Un botnet s’en prend actuellement à Microsoft. D’après les chercheurs de SecurityScorecard, un réseau de plus de 130 000 appareils compromis déploie des attaques à l’encontre des comptes Microsoft 365 situés dans le monde entier. Les offensives sont réparties sur différentes adresses IP. Cette précaution permet aux hackers de ne pas déclencher d’alerte de sécurité.
À lire aussi : Des hackers russes ont piraté Microsoft… grâce à un mot de passe peu sécurisé
Des attaques reposant sur des identifiants volés
Actif depuis décembre 2024, le botnet orchestre des attaques dites de pulvérisation de mot de passe (« password spraying » en anglais). Ce type d’offensive consiste à essayer des mots de passe couramment utilisés sur un grand nombre de comptes en simultané. En multipliant les tentatives de connexion, les cybercriminels finissent bien souvent par trouver la bonne combinaison.
Pour améliorer l’efficacité de leurs assauts, le botnet s’appuie sur des identifiants dérobés en amont par des virus infostealer (ou voleur d’informations). Cette catégorie de logiciels malveillants, de plus en plus exploités par les pirates, est uniquement conçue pour aspirer et exfiltrer des données personnelles des internautes, dont les identifiants et les mots de passe. En clair, le botnet teste des combinaisons déjà compromises pour voir si elles peuvent déverrouiller les comptes Microsoft 365.
« Les organisations doivent surveiller les fuites d’informations d’identification sur les forums clandestins et agir rapidement pour réinitialiser les comptes compromis », conseillent les experts de SecurityScorecard.
À lire aussi : Des milliers d’appareils piratés – un botnet exploite plus de 20 failles pour lancer des cyberattaques
Les pirates contournent l’authentification deux facteurs
Le botnet tente d’accéder aux comptes Microsoft en utilisant une méthode d’authentification simple, à savoir le traditionnel mot de passe, et en évitant l’authentification multifactorielle. Pour contourner le système de double authentification, les pirates ont trouvé une astuce.
Certaines organisations n’ont pas les moyens de détecter les attaques d’un botnet. En effet, certaines cibles se contentent de surveiller les connexions dites interactives, lors desquels l’utilisateur est impliqué. Elles ne peuvent par contre pas identifier les connexions non interactives, réalisées par des machines, comme celles qui constituent un botnet. Dans ce cas de figure, la tentative de connexion passe inaperçue. De facto, l’authentification multifactorielle ne se déclenche pas, ce qui ouvre la porte des cybercriminels aux comptes visés. Il suffit d’avoir les bons identifiants et le tour est joué.
« Cette technique contourne les protections de connexion modernes et échappe à l’application de l’authentification multifacteurs, créant ainsi un angle mort critique pour les équipes de sécurité », regrette SecurityScorecard.
Une fois les identifiants validés, ils peuvent servir à accéder à des services non protégés par l’authentification multifactorielle. Les données peuvent aussi être utilisées dans le cadre d’attaques de phishing, relatent les chercheurs.
Selon les chercheurs, le botnet est sous le commandement de pirates originaires de la Chine. Ils ont trouvé plusieurs indices indiquant que des cybercriminels chinois sont impliqués, dont le fuseau horaire utilisé sur les serveurs. Pour le moment, les experts n’ont pas pu remonter jusqu’à un gang en particulier.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : SecurityScorecard
