Les cyberattaques à l'ère de la pandémie : invariablement les mêmes

Depuis la propagation rapide de la COVID-19 à travers le monde, on ne compte plus les gros titres consacrés aux cyberattaques qui frappent les organisations au milieu du chaos. Un groupe de cybercriminels d'élite a lancé une campagne de phishing sophistiquée à la mi-mars, en essayant de pirater l'Organisation mondiale de la santé (OMS) et d'accéder à des systèmes et applications critiques.

L’un des plus grands hôpitaux et centres de dépistage de la COVID-19 en République Tchèque a été victime d’une attaque et a été contraint d’annuler des opérations et de transférer des patients vers d’autres hôpitaux. Pendant ce temps, les attaques à motivation financière semblent avoir atteint un pic lorsque les États-Unis ont confirmé leur premier cas de COVID-19.

Warren Buffett a dit un jour : « Il ne faut jamais gaspiller une bonne crise ». Les cyberattaquants ont depuis longtemps adopté ce mantra, et il est clair, au vu des derniers mois, qu’ils continuent à suivre cette approche. Un responsable du FBI a décrit ces tendances comme une « rencontre entre des acteurs de la cybermenace très motivés et une multiplication des opportunités ».

Mais si certains cybercriminels ont intensifié leurs efforts pour maximiser les profits dans le contexte de la crise, leur approche n’a pas véritablement changé. En effet, de nouvelles recherches de Microsoft indiquent que les attaques de malwares liées au coronavirus ne représentent « qu’une infime partie » du volume total des menaces recensées chaque mois. Le caractère mondial et la portée universelle de la crise ont simplement facilité le travail des cybercriminels. Microsoft souligne que les attaques ont atteint un pic en mars, puis sont restées à ce niveau avec la nouvelle normalité. Si ces attaques sont toujours plus fréquentes qu’en janvier et février, la grande majorité du paysage des menaces, selon l’étude de Microsoft, a cependant repris son cours normal avec « les habituelles attaques par phishing et les tentatives de compromission de l’identité ».

Les attaquants ont donc toujours recours aux mêmes méthodes éprouvées, qui fonctionnaient bien avant 2020 : trouver un moyen d’entrer, puis cibler un accès à privilèges pour déverrouiller les portes et atteindre l’endroit désiré. C’est dans cette optique que nous avons voulu examiner la technique d’intrusion privilégiée des attaquants – le phishing – et une variante populaire des logiciels malveillants – les ransomwares.

Le phishing : obtenir l’accès grâce à l’ingénierie sociale

Les cyberattaquants sont, par excellence, des psychologues. Ils étudient soigneusement le comportement humain et pratiquent la rétro-ingénierie à partir de nos empreintes numériques pour découvrir ce qui animent leurs victimes – et ce qui les fait cliquer. Ils sont conscients que les individus ont besoin d’ordre et de sécurité (ils souhaitent juste accomplir, et garder, leur travail), qu’ils sont curieux et veulent rester informés. Le phishing exploite ces besoins humains fondamentaux et demeure très efficace. Il s’agit de la première forme de violation à caractère social, selon le DBIR 2020 de Verizon. Les cybercriminels ont simplement besoin d’adapter ces tactiques en fonction de la crise ou de l’actualité.

Prenons par exemple les attaques de phishing menées contre Office 365. Au début du mois de mai, des rapports ont fait état d’une campagne de phishing qui a touché des cadres supérieurs utilisant Office 365 dans plus de 150 entreprises. Un certain nombre d’attaques similaires ont été signalées, alors que les cadres et les employés travaillent tous à domicile.

Bien que ces attaques, en elles-mêmes, ne soient pas exceptionnelles – les attaquants créent souvent de fausses pages de connexion malveillantes à Microsoft 365 pour tromper les utilisateurs de messagerie électronique et les amener à saisir leurs identifiants – nous avons observé ces derniers mois un « revirement » de cette approche qui vise les tokens temporaires (alias tokens d’accès) qui sont générés pour permettre la signature unique (SSO) à Microsoft 365 et à toutes les applications Microsoft. En volant et en utilisant ces tokens temporaires, les attaquants peuvent contourner l’authentification à plusieurs facteurs (MFA) et se maintenir sur le réseau en rafraîchissant « légitimement » le token. De plus, même si un utilisateur modifie son mot de passe, le token reste valable et ne peut être révoqué.

Les applications de communication et de visioconférence – comme Microsoft Teams, Slack, WebEx, Zoom et Google Hangouts – sont de plus devenues le nouveau visage de l’organisation en cette période de télétravail. Les cybercriminels ont par conséquent ajouté ces applications cloud à leur liste de phishing, en utilisant les mêmes techniques de base, utilisées depuis toujours pour les messages électroniques. Dans ces applications SaaS, ils peuvent facilement diffuser des fichiers, du code et même des GIF malveillants afin d’effacer les données des utilisateurs, de voler des identifiants et même de s’emparer de comptes entiers à l’échelle de l’entreprise. Ou, en compromettant l’identité numérique des employés – en particulier celle des utilisateurs à privilèges, comme les administrateurs système – les attaquants peuvent obtenir un accès permanent et dérober des données sensibles à partir de ces outils de collaboration ; rapports quotidiens, données financières, IP et autres.

