Selon un récent rapport mené par Unit42, des cybercriminels spécialisés dans les menaces persistantes avancées ont adopté Brute Ratel C4, un outil légitime de test d'intrusion. Dirk Schrader, Resident CISO (EMEA) and VP of Security Research chez Netwrix, a fait le commentaire suivant :

« Le récent rapport d'Unit42 sur un nouvel outil de commande et contrôle (C2) appelé Brute Ratel C4, désormais préféré des attaquants à son ennemi connu Cobalt Strike, devrait sonner l'alarme pour les cyber-défenseurs.

Et voici pourquoi : cet outil semble échapper à la détection des outils EDR et des antivirus en général, car il possède des capacités intégrées pour garder les traces, en particulier celles en mémoire cachées. Ce fait oblige les organisations à vérifier leur architecture de cybersécurité.

Comme les capacités de détection installées sur les solutions endpoints (EDR et antivirus précédemment nommés) ne sont pas suffisantes pour détecter les activités de commande et contrôle utilisant le Brute Ratel C4, les équipes informatiques doivent assurer la sécurité de l'organisation en concentrant leurs efforts sur les trois principales surfaces d'attaque : les données, les identités et l'infrastructure.

Des outils comme Brute Ratel C4 ou Cobalt Strike sont exploités par les attaquants pour établir un canal de retour vers le centre de contrôle, un canal qui doit être pratiquement indétectable. C'est l'élément clé de leur chaîne d'attaque.

L'approche de la cyber-défense de l'organisation doit viser à briser cette chaîne tout en restant résiliente. L'équipe IT peut améliorer cette cyber-résilience en identifiant le type de données précieuses stockées et leur emplacement exact. Cela permettra de concentrer les efforts de sécurité sur ce qui est réellement critique.

Par exemple, si des données sensibles se trouvent ouvertes à un groupe d'utilisateurs jugé trop important, elles devraient être mises en quarantaine et portées à l'attention des responsables IT et sécurité. Une telle mesure est en revanche excessive pour des données non sensibles et ne fait que détourner leur l'attention.

Une autre couche à surveiller est celle des identités. Le contrôle des comptes d'utilisateurs et des comptes de services, ainsi que la mise en place d'un gouvernement d'accès sont la pierre angulaire de la sécurité des identités.

Les privilèges doivent être gérés avec encore plus de soin : accordés pour une session spécifique, ils doivent être révoqués lorsque cette session prend fin. Une telle approche élimine les privilèges permanents en place et réduit donc la surface d'attaque de l'organisation.

La dernière pièce de ce puzzle est le maintien de l'intégrité des systèmes organisationnels, la détection de tout changement survenant dans les actifs et l'infrastructure, de tout fichier abandonné, d'une bibliothèque de liens dynamiques (DLL) modifiée ou d'un changement de configuration diminuant la posture de sécurité. Une détection précoce augmente les chances de prévenir une compromission réelle des données. »