Cette étude révèle que les cybercriminels continuent à faire évoluer leurs attaques en les rendant plus sophistiquées.

Ils tirent ainsi davantage parti de ransomware personnalisés, de développements logiciels spécifiques à certaines attaques, de techniques LoTL (living-off-the-land, à savoir l'utilisation de ressources existantes et légitimes pour mener des attaques) ou encore d'infrastructures mutualisées.

Pour le résultat détaillé des indicateurs d'activité des exploits, des botnets et des malwares, et pour une synthèse décisionnelle à l'intention des DSI et RSSI, rendez-vous sur le blog.

Trafic avant et après l'exploit (un élément de programme permettant à un individu ou à un logiciel malveillant d'exploiter une faille).

Une étude a été menée pour voir si les cybercriminels mènent certaines phases de leur attaque sur des jours spécifiques de la semaine. 

Nous avons ainsi comparé le volume de trafic web analysé lors de deux étapes de la chaîne de frappe (kill chain), pour les jours de la semaine d'une part et pour les week-ends d'autre part.

Il en résulte que les activités en amont de l'exploit ont trois fois plus de chances d'avoir lieu pendant les jours travaillés que pendant le week-end. En revanche, on ne note pas une telle différence pour le trafic en aval de l'exploit.

L'explication la plus plausible semble être que l'exécution d'un exploit nécessite qu'un utilisateur réalise une action spécifique, comme ouvrir un email de phishing et cliquer sur un lien malveillant. 

Les activités de command-and-control (C&C) n'ont pas cette exigence et peuvent donc s'effectuer à tout moment.

Les cybercriminels l'ont parfaitement saisi et tentent de tirer parti d'opportunités pendant la semaine, lorsque l'activité Internet est la plus importante. Cette différence entre jours de la semaine et week-end doit être prise en compte pour bien comprendre la chaîne de frappe des différentes attaques.

Les menaces, dans leur majorité, tirent parti d'infrastructures mutualisées

L'étude de la mutualisation des infrastructures entre les menaces dévoile des tendances intéressantes. Certaines menaces préfèrent les infrastructures communautaires à des infrastructures uniques ou dédiées.

Près de 60% des menaces partagent a minima un domaine, ce qui laisse penser que la majorité des botnets (réseau de programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches) s'adosse à des infrastructures déjà établies.

IcedID est un exemple concret de ces menaces qui préfèrent “emprunter” une infrastructure déjà existante. De plus, les menaces qui mutualisent les infrastructures le font sur une même étape de la chaîne de frappe.

Il est rare qu'une menace tire parti d'un même domaine aussi bien pour la phase amont de l'infection que pour le pilotage du trafic C&C en aval de l'exploit. Ceci laisse penser que l'infrastructure joue un rôle ou une fonction bien définie lors des campagnes malveillantes.

En identifiant les menaces qui mutualisent leurs infrastructures, et l'étape concernée dans la chaîne d'infection, les entreprises peuvent anticiper certaines évolutions des malware et des botnets.

Une gestion des contenus sous surveillance constante

Les adversaires ont tendance à passer d'une opportunité à une autre au sein des clusters, en exploitant les vulnérabilités et les technologies émergentes, afin d'optimiser les opportunités.

Les plateformes Web, celles qui permettent tant au grand public qu'aux professionnels de bâtir leur présence web, attirent l'attention des cybercriminels.

Elles sont ainsi ciblées, au même titre que les plug-ins tiers qui leur sont associés. Cette tendance impose l'idée que les patchs doivent être appliqués au plus vite et qu'il est nécessaire de bien comprendre l'évolution des exploits afin de garder une longueur d'avance sur les menaces.

Le ransomware toujours bien présent

De manière générale, les ransomware, particulièrement actifs dans le passé, ont quelque peu laissé la place aux attaques ciblées. Mais la menace reste présente. La multiplicité des attaques témoigne de leur personnalisation pour s'en prendre à des cibles de valeur et donner aux assaillants un accès privilégié au réseau.

LockerGoga illustre ce qu'est un ransomware ciblé et véhiculé par une attaque en plusieurs étapes. LockerGoga ressemble beaucoup aux autres ransomware sophistiqués en termes de fonctionnalités. Mais si la majorité des ransomware utilisent des techniques de furtivité pour éviter de se faire détecter, ce n'est pas vraiment le cas de ce malware.

 Ceci souligne la nature très ciblée de l'attaque qui présuppose que ce malware ne sera pas détecté facilement. 

De son côté, le ransomware Anatova, dont le but principal est de chiffrer autant de fichiers que possible sur les systèmes infectés, évite néanmoins toute ressource dont le chiffrement est susceptible de rendre ces systèmes instables.

Il évite également de chiffrer les systèmes qui pourraient être utilisés à des fins d'analyse antivirale ou de honeypot. Ces deux variantes de ransomware illustrent à quel point les professionnels de la sécurité doivent donner la priorité au patching et aux sauvegardes pour se prémunir de l'impact des ransomware classiques. 

Cependant, les menaces ciblées nécessitent des défenses elles aussi ciblées pour se protéger contre les méthodes d'attaques spécifiques.

Living off the Land

Les cybercriminels utilisent les mêmes modèles économiques que ceux de leurs victimes et leurs méthodes d'attaque se développent pour gagner en efficacité, même en aval de l'intrusion. 

Dans cette optique, les cybercriminels tirent parti d'outils et ressources pré-installés sur les systèmes ciblés, mais pouvant être utilisés à des fins d'attaque.

Cette tactique dite “living off the land” (LoTL) permet aux assaillants de dissimuler leurs activités au sein de processus légitimes. Ces outils et ressources rendent également plus complexes l'identification des auteurs d'attaques.

Les cybercriminels ont à disposition un large panel d'outils légitimes qu'ils détourneront pour atteindre leurs objectifs et rester anonymes. Pour lutter contre les menaces, les entreprises doivent gérer de manière optimale l'accès aux outils d'administration et l'utilisation des logs au sein de leurs environnements.

Une veille en temps réel et proactive sur les menaces s'impose

Toute entreprise doit se protéger efficacement contre les tendances actuelles en matière de menaces, mais aussi se préparer à l'évolution et à l'automatisation des attaques. Cet objectif implique une veille en temps réel, dynamique, proactive et disponible sur l'ensemble du réseau multisite.

Cette connaissance permet d'identifier les tendances en matière de méthodes d'attaque ciblant la surface digitale et d'identifier les priorités en termes de cybersécurité selon les cibles des cybercriminels. 

Cette veille doit être mise à disposition en temps réel pour chaque dispositif de sécurité afin d'assurer une prise de décision éclairée.

Seule une Security Fabric pervasive, intégrée et automatisée peut déployer une protection sur l'ensemble de l'environnement réseau, de l'IoT jusqu'à la périphérie et jusqu'au cloud, du cœur de réseau aux environnements multi-cloud, en optimisant la rapidité et l'évolutivité.