Alors que les entreprises utilisent de plus en plus d’applications et de services cloud pour accompagner leurs travailleurs à distance, nous pouvons nous attendre à ce que les attaquants proposent d’autres innovations de ce type. Mais finalement, il s’agit toujours de phishing. Il est donc essentiel d’appliquer le principe du moindre privilège, la protection contre le vol d’identifiants et le contrôle des applications sur tous les terminaux, qu’ils soient à la maison ou au bureau.

Le ransomware : attaques par opportunité

Le ransomware s’est toujours montré le plus efficace pour cibler des informations critiques et sensibles à la période dans laquelle il s’inscrit (catastrophe naturelle, pandémie, ou tout autre événement suscitant la compassion des individus). À mesure que la pandémie s’intensifiait, des rapports faisant état de ransomwares ciblant des hôpitaux et des prestataires de soins de santé ont mis en évidence les conséquences dangereuses – voire mortelles – de ces attaques. Conscients que les interruptions de service peuvent faire la différence entre la vie et la mort, les cybercriminels ciblent depuis longtemps ces organisations essentielles, sachant que celles-ci paieront souvent des rançons élevées pour pouvoir reprendre rapidement leurs activités.

Au cours de cette période, les pirates informatiques ont alors étendu leurs visées à un nouveau secteur : la recherche et le développement et les entreprises de biotechnologie, qui s’efforcent de trouver rapidement un remède contre le coronavirus. Ainsi, Reuters a révélé qu’une attaque étatique avaient ciblé le personnel du fabricant américain de médicaments Gilead Sciences, après que celui-ci a annoncé un essai de phase 3 d’un médicament antiviral expérimental. Selon l’agence de presse, dans ce cas précis, une fausse page de courrier électronique conçue pour voler des mots de passe a été envoyée à un cadre supérieur. À mesure que les organisations progressent dans leur recherche de vaccins, les cybercriminels aux motivations diverses intensifient leurs attaques.

Alors que celles-ci sont en concurrence avec d’autres nations et organisations pour trouver un remède, et qu’elles déterminent localement la réponse appropriée à la crise les attaquants APT, des États-nations lancent des attaques RDP (Remote Desktop Protocol) ou ciblent les terminaux des professionnels en quête d’identifiants à privilèges pour s’introduire dans les systèmes et se déplacer latéralement. De là, ils peuvent maintenir leur position sur le réseau et voler peu à peu des informations sensibles. Dans certains cas, ils préféreront attendre des semaines, voire des mois, le moment idéal pour déployer des ransomwares afin d’exploiter davantage les organisations visées. Les recherches de Microsoft montrent comment les groupes criminels se servent de souches populaires, comme Robbinhood, Maze et REvil, pour mener des attaques par ransomware de type « long-tail ».

Or, les organisations de R&D et de biotechnologie sont particulièrement vulnérables, car elles n’ont pas été fortement ciblées par le passé et nombre d’entre elles sont encore en phase de maturation de leurs programmes de sécurité. Cependant, si ces industries sont peut-être la cible du jour, aucune organisation n’est à l’abri des ransomwares. Il s’agit d’un vecteur d’attaque très répandu, qui continue à gagner en popularité grâce aux comportements à risque associés au travail à domicile et à la montée en puissance du ransomware en tant que service.

Ce qui a le plus changé pendant cette période d’incertitude, c’est la communication. Les incidents de sécurité et les violations liés à la COVID-19 sont amplifiés par une couverture médiatique frénétique et des échanges incessants à ce sujet sur les réseaux sociaux. Le public, avide d’informations et d’actualités, est attiré par le drame – et les gros titres consacrés aux escroqueries sophistiquées et aux demandes de rançon dévastatrices y ont contribué. En conséquence, la sécurité est désormais au centre des conversations.

Nous ne sommes pas encore au bout de ce combat, et il nous reste encore beaucoup à apprendre, tout particulièrement à l’heure où les organisations envisagent de procéder à des changements permanents dans les politiques de travail à distance. Mais cette première phase a fait apparaître des vérités importantes sur la façon dont les individus se comportent et travaillent, ainsi que sur la façon dont les entreprises doivent s’adapter à cette nouvelle réalité, cette nouvelle norme.

Il est temps pour les organisations de passer au crible leurs pratiques de sécurité – en particulier la manière dont elles protègent leurs accès à privilèges – qui sont la voie royale des cybercriminels vers les données les plus précieuses des entreprises – et de s’engager sur la voie du changement. En saisissant cette occasion, elles seront en mesure de se protéger contre les risques de futures pertes de données ou financières et de renforcer leur dispositif de sécurité pour assurer son succès à long terme.