Cybersécurité : pourquoi les approches réactives sont obsolètes

Quatre exemples qui montrent la professionnalisation des nouvelles méthodes adoptées par les pirates informatiques.

Au cours de ces 12 derniers mois, une tendance préoccupante est apparue dans le monde du cybercrime, à savoir la professionnalisation des méthodes des pirates.

Découvrons quatre caractéristiques que les organisations cybercriminelles partagent avec les entreprises contemporaines. Leurs approches organisées, leurs stratégies, et les collaborations avec d’autres groupes les rapprochent davantage des startups du monde de la Tech que des pirates solitaires souvent décrits par les médias. Découvrons quatre caractéristiques que les organisations cybercriminelles partagent avec les entreprises contemporaines.

Cette professionnalisation a donné lieu à des attaques contournant les équipes de sécurité et les systèmes de défense gouvernementaux les plus avancés. Et leur impact financier n’a de cesse de croître : selon une enquête publiée récemment par IBM, le coût moyen d’une attaque de ransomware en 2022 était de 4,35 millions de dollars, ce qui équivaut à une hausse de 2,6 % par rapport à 2021 et de près de 13 % par rapport aux 3,86 millions de dollars en 2020.

L’utilisation du Ransomware-as-a-Service

Les groupes de ransomware adoptent désormais des modes d’action traditionnels pour développer leurs activités et se montrer extrêmement productifs. Tout comme le Software-as-a-Service, le Ransomware-as-a-Service (RaaS) permet aux affiliés et à des acteurs malveillants moins compétents techniquement d’acheter des rançongiciels auxquels ils ont accès via un abonnement payant. Cette approche les aide à développer leurs activités dans de nombreux secteurs et leur offre une nouvelle source de revenus. Résultat : des attaques jadis désordonnées et ponctuelles sont désormais plus puissantes et unifiées. En externalisant ces outils, les opérateurs de RaaS peuvent également se concentrer sur un domaine de niche, et développer petit à petit leur expertise pour continuer à rendre leur produit spécifique plus robuste et fiable, et attrayant.

Le modèle du RaaS est presque identique à celui des entreprises contemporaines, qui cherchent à embaucher les meilleurs talents pour chaque fonction. À travers des sites dédiés aux fuites de données publics (DLS), des canaux Telegram, ou de recrutement direct de cibles en tant que menaces internes, les cybercriminels publient des offres d’emploi mettant en avant les salaires, avantages sociaux et autres petits plus qu’ils offrent. Le groupe de ransomware LAPSUS$ publie ainsi des offres d’emploi depuis novembre 2021, en ciblant des employés de grandes sociétés du domaine des nouvelles technologies telles qu’AT&T et Verizon, afin de les inciter à procéder à des délits d’initiés très bien rémunérés (jusqu’à 20 000 dollars par semaine). Le marché de l’emploi dans le cybercrime est également compétitif : de nouveaux groupes de ransomware et sites de fuites de données émergent constamment. Selon une enquête publiée récemment, douze nouveaux sites dédiés auraient fait leur apparition rien qu’au 3e trimestre 2022. De plus, les revenus totaux générés par des ransomwares en 2020 s’élevaient à 20 milliards de dollars, contre 11,5 milliards l’année précédente. En d’autres termes, les ransomwares sont un business rentable et qui prend de l’ampleur.

L’adoption de technologies émergentes

Les acteurs malveillants cherchent constamment de nouvelles solutions pour avancer plus facilement tout en passant inaperçus. Grâce aux nouveaux langages de programmation, les startups agiles d’aujourd’hui bénéficient de nouvelles opportunités de créer et de sécuriser leur code. Prenons le cas de Rust, un langage de plus en plus populaire chez les développeurs parce qu’il dispose de nombreuses protections intégrées pour éviter de compiler du code contenant des vulnérabilités courantes. Cette couche de protection répond à certains des problèmes persistants des langages tels que C et C++, responsables de nombreuses vulnérabilités exploitables par débordement de mémoire tampon, et de vulnérabilités UAF (Use-after-free) au fil des ans. Malheureusement, ces mêmes avantages ont également attiré l'attention des acteurs malveillants. Ces derniers mois des groupes de ransomware tels que BlackCat, Hive, et Agenda se sont servis de Rust en profitant de la facilité avec laquelle ce langage multiplateforme permet aux groupes cybercriminels d’adapter leurs logiciels malveillants à différents systèmes d’exploitation. Les variantes de Rust utilisées par ces acteurs furtifs permettent également de procéder à un chiffrement intermittent – les ransomwares ne chiffrent que partiellement les données des victimes, en alternant entre différentes sections d’un fichier afin d’éviter de se faire repérer.

Ces derniers temps, les cybercriminels abandonnent la distribution de logiciels malveillants par le biais de fichiers contenant des macros, et choisissent plutôt des types de fichiers alternatifs pour se préparer à la fin de l’activation par défaut de ces éléments chez Microsoft. Les macros sont utilisées depuis longtemps pour diffuser du contenu malveillant après le téléchargement par les utilisateurs d’un document Word. L’année dernière, l’éditeur a commencé à les bloquer afin de stopper les malwares, réduisant ainsi de 66 % les macros malveillantes identifiées entre octobre 2021 et juin 2022, selon une enquête de Proofpoint. S’adaptant rapidement à ces systèmes de défense, les cybercriminels on opté pour d’autres types de fichiers, à l’image des fichiers ISO et RAR, afin de diffuser leur code malveillant.

