Netskope Threat Labs : les botnets IoT et les infostealers ciblent le secteur du retail

0
95

Le Threat Labs de Netskope vient de publier son dernier rapport de recherche, axé sur les menaces liées au cloud dans le secteur du retail, qui révèle que les botnets IoT, les outils d’accès à distance et les infostealers ont été les principales familles de logiciels malveillants déployées par les attaquants ciblant le commerce de détail au cours de l’année écoulée. Sur cette même période, les organismes du secteur sont par ailleurs passés de l’utilisation des applications cloud de Google à celles de Microsoft telles qu’Outlook.

Tribune – Les principales conclusions sont les suivantes :

  • Les attaquants utilisent les infostealers pour cibler le retail : les infostealers constituent une famille de logiciels malveillants de premier plan pour le secteur de la vente au détail, les attaquants tentant de voler des données précieuses telles que les données liées aux paiements des organisations et des clients.
    • Les infostealers alimentent également l’écosystème plus large de la cybercriminalité, les attaquants vendant des identifiants et des données bancaires personnelles dérobés.
  • Les botnets et les chevaux de Troie ciblent les appareils du réseau : ils observent que la famille de botnets Mirai cible de plus en plus de dispositifs réseau exposés fonctionnant sous Linux, tels que des routeurs, des caméras et d’autres dispositifs IoT dans l’environnement du commerce de détail.
    • Les dispositifs IoT sont souvent sous-estimés en tant que risque de sécurité, mais ils peuvent être efficaces en fournissant des informations visuelles ou des capteurs qui peuvent aider à la cybercriminalité, ou même être utilisés pour lancer des attaques DDoS contre d’autres cibles.

o   De même, les chevaux de Troie d’accès à distance (RAT) étaient populaires, permettant d’accéder aux navigateurs et aux caméras à distance, d’envoyer des informations aux attaquants ou de recevoir des commandes.

Depuis la fuite du code source de Mirai, le nombre de variantes de ce malware a considérablement augmenté et représente un risque pour le commerce de détail en tant que secteur comportant de multiples endpoints vulnérables.

  • La suite Microsoft de plus en plus ciblée : dans le rapport de l’année dernière, les applications Google étaient bien plus populaires dans le secteur du retail que dans les autres industries, mais dans le même temps, les chercheurs ont constaté un regain de popularité de Microsoft. L’écart entre OneDrive et Google Drive s’est creusé, le pourcentage moyen d’utilisateurs est passé de 43 % à 51 % pour OneDrive et a chuté de 34 % à 23 % pour Google Drive. Le rapport observe des tendances similaires avec Outlook (21 %) qui détrône Gmail (13 %) en tant qu’application de messagerie électronique la plus populaire.

o   Microsoft OneDrive reste l’application cloud la plus populaire pour la diffusion de logiciels malveillants dans tous les secteurs, y compris la vente au détail. Les attaquants s’orientent vers des tactiques qui capitalisent sur la confiance et la familiarité des utilisateurs avec OneDrive, augmentant ainsi la probabilité qu’ils cliquent sur les liens et téléchargent le logiciel malveillant.

o   Dans le commerce de détail, les attaques via Outlook sont plus fructueuses que dans les autres secteurs : celui-ci enregistre deux fois plus de téléchargements de logiciels malveillants via Outlook (10 %) que dans les autres industries (5 %).

  • La popularité de WhatsApp dans le commerce de détail : l’application était trois fois plus populaire dans le retail (14 %) que dans les autres secteurs (5,8 %), tant pour l’utilisation moyenne que pour les téléchargements. Cependant, WhatsApp ne figurait pas dans la liste des principales applications pour le téléchargement de logiciels malveillants. Cette situation pourrait changer si les cybercriminels commencent à considérer que sa popularité justifie l’intérêt économique de diriger davantage d’attaques via cette application.
    • Les applications de médias sociaux comme X (12 %), Facebook (10 %) et Instagram (1,5 % pour les téléchargements) étaient toutes plus populaires dans le commerce de détail que dans les autres secteurs.

