Les cybercriminels affinent leurs stratégies d’attaques et ciblent les utilisateurs et les ressources légitimes déjà installées

Les cybercriminels affinent leurs stratégies d’attaques et ciblent les utilisateurs et les ressources légitimes déjà installées

Le rapport de sécurité de Fortinet indique que près de 60% des menaces utilisent des domaines mutualisés et que la majorité des botnets tire parti d’infrastructures déjà existantes.

Bruxelles, le 29 mai 2019 - Fortinet® (NASDAQ: FTNT), l’un des leaders mondiaux des solutions de cybersécurité automatisées, intégrales et intégrées, annonce la publication de son tout dernier rapport trimestriel de sécurité Global Threat Landscape Report. Cette étude révèle que les cybercriminels continuent à faire évoluer leurs attaques en les rendant plus sophistiquées. Ils tirent ainsi davantage parti de ransomware personnalisés, de développements logiciels spécifiques à certaines attaques, de techniques LoTL (living-off-the-land, à savoir l’utilisation de ressources existantes et légitimes pour mener des attaques) ou encore d’infrastructures mutualisées. Pour le résultat détaillé des indicateurs d’activité des exploits, des botnets et des malwares, et pour une synthèse décisionnelle à l’intention des DSI et RSSI, rendez-vous sur le blog. Voici néanmoins les temps forts de ce nouvel opus : 

Trafic avant et après l’exploit (un élément de programme permettant à un individu ou à un logiciel malveillant d'exploiter une faille)
Une étude a été menée pour voir si les cybercriminels mènent certaines phases de leur attaque sur des jours spécifiques de la semaine. Nous avons ainsi comparé le volume de trafic web analysé lors de deux étapes de la chaîne de frappe (kill chain), pour les jours de la semaine d’une part et pour les week-ends d’autre part. Il en résulte que les activités en amont de l’exploit ont trois fois plus de chances d’avoir lieu pendant les jours travaillés que pendant le week-end. En revanche, on ne note pas une telle différence pour le trafic en aval de l’exploit. L’explication la plus plausible semble être que l’exécution d’un exploit nécessite qu’un utilisateur réalise une action spécifique, comme ouvrir un email de phishing et cliquer sur un lien malveillant. Les activités de command-and-control (C&C) n’ont pas cette exigence et peuvent donc s’effectuer à tout moment. Les cybercriminels l’ont parfaitement saisi et tentent de tirer parti d’opportunités pendant la semaine, lorsque l’activité Internet est la plus importante. Cette différence entre jours de la semaine et week-end doit être prise en compte pour bien comprendre la chaîne de frappe des différentes attaques.

Les menaces, dans leur majorité, tirent parti d’infrastructures mutualisées
L’étude de la mutualisation des infrastructures entre les menaces dévoile des tendances intéressantes. Certaines menaces préfèrent les infrastructures communautaires à des infrastructures uniques ou dédiées. Près de 60% des menaces partagent a minima un domaine, ce qui laisse penser que la majorité des botnets (réseau de programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches) s’adosse à des infrastructures déjà établies. IcedID est un exemple concret de ces menaces qui préfèrent “emprunter” une infrastructure déjà existante. De plus, les menaces qui mutualisent les infrastructures le font sur une même étape de la chaîne de frappe.  Il est rare qu’une menace tire parti d’un même domaine aussi bien pour la phase amont de l’infection que pour le pilotage du trafic C&C en aval de l’exploit. Ceci laisse penser que l’infrastructure joue un rôle ou une fonction bien définie lors des campagnes malveillantes. En identifiant les menaces qui mutualisent leurs infrastructures, et l’étape concernée dans la chaîne d’infection, les entreprises peuvent anticiper certaines évolutions des malware et des botnets. 

Une gestion des contenus sous surveillance constante
Les adversaires ont tendance à passer d’une opportunité à une autre au sein des clusters, en exploitant les vulnérabilités et les technologies émergentes, afin d’optimiser les opportunités. Les plateformes Web, celles qui permettent tant au grand public qu’aux professionnels de bâtir leur présence web, attirent l’attention des cybercriminels. Elles sont ainsi ciblées, au même titre que les plug-ins tiers qui leur sont associés. Cette tendance impose l’idée que les patchs doivent être appliqués au plus vite et qu’il est nécessaire de bien comprendre l’évolution des exploits afin de garder une longueur d’avance sur les menaces.

Le ransomware toujours bien présent
De manière générale, les ransomware, particulièrement actifs dans le passé, ont quelque peu laissé la place aux attaques ciblées. Mais la menace reste présente. La multiplicité des attaques témoigne de leur personnalisation pour s’en prendre à des cibles de valeur et donner aux assaillants un accès privilégié au réseau.

LockerGoga illustre ce qu’est un ransomware ciblé et véhiculé par une attaque en plusieurs étapes. LockerGoga ressemble beaucoup aux autres ransomware sophistiqués en termes de fonctionnalités. Mais si la majorité des ransomware utilisent des techniques de furtivité pour éviter de se faire détecter, ce n’est pas vraiment le cas de ce malware. Ceci souligne la nature très ciblée de l’attaque qui présuppose que ce malware ne sera pas détecté facilement.

