Analyse des stratégies, de la planification et de l’exécution des cyberattaques

Les cybercriminels peaufinent leurs techniques destinées à leurrer les départements financiers. L’anonymat qui règne sur les systèmes Tor et Bitcoin simplifie grandement les encaissements et réduit nettement les risques.

Rendement élevé, main-d’œuvre réduite, aucune attente requise : les caractéristiques de la plupart des campagnes d’attaques, tout comme les possibilités pour les cybercriminels de monétiser ces attaques, deviennent plus vastes, moins complexes et moins risquées que jamais. Les cybercriminels savent l’intérêt qu’il y a à simplement dérober et détenir des données critiques afin d’obtenir une rançon.

Ils ont peaufiné leurs techniques destinées à leurrer les départements financiers, et l’anonymat qui règne sur les systèmes Tor et Bitcoin simplifie grandement les encaissements et réduit nettement les risques.

Ce serait une erreur que de croire qu’une entreprise ne possède rien qui puisse motiver une attaque. Même les entreprises les moins enclines à prendre des risques déposent à leur banque de l’argent susceptible d’être volé, tandis que des actifs essentiels peuvent être dérobés pour faire l’objet d’une demande de rançon ou être revendus.

C’est pourquoi les équipes informatiques doivent connaître les stratégies des auteurs des attaques afin de les contrer avec succès : réutilisation, recyclage et réinfection.

Principales stratégies des attaquants

1. Réutilisation – Des échantillons de malware égalant Stuxnet en termes de sophistication et exploitant les mêmes vulnérabilités Zero Day sont encore d’usage six ans après leur développement. Des attaques qui devraient aujourd’hui être basiques n’en continuent pas moins de fonctionner et la grande majorité des malwares sont générés automatiquement. Les campagnes d’attaques surgissent rarement de nulle part et réutilisent fréquemment des systèmes infectés depuis longtemps et du code malveillant préexistant. Il est donc rare qu’apparaisse un malware entièrement nouveau créé de toutes pièces. La plupart des malwares reprennent du code, des fonctions, voire une infrastructure qui existaient déjà. Le phishing, le ransomware et les attaques DDoS demeurent ainsi des valeurs sûres pour les assaillants.

2. Recyclage – A l’ère du stockage dans le cloud, les clés dont les attaquants ont besoin pour s’infiltrer dans un réseau se trouvent peut-être déjà quelque part sur internet, indexées par Google. Le recyclage de clés AWS et SSH publiées en ligne par des administrateurs naïfs ouvre grand aux attaques les portes du réseau avant même que ses défenses n’aient une chance de les détecter.

3. Réinfecter – Les auteurs des attaques ne sont pas plus discrets qu’ils doivent l’être et empruntent généralement le chemin offrant le moins de résistance. Les études de piratages de grande envergure bien connus montrent que les attaquants ne passent pas inaperçus et sont souvent repérés par les outils de sécurité. Le problème est qu’en raison du trop grand nombre de fausses alertes, les attaques les plus simples sont fréquemment noyées dans le trafic.

Les outils de défense doivent désormais se focaliser sur les tactiques, techniques et procédures des auteurs des attaques afin de les bloquer. Un petit nombre tend à refaire surface régulièrement et, dans bien des cas, il est possible de s’y opposer par de simples modifications de configuration qui ne coûtent rien. Dans ces conditions, comment les entreprises peuvent-elles contrer une attaque ?

Battre les assaillants à leur propre jeu

Une stratégie défensive doit tout d’abord commencer par des recherches OSINT (Open Source Intelligence). Il s’agit de rechercher les mêmes erreurs à l’affût desquelles sont les auteurs d’attaques : des clés privées et des identifiants cloud disponibles dans GitHub ou d’autres référentiels de code publics. Ce sont là des cibles faciles pour les pirates, par conséquent plus tôt ces erreurs seront rectifiées, mieux ce sera.

Ensuite, les entreprises doivent améliorer la visibilité sur leurs angles morts, que ce soit sur les terminaux, à l’intérieur des données ou dans le cloud. En règle générale, une défense efficace ne dissuade pas un attaquant mais le contraint simplement à emprunter un autre chemin. Une meilleure connaissance de ses propres vulnérabilités permettra à une entreprise d’anticiper le prochain mouvement de l’adversaire. Les entreprises doivent également procéder de la sorte pour identifier les cinq à dix logiciels responsables de la grande majorité des infections et neutraliser ou atténuer la menace qu’ils représentent. Elles pourront ainsi réduire massivement le risque d’une attaque.

Enfin, la formation du personnel est la clé de la prévention. Le point le plus délicat pour une attaque consiste à pénétrer dans le périmètre, or la majorité des budgets se concentrant sur la protection du réseau interne de l’entreprise face à l’internet public, les assaillants ciblent les employés pour se frayer un accès. Des e-mails contenant des fichiers ou des liens malveillants continuent de passer au travers des mailles du filet et de faire mouche. Pour cette raison, les entreprises doivent sensibiliser leurs collaborateurs, à tous les niveaux de la hiérarchie, de sorte que chacun soit bien conscient des différents types de menaces et de la marche à suivre s’il détecte un élément suspect sur le réseau.

La seule façon pour les entreprises de se protéger est de battre les assaillants à leur propre jeu, c’est-à-dire se montrer aussi perspicaces qu’eux pour repérer les maillons faibles et former leur personnel en conséquence.

Stockage / Google

Annonces Google