Sécuriser son tenant M365 : une nécessité face aux ransomwares
novembre 29, 2024
2 minutes de lecture
Le groupe Black Basta utilise désormais Microsoft Teams comme vecteur d’intrusion initial pour mener ses attaques. D’après un rapport de la société OP Innovate, voici leur mode opératoire :
– Inondation de spams : les cybercriminels commencent par envoyer de nombreux emails de spam, souvent sous forme de bulletins d’information ou de confirmations d’inscriptions. Cela rend les adresses emails des victimes inutilisables.
– Ingénierie sociale via Teams : les attaquants passent ensuite à l’attaque via Microsoft Teams, se faisant passer pour des services d’assistance sous des noms comme « Help Desk » ou « Security Admin Helper ». Ils incitent les utilisateurs à accepter une « assistance à distance ».
– Compromission du système : une fois l’accès accordé, les attaquants installent leurs outils d’attaque, comme Cobalt Strike, permettant de prendre pied sur le réseau de la victime.
Ce mode opératoire est d’autant plus dangereux que Teams est souvent moins surveillé par les outils de sécurité classiques. Cela permet aux attaquants de contourner plus facilement certaines protections traditionnelles.
Pourquoi sécuriser son tenant M365 est essentiel
Il est donc essentiel de procéder à un paramétrage de sécurité de votre tenant. Suivant le référentiel du CIS qui fait référence en la matière, plus de 100 points de contrôle de sécurité sont à vérifier. Cela permet de définir une posture de sécurité adaptée aux besoins spécifiques de l’organisation et aux risques encourus.
Dans le cas du mode opératoire de Black Basta, c’est le paramètre relatif aux règles de communications externes avec d’autres tenants qui est à sécuriser. Dans les incidents traités par Breizh Cyber, nous avions déjà relevé l’installation d’applications tierces sur les comptes utilisateurs comme mode opératoire d’attaque.
Pour vous aider dans cette démarche, le référentiel CIS Microsoft 365 Benchmarks offrent une liste de bonnes pratiques et de recommandations pour renforcer la sécurité de votre tenant M365.
Source du rapport : Black Basta UsesMS Teams for Social Engineering Ransomware
Partager :