De son côté, le ransomware Anatova, dont le but principal est de chiffrer autant de fichiers que possible sur les systèmes infectés, évite néanmoins toute ressource dont le chiffrement est susceptible de rendre ces systèmes instables. Il évite également de chiffrer les systèmes qui pourraient être utilisés à des fins d’analyse antivirale ou de honeypot. Ces deux variantes de ransomware illustrent à quel point les professionnels de la sécurité doivent donner la priorité au patching et aux sauvegardes pour se prémunir de l’impact des ransomware classiques. Cependant, les menaces ciblées nécessitent des défenses elles aussi ciblées pour se protéger contre les méthodes d’attaques spécifiques.

Living off the Land
Les cybercriminels utilisent les mêmes modèles économiques que ceux de leurs victimes et leurs méthodes d’attaque se développent pour gagner en efficacité, même en aval de l’intrusion. Dans cette optique, les cybercriminels tirent parti d’outils et ressources pré-installés sur les systèmes ciblés, mais pouvant être utilisés à des fins d’attaque. Cette tactique dite “living off the land” (LoTL) permet aux assaillants de dissimuler leurs activités au sein de processus légitimes. Ces outils et ressources rendent également plus complexes l’identification des auteurs d’attaques. Les cybercriminels ont à disposition un large panel d’outils légitimes qu’ils détourneront pour atteindre leurs objectifs et rester anonymes. Pour lutter contre les menaces, les entreprises doivent gérer de manière optimale l’accès aux outils d’administration et l’utilisation des logs au sein de leurs environnements.

Une veille en temps réel et proactive sur les menaces s’impose
Toute entreprise doit se protéger efficacement contre les tendances actuelles en matière de menaces, mais aussi se préparer à l’évolution et à l’automatisation des attaques. Cet objectif implique une veille en temps réel, dynamique, proactive et disponible sur l’ensemble du réseau multisite. Cette connaissance permet d’identifier les tendances en matière de méthodes d’attaque ciblant la surface digitale et d’identifier les priorités en termes de cybersécurité selon les cibles des cybercriminels. Cette veille doit être mise à disposition en temps réel pour chaque dispositif de sécurité afin d’assurer une prise de décision éclairée. Seule une Security Fabric pervasive, intégrée et automatisée peut déployer une protection sur l’ensemble de l’environnement réseau, de l’IoT jusqu’à la périphérie et jusqu’au cloud, du cœur de réseau aux environnements multi-cloud, en optimisant la rapidité et l’évolutivité.

 Phil Quade, Chief Information Security Officer, Fortinet
Malheureusement, nous continuons à observer que les cybercriminels reprennent à leur compte les stratégies et méthodologies utilisées par les états-nations, tandis que les dispositifs et réseaux ciblés évoluent. Les entreprises sont invitées à repenser leur stratégie pour piloter et maîtriser leurs risques de manière pérenne. Il s’agit, avant toute chose, de voir la cybersécurité en tant que science qui tire parti des avantages de rapidité et de connectivité propres au cyberespace pour déployer une ligne de défense efficace. En optant pour une approche de type Security Fabric, en déployant une segmentation micro et macro, et en faisant du machine learning et de l’automatisation des éléments essentiels des techniques d’intelligence artificielle, il devient possible de lutter efficacement contre les adversaires.

À propos du rapport de sécurité et des indicateurs
Le Threat Landscape Report de Fortinet, rapport trimestriel issu des travaux collectifs de veille des FortiGuard Labs, capitalise sur un large panel mondial de capteurs déployés par Fortinet sur le premier trimestre 2019. Ce rapport présente des perspectives tant à l’échelle mondiale qu’au dans de régions. L’indice Fortinet Threat Landscape Index (TLI), constitué d’indicateurs associés à 3 domaines essentiels et complémentaires de l’univers des menaces : les exploits, les malwares et les botnets. Ces indicateurs révèlent le niveau de prévalence et le volume de chacune de ces menaces sur un trimestre donné.

 Ressources complémentaires

  • Rendez-vous sur notre blog pour davantage d’informations sur cette étude et accéder à la totalité du rapport.
  • Découvrez les indicateurs du Fortinet Threat Landscape pour les botnets, les malwares et les exploits sur le premier trimestre 2018.
  • Pour mieux comprendre les menaces et événements pris en compte par le Fortinet Threat Landscape Index chaque semaine, consultez nos briefs hebdomadaires sur les menaces
  • Découvrez les FortiGuard Labs et l’offre de services de sécurité FortiGuard 

À propos de Fortinet
Fortinet (NASDAQ: FTNT) assure la sécurité des entreprises, fournisseurs de services et administrations parmi les plus grandes au monde. Fortinet apporte à ses clients une protection intelligente et transparente, véritable ligne de défense d’une surface d’attaque qui s’étend. Cette sécurité affiche des performances pérennes, adaptées aux réseaux décloisonnés actuels et à venir. Seule l’architecture Security Fabric de Fortinet est capable de déployer une sécurité sans compromis pour relever les défis de sécurité les plus critiques au sein des environnements réseaux, applicatifs, cloud ou mobiles. Fortinet est le leader parmi de nombreuses appliances de sécurité commercialisées dans le monde. Plus de 400 000 clients mondiaux font aujourd’hui confiance à Fortinet pour les protéger. Pour en savoir davantage : http://www.fortinet.com, le blog Fortinet ou FortiGuard Labs.

 

A propos de Evoke

Founded in 2011, Evoke is a communication agency specialized in public relations and content marketing. We get your story told. Whether through press relations, social media, websites, newsletters or print, our consultants make sure you and your message will reach your target audience.

Evoke
Witte Patersstraat 4
1040 Brussel