Les manchettes récentes suggèrent que nous vivons actuellement dans un maelström de cybersécurité. Des organisations privées et publiques, grandes et petites, sont piratées presque chaque semaine. Ce mois-ci seulement, le parlement norvégien a subi une cyber-attaque qui a touché à la fois les ministres du gouvernement et les dirigeants de l’opposition, montrant à quel point les pirates peuvent facilement cibler les personnes en position d’influence. D’autres tentatives contre des organisations bien connues cette année incluent une contre l’Organisation mondiale de la santé en mars et les attaques du groupe de piratage russe APT29 contre des centres de recherche sur les virus en Grande-Bretagne en juillet.
La pandémie est la principale raison de cette prétendue augmentation des activités criminelles. C’est une situation inhabituelle pour la société humaine, quelque chose dont nous n’avons pas traité de mémoire d’homme. Nous ne savons pas ce qui va arriver, même maintenant. Et comme nous le savons tous, les périodes d’incertitude prolongée s’avèrent souvent être un tournant pour une vague de cyber-chasse. Une chose qui n’a pas changé, cependant, ce sont les méthodes d’attaque des cybercriminels. En fait, les recherches de Microsoft indiquent que les attaques de logiciels malveillants liées au coronavirus étaient «à peine une erreur» dans le volume total des menaces qu’il surveille. Bien qu’ils aient été plus fréquents qu’en janvier et février, le paysage des menaces est maintenant revenu à «des modèles typiques de phishing et de compromission d’identité».
C’est dans cet esprit que nous avons voulu examiner la technique d’intrusion préférée des attaquants – le phishing, et un choix de malware populaire – le ransomware.
Sommaire
Vous pouvez changer l’appât, mais c’est toujours du phishing
Selon le DBIR 2020 de Verizon, le phishing reste la première forme de violation à caractère social. Les meilleurs cyber-attaquants sont également brillants dans la compréhension des modèles de comportement humain. Ils suivent nos habitudes en ligne, puis les utilisent pour soutenir leurs attaques. Tant que les êtres humains restent sujets à la persuasion et à l’erreur – des traits qui sont intégrés dans notre ADN – le succès du phishing persistera. Cela étant dit, la méthode derrière chaque attaque ou campagne est le plus souvent la même. Les attaquants n’ont besoin que de «redessiner» leurs tactiques pour s’aligner sur l’histoire du jour.
Un exemple est la récente campagne de phishing qui a utilisé Microsoft 365 pour cibler les cadres supérieurs de plus de 150 entreprises. Les attaques utilisant Microsoft 365 ne sont pas nouvelles, mais cette fois, les attaquants ont utilisé un simple aperçu à leur avantage: la plupart de leurs cibles travailleraient depuis chez eux.
Ces derniers mois, des criminels ont ciblé des jetons d’accès temporaires qui permettent aux utilisateurs de se connecter à toutes les applications Microsoft. Voler et utiliser ces jetons temporaires permet aux pirates de contourner l’authentification multifactorielle (MFA) et de rester sur le réseau en actualisant « légitimement » le jeton qu’ils ont saisi. Même si un utilisateur modifie son mot de passe, le jeton reste valide et ne peut pas être révoqué.
Les applications de collaboration, telles que Microsoft Teams, Slack et Zoom, qui sont devenues une interface principale pour les organisations au cours de cette période, constituent un autre nouvel angle d’attaque. Les attaquants ont remarqué ce changement de comportement et ont ajouté ces applications basées sur le cloud à leur liste de hameçonnage, en utilisant les mêmes techniques générales qu’ils ont utilisées avec le courrier électronique depuis le début du piratage.
Pourquoi? Parce que les criminels peuvent facilement distribuer des fichiers malveillants, du code et même des GIF dans ces applications SaaS, ce qui leur permet de récupérer les données des utilisateurs, de voler les informations d’identification et de prendre en charge les comptes à l’échelle de l’entreprise. Les criminels peuvent changer l’appât, mais c’est toujours du phishing. Et tant que ces méthodes continueront de réussir, les attaquants s’en remettront. La protection des informations d’identification pour se défendre contre des attaques comme celles utilisant Microsoft 365 est vitale.
Tenir la recherche en rançon
Chaque organisation doit craindre une attaque ransomware réussie. Ils peuvent causer d’énormes dégâts et provoquer souvent des semaines d’indisponibilité lorsqu’ils ciblent des organisations importantes. La pandémie en est un exemple, les hôpitaux et les centres de santé faisant l’objet de nombreuses attaques. Les attaques de ransomwares sont un choix d’arme attrayant pour le cybercriminel, car les organisations victimes paieront souvent une rançon importante. Ils n’ont pas le choix si leurs données ont été violées avec succès et ils ne les ont pas sauvegardées de manière proactive.
Pendant la pandémie, les attaquants ont élargi leurs vues à un nouveau secteur – les sociétés de R&D et de biotechnologie travaillant rapidement pour trouver un remède contre le coronavirus. Comme mentionné précédemment, le groupe de piratage russe APT29 a récemment tenté de pirater l’un des laboratoires de recherche sur les coronavirus du Royaume-Uni, selon les services de renseignement. Alors qu’ils sont en concurrence avec d’autres nations pour trouver un remède et éclairer la réponse de leur propre pays, les attaquants de l’APT des États-nations ciblent les appareils des travailleurs à la recherche d’informations d’identification privilégiées pour s’implanter. De là, ils peuvent se déplacer latéralement, maintenir leur persistance sur le réseau et voler peu à peu des recherches sensibles. Dans certains cas, ils peuvent attendre des semaines, voire des mois, le «moment parfait» pour déployer un ransomware afin d’exploiter davantage les organisations victimes.
Les organisations de recherche, de développement et de biotechnologie sont particulièrement vulnérables, car elles n’ont pas été une cible aussi populaire dans le passé et beaucoup sont encore en train de mûrir leurs programmes de sécurité. Beaucoup n’ont pas non plus le budget à consacrer à la sécurité comme le font les grandes entreprises. Mais si ces industries peuvent être la cible à la mode actuellement, aucune organisation n’est à l’abri des ransomwares, dont la popularité ne fait qu’augmenter en raison des habitudes de travail à domicile risquées et de la montée des ransomwares en tant que service.
C’est surtout le récit qui a le plus changé. Les incidents de sécurité et les brèches liés au COVID-19 ont été amplifiés par une couverture médiatique frénétique et un bavardage constant sur les réseaux sociaux. Le public, avide d’informations et de mises à jour, est attiré par le drame. En conséquence, la sécurité est désormais au premier plan des conversations.
Apprendre de la pandémie
Nous n’en sommes encore qu’aux premiers stades de l’apprentissage de nos erreurs pendant la pandémie. Cela ne veut pas dire que nous ne pouvons pas tirer les leçons des leçons de sécurité des six derniers mois. Il est important de prendre ce que nous savons et d’utiliser les connaissances pour s’adapter avec rapidité et efficacité. Les pratiques de sécurité doivent être reconsidérées, avec un accent particulier sur les menaces que présentent le phishing et les logiciels malveillants. Aucune organisation n’est à l’abri du contrôle des attaquants, quelle que soit la forme de «normalité» dans laquelle nous vivons.
- Lavi Lazarovitz, responsable de la recherche sur la sécurité, CyberArk Laboratoires.