« Il est surprenant que le secteur se retrouve encore spécifiquement ciblé par des botnets comme Mirai, car les cybercriminels cherchent à compromettre des appareils IoT vulnérables ou mal configurés dans les points de vente et à en abuser pour amplifier considérablement l’effet d’une attaque par déni de service distribué (DDoS), déclare Paolo Passeri, Cyber Intelligence Specialist chez Netskope. Mirai n’est pas une menace particulièrement récente, et depuis sa découverte en 2016, de multiples variantes sont utilisées. Le fait que les cybercriminels continuent de l’exploiter pour cibler les appareils IoT montre que trop d’organisations continuent de négliger dangereusement la posture de sécurité de leurs appareils connectés à internet. Cela représente un risque important non seulement pour les cibles des attaques lancées à partir du botnet IoT, mais aussi pour l’organisation dont les appareils IoT sont asservis au botnet, car leur exploitation peut facilement entraîner des pannes qui ont un impact sur le fonctionnement de l’entreprise. » 

« Cette vulnérabilité, associée à l’utilisation d’infostealers et de logiciels malveillants d’accès à distance pour extraire des informations d’identification et des données financières de clients, fait du secteur de la vente au détail une cible potentiellement lucrative, ajoute Paolo Passeri. J’ai été particulièrement intéressé de voir que Qakbot figure parmi les principales menaces pour les détaillants, même si cette opération a été démantelée par le FBI à la fin du mois d’août 2023. Son infrastructure a été rapidement réaménagée par les cybercriminels pour distribuer d’autres charges utiles de logiciels malveillants, ce qui leur a offert des opportunités supplémentaires ; et certaines campagnes isolées de Qakbot ont été détectées même après son interruption ». 

« Le fait que les botnets comme Mirai et les infostealers comme Quakbot continuent de figurer parmi les principales méthodes utilisées par les attaquants pour cibler les acteurs du secteur du retail montre que les responsables de la sécurité ont encore beaucoup à faire pour fortifier leur infrastructure et leurs endpoints. Heureusement, le respect des meilleures pratiques fondamentales en matière de cyberhygiène, telles que l’inspection du trafic web et cloud, ainsi que la garantie de pouvoir bloquer le trafic malveillant et d’isoler les endpoints ou les domaines compromis, réduira le risque d’être victime de ces cybercriminels», conclut Paolo Passeri.

Les experts du Threat Labs de Netskope recommandent aux entreprises du secteur de la vente au détail de revoir leur posture de sécurité et de suivre quelques bonnes pratiques pour contrer ces menaces :

  • Inspecter tous les téléchargements HTTP et HTTPS, y compris l’ensemble du trafic web et cloud, afin d’empêcher les logiciels malveillants d’infiltrer le réseau.
  • Veiller à ce que les types de fichiers à haut risque, tels que les exécutables et les archives, soient minutieusement inspectés à l’aide d’une combinaison d’analyses statiques et dynamiques avant d’être téléchargés.
  • Configurer des stratégies pour bloquer les téléchargements et les mises en ligne à partir d’applications et d’instances qui ne sont pas utilisées dans l’organisation, afin de réduire la surface d’attaque et de minimiser le risque d’exposition accidentelle ou délibérée de données, par des initiés ou  des cyberattaquants.
  • Utiliser un système de prévention des intrusions (IPS) capable d’identifier et de bloquer les modèles de trafic malveillants, tels que le trafic de commande et de contrôle associé aux logiciels malveillants les plus répandus. Le blocage de ce type de communication peut empêcher d’autres dommages en limitant la capacité de l’attaquant à effectuer des actions supplémentaires.
  • Utiliser la technologie d’isolation du navigateur à distance (RBI) pour fournir une protection supplémentaire lorsqu’il est nécessaire d’accéder à des sites web qui entrent dans des catégories pouvant présenter un risque plus élevé, comme les domaines nouvellement observés et enregistrés.

Le rapport est basé sur des données d’utilisation anonymes collectées sur un sous-ensemble de plus de 2 500 clients de Netskope appartenant au secteur de la vente au détail, qui ont tous donné leur autorisation préalable pour que leurs données soient analysées de cette manière.