Si vous demandez à certains des plus grands leaders de la cybersécurité dans le domaine ce qui figure sur leur liste de préoccupations, vous ne vous attendez peut-être pas à ce que les adolescents qui s’ennuient soient une priorité. Mais ces dernières années, cette toute nouvelle génération de cybercriminels motivés par l’argent a provoqué certains des plus gros piratages de l’histoire et ne montre aucun signe de ralentissement.
Rencontrez les « adolescents persistants avancés », comme doublé par la communauté de la sécurité. Ce sont des hackers compétents et motivés par l’argent, comme Lapsus$ et Araignée disperséequi se sont révélés capables de pénétrer numériquement les chaînes d’hôtels, les casinos et les géants de la technologie. En utilisant des tactiques qui s’appuient sur des leurres crédibles par courrier électronique et des appels téléphoniques convaincants se faisant passer pour le service d’assistance d’une entreprise, ces pirates peuvent inciter des employés sans méfiance à divulguer leurs mots de passe d’entreprise ou leur accès au réseau.
Ces attaques sont très efficaces, ont provoqué d’énormes violations de données affectant des millions de personnes et ont donné lieu à d’énormes rançons payées pour faire disparaître les pirates. En démontrant des capacités de piratage autrefois limitées à seulement quelques États-nations, la menace que représentent les adolescents qui s’ennuient a amené de nombreuses entreprises à prendre conscience qu’elles ne savent pas si les employés de leurs réseaux sont vraiment ceux qu’ils prétendent être, et pas réellement. un pirate informatique furtif.
Du point de vue de deux vétérans de la sécurité, avons-nous sous-estimé la menace que représentent les adolescents qui s’ennuient ?
« Peut-être pas pour très longtemps », a déclaré Darren Gruber, conseiller technique au Bureau de la sécurité et de la confiance du géant des bases de données MongoDB, lors d’un panel sur scène à TechCrunch Disrupt mardi. « Ils ne se sentent pas aussi menacés, ils ne se trouvent peut-être pas dans les juridictions américaines, et ils ont tendance à être très techniques et à apprendre ces choses dans différents lieux », a déclaré Gruber.
De plus, un avantage automatique clé est que ces groupes menaçants ont également beaucoup de temps libre.
« C’est une motivation différente de celle des adversaires traditionnels que voient les entreprises », a déclaré Gruber à l’auditoire.
Gruber a une expérience directe de la gestion de certaines de ces menaces. MongoDB a connu une intrusion fin 2023 qui a conduit au vol de certaines métadonnées, comme les coordonnées des clients, mais aucune preuve d’accès aux systèmes ou bases de données des clients. La violation était limitée, selon tous les témoignages, et Gruber a déclaré que l’attaque correspondait aux tactiques utilisées par Scattered Spider. Les attaquants ont utilisé un leurre de phishing pour accéder au réseau interne de MongoDB comme s’ils étaient un employé, a-t-il expliqué.
Cette attribution peut aider les défenseurs du réseau à se défendre contre de futures attaques, a déclaré Gruber. « Cela aide de savoir à qui l’on a affaire », a-t-il déclaré.
Heather Gantt-Evans, responsable de la sécurité de l’information chez le géant de l’émission de cartes fintech Marqeta, qui s’est exprimée aux côtés de Gruber lors de TechCrunch Disrupt, a déclaré à l’auditoire que les motivations de ces groupes menaçants émergents d’adolescents et de jeunes adultes sont « incroyablement imprévisibles », mais que leur les tactiques et techniques n’étaient pas particulièrement avancées, comme l’envoi d’e-mails de phishing et la tromperie des employés des compagnies de téléphone pour qu’ils transfèrent le numéro de téléphone de quelqu’un.
« La tendance que nous observons concerne vraiment les menaces internes », a déclaré Gantt-Evans. « Il est beaucoup plus facile de se frayer un chemin par l’intermédiaire d’une personne que par le piratage informatique avec des logiciels malveillants élaborés et l’exploitation de vulnérabilités, et ils continueront à le faire. »
« Certaines des plus grandes menaces que nous étudions actuellement sont liées à l’identité, et de nombreuses questions se posent concernant l’ingénierie sociale », a déclaré Gruber.
La surface d’attaque ne se limite pas au phishing par courrier électronique ou par SMS, a-t-il déclaré, mais à tout système qui interagit avec vos employés ou vos clients. C’est pourquoi la gestion des identités et des accès est une priorité pour des entreprises comme MongoDB afin de garantir que seuls les employés accèdent au réseau.
Gantt-Evans a déclaré qu’il s’agit toutes d’attaques « à élément humain », et que, combinées aux motivations souvent imprévisibles des pirates informatiques, « nous avons beaucoup à apprendre », y compris les manières neurodivergentes dont certains de ces jeunes pirates pensent et opèrent.
« Ils ne se soucient pas du fait que vous n’êtes pas bon en mixage », a déclaré Gantt-Evans. « Nous, dans le domaine de la cybersécurité, devons également faire un meilleur travail pour accueillir les talents neurodiversifiés. »
/cdn.vox-cdn.com/uploads/chorus_asset/file/25603516/asusnucaipc.jpg?w=360&resize=360,180&ssl=1 "Les mini PC IA de Microsoft sont en route")
