polyvalentes, même si les malware restent un outil pour certains.

Les méthodes de Scattered Spider consistent souvent à créer des vagues d'attaques ciblant plusieurs organisations au sein d'un même secteur d'activité. En fait, le NCSC a publié un blog indiquant que le secteur du commerce de détail devrait se tenir sur ses gardes face aux attaques de ransomware et prendre des mesures pour en atténuer le potentiel. 

Le modèle de Scattered Spider vise à maximiser les perturbations et l''attention du public, en exploitant le risque humain comme point central de compromission. Leur collaboration avec des groupes tels que DragonForce leur permet d''intensifier rapidement leurs efforts, en combinant le phishing agressif et le vol d''informations d''identification avec le déploiement de ransomware. Découvrez des exemples de techniques utilisées pour obtenir un accès par l''équipe de renseignement sur les menaces de Mimecast. 

Une étude récente de Mimecast révèle que 95% des violations de données sont causées par une erreur humaine et que seulement 8% des employés sont responsables de 80% des incidents de sécurité. Les organisations doivent donner la priorité à l'identification des personnes à haut risque et à la mise en œuvre d'une formation ciblée pour atténuer ces vulnérabilités. En outre, plus de 90% des menaces étant transmises par courrier électronique, il est essentiel de se concentrer sur le blocage de ces points d'entrée afin d'empêcher les attaquants d'accéder aux informations d'identification et de se déplacer latéralement au sein des systèmes. Les responsables de la sécurité peuvent prendre les mesures suivantes pour réduire les vulnérabilités et renforcer les défenses contre les attaques de ransomware. 

• Renforcer les protections avant l'accouchement. Arrêtez les ransomwares avant qu'ils n'atteignent les utilisateurs en mettant en œuvre des systèmes robustes de détection des menaces. Concentrez-vous sur le filtrage des courriels de phishing, des pièces jointes malveillantes et des sites web frauduleux afin de minimiser les points d'entrée pour les attaquants. S'assurer que les menaces basées sur le courrier électronique sont bloquées est une étape fondamentale dans la prévention du vol d'informations d'identification et des mouvements latéraux. 
• Surveiller et comprendre les risques humains. Utilisez les données et les analyses pour identifier les personnes au sein de votre organisation qui pourraient être plus vulnérables aux cybermenaces. Prendre des mesures proactives pour faire face à leurs risques grâce à une connaissance du contexte et à des plans d'action adaptés. 
• Équiper et responsabiliser les employés. Proposez régulièrement des formations ciblées sur la cybersécurité et des rappels opportuns pour aider les employés à reconnaître les menaces et à y répondre. Encouragez les comportements tels que la vérification des demandes de réinitialisation de mot de passe et le signalement des activités suspectes dans le cadre des habitudes quotidiennes. 
• Appliquer des mesures de sécurité adaptatives. Développez des contrôles de sécurité flexibles qui s'adaptent aux niveaux de risque. Cela permet aux personnes ou aux scénarios à haut risque de bénéficier de protections supplémentaires sans alourdir l'ensemble des opérations. 
• Donner la priorité à la détection post-fraude. Veiller à ce que les activités internes suspectes soient étroitement surveillées. Détecter les comportements inhabituels, tels que les mouvements de données non autorisés ou les communications nuisibles, et y réagir rapidement afin d'éviter que les comptes compromis ne causent d'autres préjudices. 
• Assurer la résilience des données. Conservez des sauvegardes sécurisées et redondantes des informations et des fichiers essentiels. Concevez des systèmes qui permettent une restauration rapide des données, évitant ainsi le paiement de rançons et garantissant la continuité face aux attaques. 

Dernières réflexions : Du risque à la résilience 

Le Ransomware constitue une menace persistante, et les attaques récentes montrent que le comportement humain constitue souvent une vulnérabilité majeure. Pour renforcer les défenses, il faut mettre l'accent sur les mesures préventives, en dotant les employés des connaissances et des outils nécessaires pour réduire les erreurs et en surveillant de près toute activité inhabituelle. Mimecast renforce ces efforts en bloquant à la source plus de 90% des menaces basées sur le courrier électronique, empêchant ainsi les attaquants de s'implanter. En prenant en compte les risques humains et en adoptant une approche globale de la cybersécurité, les organisations peuvent réduire considérablement leurs chances d'être victimes d'attaques futures.