Pour de nombreuses entreprises, les « renseignements sur les menaces » ne sont que des indicateurs de compromission des données et des informations par rapport à des outils spécifiques de cybercriminalité. En réalité, les informations sur les menaces impliquent des connaissances beaucoup plus approfondies sur les auteurs des menaces, dont le suivi de leur activité sur le réseau. Cette information vous permet non seulement de savoir quelles techniques et méthodes les cybercriminels utilisent, mais en plus d’empêcher un crime informatique. Le cas de la banque centrale d’un pays d’Amérique latine l’illustre très clairement.
Que s’est-il passé
Alors que nous étudions une activité cybercriminelle, nos experts ont découvert qu’un groupe avait pu accéder au réseau de la banque. Les chercheurs ont immédiatement averti la victime, contacté Interpol et mené ensemble une enquête minutieuse sur cet indicent. La banque a ainsi pu éliminer les vulnérabilités au sein de l’infrastructure et empêcher des pertes financières. Nous ne pouvons malheureusement pas révéler les détails de l’incident et décrire comment les escrocs ont pu pénétrer dans le réseau de la banque.
Comment nos experts ont pu détecter l’activité des intrus
Certains cybercriminels ne s’occupent pas d’un cycle d’attaque complet, de l’analyse initiale de la cible au dernier mouvement (extraction des données ou des fonds, infection par un logiciel malveillant). Certains groupes se consacrent exclusivement à accéder à l’infrastructure des entreprises : une fois qu’ils sont dans le réseau, ils essaient de vendre l’accès aux personnes qui peuvent organiser une attaque sur le dark web ou aux utilisateurs de forums. Il y a aussi des courtiers d’accès initial (IAB) qui achètent les accès puis les revendent aux cybercriminels.
Alors que nous analysions les activités de criminels complètement différents, nos chercheurs ont découvert que quelqu’un recherchait des partenaires pour attaquer une banque et réaliser une cyberfraude. Ils ont partagé certaines informations pour prouver qu’ils avaient accès à l’infrastructure de la banque et c’est ce qui a permis à nos experts d’identifier la cible et d’empêcher l’attaque.
Comment les informations sur les menaces peuvent aider une entreprise
Dans ce cas, nos experts ne cherchaient pas les signes d’une attaque visant une banque spécifique. Cette banque n’était même pas notre cliente. Pourtant, nos outils permettent de suivre les menaces d’une organisation en particulier. Notre portfolio Threat Intelligence inclut un service d’analyse de l’empreinte numérique qui permet de dresser un « portrait numérique » dynamique d’une organisation puis de suivre tous les symptômes dangereux grâce à des sources publiques sur le dark web et sur le deep web. Ces informations vous permettent parfois d’éviter certains incidents informatiques graves.
De plus, pour vous protéger contre les attaques sophistiquées, nous nous conseillons d’utiliser certains services comme notre solution Managed Detection and Response. Elle permet à votre équipe responsable de la cybersécurité de demander de l’aide à des experts externes pour détecter et arrêter les attaques complexes à un stade précoce au sein de l’infrastructure de l’entreprise.