Cyber-extorsion : quand les cybercriminels se mettent au SaaS

Les groupes malveillants associés aux opérations des ShinyHunters ont considérablement élargi leur portée en ciblant les plateformes SaaS, passant d'une simple vol d'identifiants à l'exfiltration ciblée depuis des applications cloud. Mandiant suit ces activités sous les clusters UNC6661, UNC6671 et UNC6240.

Cette division de Google s'est ainsi penchée sur des activités « récentes s'apparentant aux opérations antérieures liées au groupe UNC6240, qui a souvent eu recours au vishing pour obtenir un accès initial et a ciblé les données de Salesforce. Elle marque toutefois une expansion en termes de nombre et de types de plateformes cloud ciblées, ce qui laisse supposer que les acteurs malveillants impliqués adaptent leurs méthodes afin de collecter davantage de données sensibles à des fins d'extorsion ». Car au-delà de Salesforce, SharePoint ou encore DocuSign sont également concernés.

L'analyse de Mandiant révèle une transition stratégique du simple vol d'identifiants vers l'exfiltration ciblée depuis les plateformes SaaS. Les attaquants exploitent désormais la confiance implicite que les organisations accordent à leurs propres applications cloud. Des applications qui permettent aux assaillants de lancer des requêtes pour identifier les données les plus sensibles et y concentrer leur attention.

La méthode est rodée : « UNC6661 s'est fait passer pour un membre du service informatique et a contacté par téléphone les employés des organisations ciblées, prétextant que l'entreprise procédait à une mise à jour des paramètres d'authentification à facteurs multiples (MFA). L'auteur malveillant a redirigé les employés vers des sites de collecte d'identifiants usurpant l'identité de la victime afin de récupérer leurs identifiants d'authentification unique (SSO) et leurs codes MFA, puis a enrôlé son propre appareil pour la MFA ».

Pour Mandiant, c'est là un axe prioritaire de prévention : « cette activité n'est pas due à une faille de sécurité dans les produits ou l'infrastructure des fournisseurs. Elle met plutôt en évidence l'efficacité de l'ingénierie sociale et souligne l'importance pour les organisations d'adopter, dans la mesure du possible, une authentification à facteurs multiplies résistante au phishing. Des méthodes telles que les clés de sécurité FIDO2 ou les clés de passe résistent à l'ingénierie sociale, contrairement à l'authentification par notification push ou par SMS. »