Le panorama annuel de l’ENISA (“ANSSI européenne”) sur la menace cyber illustre l’évolution des cibles, des outils et des techniques d’attaque.
« Logiciels de rançon » rime-t-il imposé avec « chiffrement » ? De moins en moins, à en croire l’ENISA. L’agence européenne en fait part dans son panorama 2022 de la menace cyber.
Elle mentionne, sur ce même volet, d’autres tendances. Notamment la montée en puissance du Hameçonnage comme levier de diffusion des rançongiciels. Il dépasse désormais le RDP.
Du côté des cybercriminels, on joue de plus en plus, lors des négociations, sur la couverture assurantielle des victimes. L’ENISA évoque deux groupes en particulier : Karakurt et LAPSUS$. Ce dernier est entré dans la lumière au printemps avec le piratage d’Okta.
Dans la foule des rançongiciels, l’ENISA retient trois noms : LockBit, Conti et ALPHV/BlackCat. Ils ont été, sur l’échantillon de victimes pris en considération, les plus « actifs » au premier semestre 2022.
Les exploitants d’ALPHV se sont distingués sur les moyens de pression mis en œuvre. Plutôt que de diffuser leurs données sur le toile noire, ils ont opté pour un site internet public, indexé. Et il y a intégré un moteur de recherche.
Du côté du collectif Industrial Spy, on a défacé les sites des victimes pour y afficher les demandes de rançon. Une manière de donner de l’écho à l’attaque… et de mieux s’armer pour la phase de négociation. Ce même collectif a aussi, pendant un temps, invité ses victimes à « racheter » leurs données exfiltrées avant qu’elles ne soient proposées à des concurrents.
Macros et MFA : à nouvelles défenses, nouvelles attaques
Qu’en est-il si on élargit le champ d’analyse à l’ensemble des malwares ? On constate que l’IoT y est pour beaucoup dans la croissance globale du volume d’attaques.
L’usage des macros Office, au contraire, recule depuis que Microsoft a resserré l’étau. En parallèle, il augmente sur une voie alternative : les images disque (ISO, VHDX). Leur avantage : on ne peut leur apposer l’indicateur MotW (« Mark of the Web »), ce qui favorise le contournement de tels filtres que SmartScreen. Le mode opératoire Nobelium, qui a ciblé la France l’an dernier, a utilisé cette technique.
Conséquence du développement de l’authentification à facteurs multiples (MFA), les attaquants tendent à délaisser la compromission de comptes de messagerie au profit des plaques-formes. La compromission des serveurs Exchange a eu le vent en poupe ces derniers temps, avec l’appui de failles comme ProxyLogon et ProxyShell.
Un DDoS ? Non, juste un PoC
Le ciblage de l’IoT se répand aussi dans le cadre des attaques en déni de service (DoS). L’ENISA l’avait déjà constaté dans son panorama 2021. Il faut dire que la sécurité est généralement moins robuste sur ces appareils, aussi bien par défaut (il est, entre autres, parfois impossible de modifier le mot de passe) que tout au long du cycle de vie (correctifs plus rares et moins souvent appliqués). Emblème : le botnet Mozi, qui exploite des vulnérabilités vieilles de plusieurs années.
S’en prend aux modèles IA qui gouvernent les décisions de cybersécurité est un levier émergent pour le déni de service. L’ENISA constate également le développement du RDoS. En d’autres termes, du déni de service avec rançon. Et parfois, sans attaque. Juste avec un PoC (un « mini-DoS ») en soutien d’une injonction à payer…
Il arrive que des cybercriminels avancent auprès de leurs victimes l’argument des conséquences juridiques. Dans les grandes lignes : nous avons compromis votre infrastructure, et vous êtes responsable de toute attaque DDoS qu’elle pourrait mener.
Parfois, cette intimidation n’est qu’une première étape. L’ENISA a renvoyé à un cas rencontré l’an dernier : les cibles recevaient un avertissement de compromission de leur infrastructure, assorties d’un lien vers un dossier cloud censé contenir des preuves. Il contient en fait la charge malveillante de BazarLoader.
Dans le même esprit, on nous mentionne un cas de Hameçonnage en deux temps. Les attaquants se font passer pour un employé de l’ambassade de Belgique en Irlande. C’est uniquement une fois qu’on avait répondu au mail qu’on se faisait envoyer un malwareintégré dans un fichier zip.
Photo d’illustration © garrykillian – Adobe Stock
