Les cybercriminels frappent par tous les moyens et semblent sans limite. Pour preuve, des serveurs Exchange compromis sont actuellement utilisés dans le cadre d’une vague d’attaques par e-mail particulièrement insidieuse. Sur le modèle du logiciel Emotet considéré comme l’un des plus dangereux du monde, les destinataires reçoivent de prétendues réponses à de réelles conversations de messagerie auxquelles ils ont bel et bien participé. En réalité s’y cachent des liens vers des logiciels malveillants. Subtilité : ces e-mails sont toutefois envoyés depuis des serveurs de messagerie légitimes du côté de l’expéditeur.
Ce qui rend extrêmement difficile le filtrage technique de ces messages et leur reconnaissance lors de la lecture. Selon les mises en garde de l’Office fédéral allemand de la sécurité des technologies de l’information (Bundesamt für Sicherheit in der Informationstechnik ou BSI), ces liens renvoient à divers logiciels malveillants, entre autres le fameux Quakbot qui s’avère particulièrement dangereux, ou encore DanaBot et SquirrelWaffle.
Problème de taille : les spécialistes du risque cyber ignorent comment les malfaiteurs obtiennent l’accès aux flux de messagerie et quelles sont concrètement les vulnérabilités de Microsoft Exchange exploitées pour servir cette nouvelle vague d’attaques. D’après le BSI, il est possible que les serveurs concernés soient déjà sous le contrôle de hackers depuis un certain temps sans qu’ils aient été détectés. Les données d’accès correspondantes seraient actuellement négociées sur Internet sur des marchés en ligne spécialisés. Grâce à leurs techniques avancées de simulation de messages authentiques, ces nouvelles attaques pourraient bien s’avérer encore plus « efficaces » que le cheval de Troie Emotet. Une gageure ! Petite « consolation » : le nombre de messages envoyés resterait bien plus faible… pour le moment.
En cas de suspicion de compromission de vos serveurs Exchange, les experts recommandent aux entreprises et organisations de réinstaller leurs serveurs Exchange, puis de rétablir les données. Dans ce cas précis et dans d’autres cas de figure, Retarus propose le service Email Continuity. Un service n’étant délibérément pas basé sur les produits Microsoft. Il met à disposition des boîtes de messagerie Webmail préprovisionnées et prêtes à fonctionner. Le routage peut être redirigé vers cette sauvegarde « active » dans des délais très courts.
Email Continuity est étroitement intégré à la solution Retarus Email Security, qui assure bien entendu également la protection totale des boîtes de messagerie extérieures. En cas de besoin, d’autres services de la Retarus Secure Email Platform restent disponibles, comme l’archivage ou le chiffrement des e-mails intégrés au sein de notre solution de basculement.
