Des botnets au phishing : perspectives sur l’univers des menaces en 2020

Pour Aamir Lakhan, Global Security Strategist et Chercheur chez Fortinet, avec les changements sans précédent résultant du COVID-19 et touchant de multiples secteurs d’activité, l’univers des menaces en 2020 se distingue foncièrement de tout ce que nous avons connu jusqu’à présent. L’imprévu est devenu une réalité dans le secteur de la cybersécurité en 2020, avec des changements rapides dans l’architecture des réseaux et dans les stratégies d’attaque.

Aamir-Lakhani-Botnet-au-phishing

Aamir Lakhan, Global Security Strategist et Chercheur chez Fortinet

Alors que la pandémie du COVID-19 continue à peser sur les entreprises et les individus dans le monde, les menaces ont gagné en virulence et en complexité. Nombre d’entreprises rencontrent un réel défi lorsqu’il s’agit d’attribuer des ressources suffisantes à la gestion et à la maîtrise de ces menaces versatiles et toujours plus nombreuses. D’autant que ces entreprises ont dû subir une généralisation soudaine du télétravail.  

Les décisionnaires doivent appréhender la versatilité des cybermenaces actuelles en misant sur une veille actualisée sur les menaces et investir dans les ressources nécessaires pour protéger une surface d’attaque qui s’est élargie et qui le restera. Aujourd’hui, les mutations au sein de l’univers des menaces s’opèrent à grande échelle tandis que les risques associés à la transformation récente des réseaux sont plus importants que jamais. Dans ce contexte, la veille sur les menaces se doit d’être plus précise et décisionnelle que jamais. Les perspectives qui suivent sur les menaces soulignent la capacité d’adoption des cybercriminels et leur volonté de tirer avantage des vulnérabilités actuelles pour perpétrer leurs exactions.

Tirer parti des technologies résidentielles en tant que passerelle vers l’entreprise

Dans le passé, les équipes de sécurité se focalisaient essentiellement sur la protection des utilisateurs contre les menaces applicatives et réseau, ainsi que sur la protection des ressources connectées et présentes au sein du périmètre réseau. Aujourd’hui, ce n’est plus le cas. La pandémie actuelle a entraîné un bond dans l’utilisation des objets connectés, des réseaux résidentiels et des dispositifs (routeurs, modems…) grand public. Ceci, les cybercriminels l’ont parfaitement compris. Le recours massif au télétravail a attiré leur attention sur la sécurité des dispositifs personnels se connectant aux réseaux corporate (smartphones, tablettes, portables et PC fixes). Pour les assaillants, la croissance à marche forcée du télétravail est devenue l’opportunité d’infecter les dispositifs personnels, voire de les utiliser en tant que passerelle vers les réseaux corporate. Ces derniers deviennent vulnérables et les chercheurs en sécurité assistent à la constitution de botnets de grande envergure, capables d’exécuter des attaques DDoS ou d’inoculer des malware dont l’objectif final est de cibler l’entreprise.

Au fil du temps, les cybercriminels ont affûté leurs connaissances des technologies, et la protection des dispositifs disséminés est devenue plus complexe que jamais. En utilisant des outils basés sur l’intelligence artificielle et le machine learning, les cybercriminels tirent parti d’une surface d’attaque qui s’étend et contournent les lignes de défense traditionnelles. Face à ces évolutions dans les méthodes et technologies d’attaque, les équipes IT luttent pour garder une longueur d’avance sur les ransomware et le phishing qui comptent parmi les méthodes utilisées pour pirater les dispositifs IoT résidentiels.

Les attaques par ransomware gagnent en sophistication

Les attaques par ransomware ont toujours été problématiques pour les entreprises. Mais sur les derniers mois, elles deviennent encore plus prévalentes, mais aussi coûteuses en termes d’indisponibilité et de dommages. Pourquoi ce ransomware qui existe depuis tant de temps constitue-t-il un défi toujours plus complexe ? Simplement parce que les assaillants peuvent accéder très simplement à cette menace via les marketplaces du DarkNet. De nouvelles technologies de ransomware, et notamment le ransomware-as-a-service, sont proposées de manière très économique et simple à déployer.

Des ransomware ont été identifiés comme étant dissimulés au sein de messages, de fichiers joints et de documents liés au COVID-19. Et ces menaces continuent à gagner en sophistication, ce qui permet aux cybercriminels de garder une longueur d’avance. Trois échantillons spécifiques de ransomware ont été identifiés : NetWalker, Ransomware-GVZ et CoViper. CoViper se montre le plus problématique, puisqu’il réécrit le MBR (master boot record) des ordinateurs avant de chiffrer les données. Notre équipe a observé plusieurs attaques utilisant des outils de suppression du MBR associés à des ransomware pour s’en prendre aux PC ciblés : cette stratégie se veut ainsi particulièrement aggressive.

Vers la fin du premier trimestre de cette année, dans plusieurs cas identifiés, des groupuscules financés par des états ont ciblé des organisations impliquées dans la recherche sur le COVID-19 aux États-Unis et dans d’autres pays. De plus, les assaillants ont migré des données confidentielles vers des serveurs publics en menaçant de les divulguer si aucune rançon n’est réglée. Une façon de mettre à l’amende les organisations victimes qui souhaiteraient restaurer leurs systèmes eux-mêmes plutôt que de se plier aux exigences des malfaiteurs.

