"Quakbot" à nouveau actif en Suisse
Les cybercriminels abusent de plus en plus des conversations légitimes par e-mail des entreprises comme prétexte pour diriger les victimes vers de prétendus liens. Les entreprises les plus touchées sont celles dont les collaborateurs directement contactés sont utilisés comme porte d'entrée pour des attaques de ransomware.
Ces dernières semaines, le Centre national de cybersécurité (NCSC) a indiqué que le maliciel "QuakBot" était à nouveau actif en Suisse. Quakbot (également connu sous le nom de "Qbot") est un cheval de Troie de cryptage qui peut être diffusé par courrier électronique. Les cybercriminels utilisent des conversations e-mail existantes qui sont tombées auparavant entre les mains des cybercriminels, comme l'indique le NCSC dans un communiqué. écrit. Il peut s'agir par exemple de conversations avec des fournisseurs ou des clients, qui sont utilisées comme porte d'entrée pour s'infiltrer discrètement dans les réseaux d'entreprise et diffuser ensuite un ransomware. Suite à une infection par Quakbot, les données de l'entreprise sont généralement cryptées et les entreprises sont invitées par les pirates à payer une rançon. Le NCSC déconseille vivement de payer une rançon et recommande plutôt de porter plainte directement auprès des autorités de poursuite pénale.
Pour les entreprises, le NCSC recommande en outre les mesures suivantes :
- Bloquez la réception de pièces jointes dangereuses sur votre passerelle de messagerie, y compris les documents Office contenant des macros. Une recommandation de messages à bloquer
Les fichiers joints sont disponibles sur www.govcert.ch/downloads/blocked-filetypes.txt. - Si votre entreprise n'utilise pas Microsoft OneDrive à des fins professionnelles,
le NCSC recommande d'interdire, au moins temporairement, l'accès à Microsoft OneDrive (onedrive.live.com) sur le périmètre de sécurité (par ex. pare-feu, proxy web, etc.) à bloquer. - Bloquez l'accès aux serveurs C&C botnet QakBot connus sur votre périmètre de sécurité (par ex. pare-feu, proxy web, etc.) à l'aide de la liste de blocage de Feodo-Tracker.
- Bloquez l'accès aux sites web sur votre périmètre de sécurité (par ex. pare-feu, proxy web, etc.) qui sont actuellement utilisés pour la diffusion de logiciels malveillants.