Plus récemment, certains ont même exploité Microsoft OneNote, en utilisant des astuces ingénieuses pour masquer des fichiers incorporés et pousser des utilisateurs à les exécuter. Tout ceci nous offre un exemple clair de la façon dont les tactiques, techniques et procédures (TTP) courantes peuvent évoluer pour contrer de nouveaux mécanismes de protection.

Les extorsions à plusieurs niveaux

Aujourd’hui, les cybercriminels sont persistants et agressifs. Ils reviennent vite à la charge, et exigent davantage d’argent après avoir déjà obtenue une rançon, en menaçant de divulguer encore des informations sensibles. Leurs efforts de double, triple, voire quadruple extorsion leur permettent de tirer un maximum de valeur de leurs attaques. Alors que les entreprises perdent déjà des sommes considérables à cause d’attaques de ransomwares conventionnels, les pirates vont désormais jusqu’à cibler des fournisseurs tiers en lien avec leur victime, comme ce fut le cas récemment avec le groupe BlackCat (ou ALPHV). Or, ces méthodes sophistiquées sont plus difficiles à éviter. Les pirates peuvent échouer à chiffrer les données ou à convaincre une victime de payer la rançon ; cependant ils peuvent malgré tout tirer profit de la situation en menaçant de provoquer une fuite de données, de vendre des informations, et de s’en prendre aux clients de l’entreprise ciblée. Grâce à cette stratégie, la probabilité qu’ils enregistrent un retour sur investissement augmente, et les acteurs malveillants multiplient leurs sources de gains potentiels.

La menace des chatbots automatisés

En plus de maîtriser tout un éventail de nouvelles technologies et de langages de programmation, les cybercriminels s’assurent également de la pérennité de leurs « organisations » grâce à l’automatisation et à des bots, qui leur permettent d’agir dans des proportions bien supérieures à celles des attaques ponctuelles traditionnelles. Lancé fin novembre 2022, ChatGPT a immédiatement fait sensation et a été la cause de nombreuses spéculations quant à l’utilisation de cet outil à des fins malveillantes. Il est de notoriété publique que le code écrit par cette intelligence artificielle comporte souvent des erreurs ou est fréquemment incomplet. En d’autres termes, nous avons encore besoin d’individus suffisamment compétents pour contrôler sa production.  Cependant, des chercheurs en sécurité sont déjà parvenus à tirer parti des API de telles intelligences artificielles pour analyser rapidement et contribuer à la rétro-ingénierie de logiciels légitimes.

En janvier 2023, Juan Andres Guerrero Saade a utilisé ChatGPT pour améliorer le travail de ces étudiants lors d’un cours de rétro-ingénierie. Dans le même ordre d’idées, lors d’une présentation à la conférence BlueHat 2023, Nate Warfield a expliqué comment il utilisait les mêmes principes pour permettre à une équipe de déchiffrer 4 000 firmwares en environ une heure.  Une chose est claire à la lumière de tous ces éléments : les IA et grands modèles de langage tels que ChatGPT aideront la recherche, aussi bien en attaque qu’en défense. D’autres observations de chercheurs en cybersécurité ont permis de découvrir que ChapGPT était également utilisé pour recréer automatiquement des souches de malwares. Autre incident : des cybercriminels créaient des places de marché sur le Dark Web, en affirmant que cette intelligence artificielle avait rédigé du code capable de récupérer les derniers cours des cryptomonnaies, et leur permettant de se concentrer sur des opérations plus complexes.

Tout comme les entreprises contemporaines adoptent l’automatisation pour externaliser des tâches sans intérêt et se focaliser sur des innovations plus importantes, il est clair que les cybercriminels suivent les mêmes principes. Les développeurs de ChatGPT ont intentionnellement créé des garde-fous pour éviter son utilisation à des fins frauduleuses. Cependant, des chercheurs en sécurité nous ont d’ores et déjà montré à quel point il était facile de reformuler simplement une question afin d’éviter de déclencher ces mécanismes de prévention. En dépit de certaines des limites actuelles de cette technologie, elle n’en est pas moins potentiellement intéressante pour les criminels implacables d’aujourd’hui. Beaucoup de campagnes d’ingénierie sociale sont extrêmement destructrices, et les chatbots dotés d’une intelligence artificielle risquent de faciliter la tâche à des individus cherchant à duper des victimes qui ne se doutent de rien.

Les équipes de sécurité doivent donc être vigilantes face à la modernisation de l’activité cybercriminelle. Dans le paysage dynamique d’aujourd’hui, les approches réactives ne sont plus suffisantes face aux menaces. Les organisations criminelles continuent de basculer vers des modèles économiques basés sur le Ransomware-as-a-Service, à adopter de nouvelles technologies, et à tirer parti de l’automatisation pour s’émanciper des tâches les plus pénibles. Il sera donc impossible de conserver une longueur d’avance en s’appuyant sur des renseignements obsolètes et en prenant des décisions après-coup.

Comme le dit le proverbe : « Sois proche de tes amis, et encore plus proche de tes ennemis. » Cette philosophie est on ne peut plus pertinente pour les équipes de sécurité d’aujourd’hui, qui ont le choix entre être pleinement conscientes de la transformation actuellement opérée par les acteurs malveillants, et risquer de se faire surprendre.