Alors que ces menaces évoluent, les équipes de sécurité doivent disposer d’une veille en temps réel pour être à jour des toutes dernières tendances en matière de menaces et de leurs méthodes. Ceci implique notamment d’être au courant des outils utilisés par les cybercriminels pour maximiser l’impact de leurs attaques, notamment les réseaux sociaux et les moteurs de recherche du Darknet. Et il s’agit également de modifier les stratégies en cours. Les organisations sont tenues de chiffrer toutes leurs données, qu’elles soient en transit ou stockées, et ainsi contrer les nouvelles stratégies d’attaque.

Le phishing évolue avec le Machine Learning

Nombre d’attaques de phishing du passé étaient peu sophistiquées et faciles à juguler. Basées sur des arnaques, elles employaient des techniques d’ingéniérie sociale pour détourner les identifiants d’utilisateurs peu méfiants, souvent par email. Dans d’autres cas, un message personnalisé était utilisé pour convaincre les victimes de cliquer sur un lien installant un malware et ouvrant l’accès à des données sensibles.

Ces attaques sont de plus en plus utilisées dans le cadre d’attaques sur les services cloud ou les applications sur site. De récentes tactiques de phishing ont gagné en sophistication et ont évolué pour cibler les points faibles de l’edge réseau. Les collaborateurs d’entreprise sont aujourd’hui plus sensibilisés sur les dangers de l’email et prennent davantage de précautions vis-à-vis de liens paraissant suspects. Les assaillants ont donc commencé à modifier leur approche. Ainsi, les réseaux résidentiels peu sécurisés et les néo-télétravailleurs vulnérables sont devenus la cible de cybercriminels enclins à détourner leurs informations personnelles et à cibler les réseaux corporate auxquels se connectent les travailleurs distants.  

Pour aller plus loin, retour sur notre sur notre dossier : Cybersécurité : Le nouvel élan collectif

Les cyberscriminels sont également nombreux à faire appel au machine learning pour concevoir, tester et distribuer des messages proposant des contenus visuels réalistes et capables de déclencher une certaine détresse émotionnelle chez les destinataires. Différentes versions d’une attaque sont ainsi été analysées pour définir la méthode la plus efficace. On note parmi les nouvelles attaques par phishing des escroqueries visant à aider les personnes ciblées à encaisser des chèques, à proposer des fournitures médicales et des équipements de protection personnelle difficiles à trouver, ou à offrir un support aux collaborateurs distants.

La majorité de ces attaques de phishing contiennent des éléments malveillants (ransomware, virus ou Chevaux de Troie) conçus pour offrir aux criminels un accès distant aux dispositifs personnels dans l’optique de perpétrer des exploits RDP (remote desktop protocol).

Notre équipe a également identifié une progression inquiétante du phishing web, avec une résurgence des menaces de la famille HTML/Phishing entre janvier et mai 2020. Des versions HTML similaires – /ScrInject (attaque par scripts sur les navigateurs) et /REDIR (redirection d’URL dans les navigateurs) – ont aussi contribué à la progression des tentatives de phishing cette année. Les malware Web ont tendance à contourner les programmes antivirus communs pour améliorer les chances d’infection.

Les professionnels de la sécurité doivent aussi intégrer l’idée que les navigateurs sont devenus un vecteur majeur d’infection par les malware. Cette tendance, appelée à se poursuivre l’an prochain, fait écho à la baisse constate du trafic web d’entreprise, qui est généralement inspecté et protégé, et à l’essor du trafic Web depuis les domiciles en raison du télétravail. Cette nouvelle orientation valide la pertinence des méthodes d’attaque des cybercriminels ciblant des réseaux moins sécurisés. Pour cette raison, les entreprises doivent sensibiliser leurs télétravailleurs et les inciter à sécuriser leurs réseaux personnels et le réseau corporate auquel ils se connectent. Elles doivent également déployer des outils supplémentaires, à l’instar de l’EDR (endpoint detection and response ) capables de détecter et neutraliser les menaces évoluées.

Fenêtre sur l’avenir

La pandémie du COVID-19 vient valider ce que nombre de professionnels de la sécurité constatent depuis un certain temps déjà : une cybersécurité efficace exige une vigilance permanente et une capacité de s’adapter à des stratégies versatiles de lutte contre les menaces. La sécurité aurait certes dû être une priorité absolue depuis le début, mais il n’est néanmoins jamais trop tard pour investir dans des solutions étendues, sophistiquées et flexibles, d’autant que les cybercriminels modifient leurs méthodes d’attaque pour tirer parti des dispositifs personnels en tant que passerelle vers les réseaux d’entreprise. Dans cette optique, la protection des systèmes et des réseaux distants devient une tâche urgente.

Indépendamment de l’état du monde qui nous entoure, la meilleure façon de se protéger contre des activités malveillantes en constante évolution est d’adopter une approche globale et intégrée à la cybersécurité. L’accès permanent à des formations en cybersécurité et à une veille actualisée sur les menaces est essentiel.