La cybercriminalité est de loin le réseau de criminalité en col blanc qui connaît la croissance la plus rapide au monde. Les cybercriminels ont été proactifs en exploitant les failles de sécurité sur les sites des petites entreprises car ils manquent souvent de compétences internes pour gérer leur TI. ou des services de cybersécurité. Les cybercriminels ont utilisé plusieurs tactiques pour cibler les données de fichiers QuickBooks (progiciel de comptabilité) sur les petites et moyennes entreprises (PME) au cours des derniers mois et compromettre leurs victimes.
Selon l’analyse récente, les attaquants ont utilisé l’usurpation d’identité, le phishing, les fraudes au PDG et d’autres techniques en une seule tentative pour déployer des logiciels malveillants.
Selon les sources de ThreatLocker, les violations sont principalement ciblées par deux types d’attaques de phishing pour accéder aux bases de données QuickBooks et aux informations sensibles les plus protégées du client. Tout d’abord, les attaquants envoient une commande PowerShell qui s’exécute à l’intérieur du courrier électronique malveillant. Dans le second, ils envoient un document Word par e-mail qui commence par un e-mail de phishing qui compromet l’installation de logiciels malveillants. Si le destinataire accède au document joint, un lien dans ce document télécharge le fichier sur sa machine (technique de phishing). Une fois que le fichier exécutable s’exécute, il obtient le dernier emplacement du fichier QuickBooks enregistré de la victime, pointe vers le partage de fichiers ou le fichier local et peut accéder à toutes les informations à travers lesquelles les attaquants ont ce fichier requis.
Les cybercriminels peuvent facilement avoir accès pour acheter ces bases de données QuickBooks sur le Dark Web et lancer des attaques. Selon les données de Barracuda Networks, 43% des organisations de toutes tailles déclarent avoir été victimes d’une attaque de spear-phishing au cours des 12 derniers mois, et seulement 23% déclarent avoir mis en place une protection dédiée au spear-phishing.
Danny Jenkins (PDG de ThreatLocker) dit que les attaquants téléchargent et stockent généralement la plupart des fichiers volés sur Cloud ou Amazon Web Services en tant que point de transfert temporaire. À partir de là, ils vendent les informations sur le Dark Web, où d’autres cybercriminels achètent les informations pour lancer des attaques plus ciblées sur d’autres bases de données QuickBooks sur les clients et les fournisseurs des organisations victimes. De nombreux e-mails sont des factures et des CV, bien que des millions de dollars de cybercriminalité soient causés par ces types d’attaques.
Dans un article récent, Danny Jenkins a également ajouté que ces cybercriminels attaqueraient tous les angles possibles. Les cybercriminels peuvent facilement acheter ces bases de données QuickBooks sur le Dark Web et lancer des attaques. Ces attaques visent spécifiquement le PDG et uniquement les personnes ayant accès aux recherches et à la propriété intellectuelle de l’entreprise, ce qui montre une attaque bien planifiée et exécutée. Les pirates ciblent également les cabinets comptables et les logiciels pour obtenir un accès privilégié aux informations sensibles les plus protégées de leurs clients. QuickBooks a un défaut fondamental – Lorsqu’un administrateur exécute une «réparation» sur la base de données QuickBooks après une panne du système, toutes les autorisations de partage de fichiers peuvent être réinitialisées, laissant la base de données accessible à tous dans l’entreprise. Par conséquent, si des pirates informatiques pénètrent dans le système après une réparation, ils peuvent accéder à toutes les autorisations, y compris le comptable et le directeur commercial de l’entreprise.
Les PME recommandées doivent contrôler si les scripts PowerShell peuvent être exécutés avec les droits et autorisations de l’utilisateur actuel. De telles attaques peuvent être bloquées par des mots de passe forts, des fichiers cryptés, une identification à deux facteurs et une protection minutieuse de l’accès au compte pour empêcher les attaques de phishing, des certificats de signature d’e-mails qui permettent des signatures d’e-mail, ce qui peut également être bénéfique.
Pendant ce temps, les PME doivent faire le premier pas pour reconnaître qu’une cyberattaque se produira de temps en temps. Bien qu’ils ne soient pas trop petits pour être intéressants. L’intérêt des pirates est de faire en sorte que les informations de la PME sur leurs clients correspondent aux plus grandes cibles de l’entreprise – qu’il s’agisse de clients ou de fournisseurs de la PME.