Trellix, anciennement McAfee Enterprise et FireEye, dévoile son nouveau Threat Labs Report relatant des dernières activités des cybercriminels au quatrième trimestre 2021 et depuis le début de l’année 2022. Trellix constate une escalade des cyberattaques ciblant les infrastructures critiques sur fond de développement des tensions géopolitiques Un nouveau rapport met en lumière des logiciels malveillants de type wiper visant l’Ukraine et une vague de cybermenaces émanant d’un groupe probablement lié aux renseignements russes au quatrième trimestre 2021.
Tribune – Il offre une meilleure visibilité sur l’utilisation et l’abus des wipers en Ukraine, sur les attaques LotL (Living off the Land) exploitant de manière inédite les outils Microsoft, ainsi que sur l’augmentation des menaces ciblant les consommateurs et les infrastructures critiques.
Nous sommes à un carrefour critique en matière de cybersécurité et observons des comportements de plus en plus hostiles sur une surface d’attaque en constante expansion. Le quatrième trimestre a marqué la fin d’une pandémie de deux ans que les cybercriminels ont utilisée à des fins lucratives et a vu la vulnérabilité Log4Shell toucher des centaines de millions de dispositifs. Qui plus est, l’élan s’est poursuivi au cours de la nouvelle année avec une augmentation d’une cybermenace internationale, avec des attaques parrainées par l’État Ukrainien et la fuite des chats internes du groupe ransomware Conti.
Parmi les principales conclusions du rapport :
- Les acteurs à l’origine de menaces persistantes avancées (APT) ont le plus souvent ciblé le secteur du transport des biens et des personnes au quatrième trimestre 2021.
- Le groupe APT29, soupçonné de mener des opérations pour le compte d’entités officielles russes, se classe parmi les groupes États-nations les plus actifs au quatrième trimestre 2021.
- ·Suite aux arrestations de cybercriminels derrière le groupe de ransomwares REvil, les rançongiciels Lockbit ont été les plus détectés au quatrième trimestre 2021.
- Les attaques LotL (Living off the Land) ont exploité Microsoft Excel et d’autres outils natifs pour cibler d’éminents responsables politiques et de hauts dirigeants.
- La technique du malware est la plus fréquemment utilisée au quatrième trimestre 2021, représentant 46 % du nombre total de cyberincidents.
- Les particuliers sont les plus ciblés par les attaques, avec des incidents détectés en progression de 73 % au quatrième trimestre 2021.
« Nous sommes arrivés à un tournant dans l’ère de la cybersécurité et constatons des comportements toujours plus hostiles sur une surface d’attaque toujours plus étendue », explique Christiaan Beek, Lead Scientist & Principal Engineer chez Trellix Threat Labs. « Notre monde a fondamentalement changé. Le quatrième trimestre a marqué la sortie d’une période de deux années de pandémie dont les cybercriminels ont tiré profit, et a vu la vulnérabilité Log4Shell affecter plusieurs centaines de millions d’appareils, entretenant la montée en puissance des cyberattaques en 2022, année de l’escalade des cyberactivités à l’international. »
Menaces à l’encontre des infrastructures critiques
Au quatrième trimestre 2021, la progression descyberactivités a visé les secteurs essentiels au fonctionnement de notre société :
- Le transport des biens et des personnes a été ciblé par 27 % des menaces persistantes avancées (APT) détectées, dont les acteurs sont à l’origine d’attaques antagonistes et furtives.
- Le deuxième secteur le plus visé est la santé, qui englobe 12 % de l’ensemble des détections.
- Entre les troisième et quatrième trimestres 2021, les menaces dirigées contre l’industrie ont progressé de 100 % et celles focalisées sur les technologies de l’information se sont intensifiées de 36 %.
- Chez les clients Trellix, parmi toutes les menaces détectées au quatrième trimestre 2021, le secteur des transports a été ciblé à 62 %.
En début de mois, Trellix a publié son Cyber Readiness Report, qui analyse l’état de préparation des fournisseurs d’infrastructures critiques aux cyberattaques. Celui-ci révèle que nombre d’entre eux n’ont pas mis en œuvre des pratiques optimales de cybersécurité malgré l’extrême médiatisation des failles de sécurité.
Menaces à l’encontre de l’Ukraine
Trellix Threat Labs s’intéresse aux logiciels malveillants de type wiper et autres cybermenaces ciblant l’Ukraine. Particulièrement destructifs, les « wipers » rendent inutilisables les équipements des entreprises ciblées en effaçant la mémoire indispensable à leur mode opératoire. L’analyse effectuée par Trellix des malwares Whispergate et HermeticWiper, exploités préalablement et pendant l’invasion de l’Ukraine, met en évidence les similitudes et les différences de ces deux souches utilisées pour détruire les systèmes informatiques ukrainiens en déstabilisant les communications de ce pays.
Le rapport publié ce jour dresse la liste des groupes de cyberpirates ciblant l’Ukraine,notamment ActiniumAPT,GamaredonAPT, Nobelium APT (alias APT29), UAC-0056 et Shuckworm APT. Parmi toutes les menaces persistantes avancées détectées par Trellix au quatrième trimestre 2021, APT29 est à l’origine de 30 % d’entre elles.
