Les cybercriminels vont là où les utilisateurs se trouvent et où ils ont le plus de chance de récolter de l’information utile à leurs yeux mais aussi de mener de nouvelles formes d’attaques sournoises que les DSI ne savent pas nécessairement parer. L’adoption croissante des disques en ligne comme OneDrive ou Dropbox par les utilisateurs et les entreprises focalise désormais leur attention.

Selon une nouvelle étude Proofpoint, les cybercriminels sont de plus en plus intéressés par le potentiel des disques en ligne pour porter des attaques. Attaques qui ne se limitent pas qu’à voler des identités pour accéder aux contenus de ces disques et y dérober des fichiers. Bien au contraire. Ils profitent de ces espaces de partage essentiels au travail collaboratif des entreprises pour se déplacer latéralement à l’intérieur d’une organisation, voler des identifiants, ou communiquer avec les partenaires commerciaux et clients afin de demander des virements bancaires frauduleux. Les attaquants y récupèrent des listes de contacts et peuvent ainsi étudier les relations de confiance et cartographier les organisations.
Plus encore, ils utilisent ces espaces comme de nouveaux vecteurs d’attaques capables d’héberger et distribuer du contenu malveillant permettant ensuite de mener des attaques de plus grande ampleur.

Des menaces extérieures provenant de l’intérieur

D’autant qu’au sein de ces espaces collaboratifs règne une certaine confiance. Les utilisateurs sont moins vigilants et anticipent moins les attaques qu’ils repèrent normalement lorsqu’elles sont liées à des emails ou des sites Web.

Ainsi, l’étude de Proofpoint montre que les utilisateurs sont sept fois plus susceptibles de cliquer sur des liens malveillants SharePoint Online et OneDrive qui sont hébergés sur des domaines Microsoft légitimes.

Au cours du premier semestre 2020, Proofpoint a détecté 5,9 millions de messages électroniques contenant des liens malveillants SharePoint Online et OneDrive. Bien que ces messages ne représentent que 1 % de l’échantillon total de messages contenant des URL malveillantes, ils représentent plus de 13 % des clics d’utilisateurs.

Selon l’étude, les utilisateurs auraient :
* Quatre fois plus de chances de cliquer sur des liens SharePoint malveillants
* 11 fois plus de chances de cliquer sur des liens OneDrive malveillants

Proofpoint note que ces messages spécialement créés pour intégrer des liens « apparaissant de confiance mais pourtant malveillant » ont été distribués à partir de plus de 5 500 « tenants » compromis.

Le phishing sur SharePoint commence généralement par un compte Office 365 compromis. Une fois en possession du contrôle du compte, l’attaquant charge un fichier malveillant sur Sharepoint et place les autorisations de partage du fichier en « Public » afin que le nouveau lien (de partage) anonyme puisse être partagé avec n’importe qui. L’attaquant peut ensuite envoyer le lien par email ou le partager avec les contacts de l’utilisateur. C’est en ouvrant le fichier et en cliquant sur le lien malveillant intégré que le piège se referme (éventuellement la diffusion d’un ransomware ou l’installation d’un malware, mais le plus souvent une redirection vers une page de Phishing).

D’un espace de partage à l’autre

La plupart des attaques sont souvent destinées à des déplacements latéraux au sein de l’espace de l’entreprise, donc de son tenant. Mais Proofpoint a aussi observé des attaquants hébergeant du contenu malveillant dans un seul tenant tout en utilisant un compte compromis comme celui d’un VIP dans un autre tenant. Partager le lien malveillant à partir du compte d’un utilisateur plus élevé dans la hiérarchie augmenterait les chances de succès des attaquants. En outre, même si le compte compromis dans le deuxième tenant est découvert, le fichier malveillant hébergé dans le premier ne sera pas supprimé permettant ainsi à l’attaque de persister.

Si SharePoint Online et OneDrive sont les services de partage les plus souvent exploités par les attaquants, ils ne sont pas les seuls. Proofpoint livre un Top 10 des sites de partage les plus souvent exploités par les cybercriminels :

Un classement qui révèle quelques surprises. Typiquement, Sway, la nouvelle application Microsoft pour la création et le partage de contenus interactifs (rapports, présentations, newsletters) à travers le Web, figure dans cette liste ! Autre surprise, Googleapis, un service d’hébergement de fichiers utilisés par les attaquants pour des escroqueries de support technique et plus encore, figure également en haut de liste devant Google Drive.

La plupart des responsables informatiques et sécurité n’ignorent pas et ne minimisent pas les risques associés aux disques en ligne partagés. Mais leur attention est souvent focalisée sur la fuite de données. Or, l’étude Proofpoint montre qu’aujourd’hui le danger de voir ces espaces hébergés être exploités pour mener toutes sortes d’attaques différentes est désormais aussi grand. Une information à ne pas négliger.