Les acteurs malveillants sur Internet savent ce que signifie « service ». Dans un rapport publié mardi sur les menaces numériques pour le premier semestre 2024, une société mondiale de cybersécurité spécialisée dans l’IA a constaté que de nombreuses menaces répandues au cours de la période utilisaient largement des outils de malware-as-a-service (MaaS).
Le rapport de Darktrace, basé sur l’analyse des données des déploiements clients de l’entreprise, a estimé que la popularité croissante du MaaS est due aux revenus lucratifs basés sur les abonnements des écosystèmes MaaS, ainsi qu’à la faible barrière à l’entrée et à la forte demande.
En proposant des logiciels malveillants pré-emballés et prêts à l’emploi, le marché MaaS a permis même aux attaquants inexpérimentés de mener des attaques potentiellement perturbatrices, quel que soit leur niveau de compétence ou leurs capacités techniques, ajoute le rapport.
Le rapport prédit que le MaaS restera un élément prédominant du paysage des menaces dans un avenir proche. Cette persistance met en évidence la nature adaptative des souches MaaS, qui peuvent changer leurs tactiques, techniques et procédures (TTP) d’une campagne à l’autre et contourner les outils de sécurité traditionnels, a-t-il noté.
« La sophistication des services de malware en tant que service devrait augmenter en raison de la demande d’outils d’attaque plus puissants, ce qui pose des défis aux professionnels de la cybersécurité et nécessite des avancées dans les stratégies de défense », a déclaré Callie Guenther, responsable senior de la recherche sur les cybermenaces chez Critical Start, une société nationale de services de cybersécurité.
« Ces offres MaaS introduiront de nouveaux vecteurs d’attaque adaptatifs, tels que des schémas de phishing avancés et des malwares polymorphes qui évoluent continuellement pour échapper à la détection », a-t-elle déclaré à TechNewsWorld. « L’essor des malwares en tant que service représente un défi transformateur dans le monde de la cybersécurité. Il a démocratisé la cybercriminalité et élargi la portée des menaces. »
Les malwares traditionnels prospèrent dans les attaques modernes
Le rapport Darktrace a noté que de nombreux outils MaaS, tels qu’Amadey et Raspberry Robin, ont utilisé plusieurs familles de malwares des années précédentes. Cela montre que même si les souches MaaS adaptent souvent leurs TTP d’une campagne à l’autre, de nombreuses souches restent inchangées mais continuent à réussir. Il a ajouté que certaines équipes et organisations de sécurité ne parviennent toujours pas à défendre leurs environnements.
« Le succès continu des anciennes souches de logiciels malveillants indique que de nombreuses organisations présentent encore des vulnérabilités importantes dans leurs environnements de sécurité », a affirmé Frank Downs, directeur principal des services proactifs chez BlueVoyant, une société de cybersécurité d’entreprise basée à New York.
« Cela peut être dû à des systèmes obsolètes, à des logiciels non corrigés ou à un manque de mesures de sécurité complètes », a-t-il déclaré à TechNewsWorld. « La persistance de ces menaces anciennes suggère que certaines organisations n’investissent peut-être pas suffisamment dans les défenses de cybersécurité ou ne suivent pas les meilleures pratiques en matière de maintenance et de mises à jour des systèmes. »
Roger Grimes, évangéliste de la défense pour KnowBe4, un fournisseur de formation à la sensibilisation à la sécurité à Clearwater, en Floride, a ajouté que la plupart des logiciels de détection anti-malware ne sont pas aussi bons que le prétendent leurs fournisseurs.
« Les entreprises doivent savoir qu’elles ne peuvent pas compter sur une détection de malware efficace à 100 %, et elles doivent réagir et se défendre en conséquence », a-t-il déclaré à TechNewsWorld. « Les logiciels anti-malware à eux seuls ne sauveront pas la plupart des entreprises. Toutes les entreprises ont besoin de défenses multiples sur plusieurs niveaux pour détecter et se défendre au mieux. »
Desperados numériques à double emploi
Le rapport révèle également que la « double extorsion » est de plus en plus répandue parmi les souches de ransomware. Avec la double extorsion, les acteurs malveillants vont non seulement chiffrer les données de leur cible, mais aussi exfiltrer des fichiers sensibles en menaçant de les publier si la rançon n’est pas payée.
« La double extorsion a commencé en novembre 2019 et a atteint des niveaux supérieurs à 90 % de tous les ransomwares utilisant cette stratégie en quelques années », a déclaré Grimes.
« C’est populaire parce que même les victimes disposant d’une très bonne sauvegarde n’annulent pas l’intégralité du risque », a-t-il poursuivi.
« Le pourcentage de victimes payant des rançons a considérablement diminué au fil du temps, mais celles qui paient paient beaucoup plus, souvent pour protéger les données confidentielles volées contre leur divulgation publique ou leur utilisation contre elles lors d’une future attaque par le même attaquant », a-t-il déclaré.