Ce rapport formule des recommandations aux entreprises soucieuses de prendre les devants afin de protéger leur environnement contre les tactiques employées par ces acteurs.
Tactiques, techniques et procédures
Trellix constate l’utilisation constante de méthodes LotL (Living off the Land), autrement dit des criminels qui retournent les ressources technologiques d’une entité contre elle pour exécuter une attaque. L’invite de commande Windows (Cmd) (53 %) et PowerShell (44 %) sont les exécutables binaires natifs les plus fréquemment utilisés, et Remote Services (36 %) est l’outil d’administration le plus employé au quatrième trimestre 2021.
Trellix Threat Labs a récemment mis au jour les techniques LotL déployées par DarkHotel, groupe de pirates sud-coréens présumés à l’origine de cette menace persistante avancée ; ils se sont servis de fichiers Excel pour infiltrer des hôtels de luxe et glaner des informations sur des clients de premier plan y voyageant à des fins professionnelles.
En début d’année, Trellix Threat Labs a aussi repéré une campagne de cyberespionnage en plusieurs phases ciblant le cabinet d’un premier ministre, ayant pour but de surveiller de hauts fonctionnaires et des dirigeants d’entreprises dans le secteur de la Défense. Cette campagne a utilisé Microsoft OneDrive comme serveur de commande et de contrôle (C2) et Excel pour accéder aux environnements des victimes.
Autres méthodes et techniques ayant le vent en poupe chez les cyberadversaires depuis quelques mois :
- Cobalt Strike se classe au premier rang des outils de prédilection des groupes APT au quatrième trimestre 2021, en progression de 95 % par rapport au trimestre précédent.
- Le brouillage des fichiers ou des informations, suivis par l’exfiltration des identifiants enregistrés dans les navigateurs web ainsi que par la découverte de fichiers et de répertoires comptent au nombre des techniques les plus fréquemment observées au quatrième trimestre 2021.
- Les malwares sont la cause la plus fréquente des incidents recensés au quatrième trimestre 2021 : ils représentent 46 % du nombre total d’incidents, en progression de 15 % par rapport au troisième trimestre 2021.
Menaces à l’encontre des particuliers
Le rapport fait surtout état d’une progression significative (73 %) de cyberincidents visant les particuliers et des personnalités influentes, lesquels représentent les premières cibles des attaques menées au quatrième trimestre 2021. Au nombre de ces cyberincidents figurent les menaces exécutées sur les réseaux sociaux, les appareils mobiles et autres servicesutilisés pour le stockage des données et d’identifiants. Au quatrième trimestre 2021, par exemple, Facebook a découvert des campagnes de logiciels espions ciblant les utilisateurs aux quatre coins du monde, tandis qu’un autre groupe criminel tirait profit du malware Joker pour cibler les utilisateurs d’appareils Android. Ces attaques ont, en règle générale, pour but de suivre les interactions et connaître les contacts d’un individu.
À noter que cette étude fait suite à la publication de In the Crosshairs: Organizations and Nation-State Cyber Threats, rapport conjoint de Trellix et du Center for Strategic and International Studies qui établit que l’accès aux données des consommateurs est et demeurera sans doute le mobile de près de la moitié des cyberattaques soutenues par les États.
Activité des menaces au quatrième trimestre 2021
- Familles de ransomwares. La famille de rançongiciels Lockbit (21 %) est la plus répandue parmi celles détectées au quatrième trimestre 2021 (en progression de 21 % par rapport au troisième trimestre), suivie par Cuba (18 %) et Conti (16 %).
- Arrestations de gang de ransomware. La famille de rançongiciels REvil/Sodinokibi, qui tenait le haut du pavé au troisième trimestre 2021, se fait nettement plus discrète au quatrième trimestre suite à des interventions réalisées par les agences de coopération judiciaire et de police criminelle.
- Progression de ransomwares. L’activité des rançongiciels a progressé en Italie (793 %), aux Pays-Bas (318 %) et en Suisse (173 %) au quatrième trimestre 2021. L’Inde (70 %) et le Royaume-Uni (47 %) ont également enregistré des hausses notables par rapport au troisième trimestre.
- Familles de malwares. RedLine Stealer (20 %), Raccoon Stealer (17 %), Remcos RAT (12 %), LokiBot (12 %) et Formbook (12 %) représentent près de 75 % des familles de logiciels malveillants observées au quatrième trimestre 2021.
Méthodologie
Le Threat Labs Report (avril 2022) s’appuie sur les données propriétaires du réseau de Trellix, composé de plus d’un milliard de capteurs, mais aussi sur une veille open source et sur les investigations menées par Trellix Threat Labs s’agissant des principales menaces telles que les rançongiciels et l’activité des États-nations. La télémétrie appliquée à la détection des menaces est utilisée pour les besoins de ce rapport. Un fichier, une URL, une adresse IP ou tout autre indicateur détecté et déclaré via l’écosystème Trellix XDR constitue une détection.