Matthew Corwin, directeur général de Guidepost Solutions, une société internationale spécialisée dans la sécurité, la conformité et les enquêtes, a ajouté que la menace de double extorsion rendait la nécessité d’un programme de prévention des pertes de données encore plus cruciale pour les organisations. « La mise en œuvre de la DLP pour tous les terminaux et autres actifs cloud doit inclure la classification des données, l’application des politiques, le blocage en temps réel, la mise en quarantaine et les alertes », a-t-il déclaré à TechNewsWorld.
Attaquer le bord
Darktrace a également signalé que des acteurs malveillants ont continué à exécuter au cours des six premiers mois de l’année une exploitation massive des vulnérabilités des appareils d’infrastructure de pointe, tels qu’Ivanti Connect Secure, JetBrains TeamCity, FortiClient Enterprise Management Server et Palo Alto Networks PAN-OS.
Les compromissions initiales de ces systèmes peuvent servir de tremplin aux acteurs malveillants pour mener d’autres activités, telles que l’outillage, la reconnaissance du réseau et le mouvement latéral, explique le rapport.
« En compromettant les appareils périphériques, les attaquants peuvent prendre pied stratégiquement dans le réseau, leur permettant de surveiller et d’intercepter le trafic de données lorsqu’il passe par ces points », a expliqué Downs.
« Cela signifie qu’un périphérique de périphérie soigneusement exploité peut donner aux attaquants accès à une multitude d’informations d’entreprise, y compris des données sensibles, sans avoir à compromettre plusieurs systèmes internes », a-t-il poursuivi. « Cela rend non seulement l’attaque plus efficace, mais augmente également son impact potentiel, car les périphériques de périphérie gèrent souvent des flux de données importants vers et depuis le réseau. »
Morgan Wright, conseiller en chef en sécurité chez SentinelOne, une société de protection des terminaux basée à Mountain View, en Californie, a ajouté : « De nombreuses organisations sont probablement en retard dans la mise à jour des correctifs sur les appareils vulnérables, comme les pare-feu, les VPN ou les passerelles de messagerie. »
« Cela n’aide pas lorsque les vulnérabilités sont nombreuses et critiques », a-t-il déclaré à TechNewsWorld. « Pour les attaquants, c’est l’équivalent numérique de tirer sur des poissons dans un tonneau. »
M. Grimes de KnowBe a reconnu que la maintenance des périphériques d’infrastructure de pointe est souvent laxiste. « Malheureusement, les périphériques de pointe font partie depuis des décennies des périphériques et des logiciels les moins corrigés de nos environnements », a-t-il déclaré. « La plupart des services informatiques consacrent l’essentiel de leurs efforts de correction aux serveurs et aux postes de travail. Les attaquants examinent et exploitent les périphériques de pointe car ils sont moins susceptibles d’être corrigés et contiennent souvent des informations d’identification administratives partagées. »
Fin d’exécution DMARC
Après avoir analysé 17,8 millions d’e-mails, les chercheurs de Darktrace ont également découvert que 62 % d’entre eux pouvaient contourner les contrôles de vérification DMARC.
Le protocole DMARC est conçu pour vérifier qu’un message électronique provient du domaine dont il prétend provenir, mais il comporte des limites. Les escrocs peuvent créer des domaines avec des noms proches d’une marque connue et les utiliser via DMARC. « Tant qu’ils parviennent à faire passer le faux domaine similaire à leurs victimes, leurs e-mails passeront les contrôles DMARC », a expliqué Grimes.
« Les statistiques alarmantes du dernier rapport semestriel sur les menaces de Darktrace soulignent la nécessité pour les organisations d’adopter une approche multicouche de la sécurité des e-mails, intégrant une détection avancée des anomalies basée sur l’IA et une analyse comportementale pour compléter les mesures de sécurité traditionnelles », a ajouté Stephen Kowski, directeur technique de terrain de SlashNext, une société de sécurité informatique et réseau, à Pleasanton, en Californie.
« Cette stratégie globale peut aider à identifier et à atténuer les attaques de phishing sophistiquées qui échappent à DMARC et à d’autres défenses conventionnelles », a-t-il déclaré à TechNewsWorld. « En surveillant et en s’adaptant en permanence aux modèles de menaces en constante évolution, les entreprises peuvent améliorer considérablement leur sécurité de messagerie. »
Dror Liwer, cofondateur de Coro, une société de cybersécurité basée à Tel Aviv, en Israël, affirme que la plupart des conclusions du rapport pointent vers la même cause. Citant un rapport publié par Coro plus tôt cette année, il a noté que 73 % des équipes de sécurité admettent manquer ou ignorer des alertes critiques.
« Trop d’outils disparates, chacun nécessitant une maintenance, des mises à jour régulières et une surveillance, conduisent les équipes de sécurité à s’occuper de l’administration au lieu de la protection », a-t-il déclaré à TechNewsWorld.
Wright a toutefois suggéré que ces résultats pourraient mettre en évidence un problème plus important dans le secteur. « Avec tout l’argent dépensé pour la cybersécurité et les menaces qui continuent de proliférer, on peut se demander : est-ce que nous dépensons suffisamment d’argent pour la cybersécurité ou est-ce que nous le dépensons simplement aux mauvais endroits ? » a-t-il demandé.