Archives de catégorie : Chiffrement

Chiffrement, cryptage, Cybersécurité

Lutte contre la pédopornagraphie : lettre ouverte de scientifique pour protéger l’anonymat

Des parlementaires européens proposent une alternative à la loi contre la pédopornographie, qui aurait contraint les entreprises du secteur technologique à surveiller massivement les contenus des utilisateurs. Cette nouvelle mouture vise à protéger les enfants sans violer la vie privée des citoyens et à maintenir l’intégrité du chiffrement.

Pendant des mois, la Commission européenne a travaillé sur une régulation visant à freiner la propagation de la pédopornographie. Cette initiative, qui aurait obligé les plateformes technologiques à inspecter systématiquement les appareils des utilisateurs pour du contenu inapproprié via des logiciels basés sur l’IA, a suscité de nombreuses controverses.

Elle aurait aussi signifié la fin du chiffrement. Permettre le scannage de fichiers, machines, correspondances, obligerait de ne pas chiffrer, et sécuriser, les documents pour être lus par l’IA.

Ce projet a soulevé des inquiétudes quant à sa conformité avec les lois européennes sur la vie privée. De plus, des questions ont émergé sur la précision du logiciel de détection : une grand-mère pourrait-elle être faussement identifiée en envoyant une simple photo de son petit-fils à la piscine ? En juillet 2023, environ 150 scientifiques ont exprimé leurs préoccupations concernant les implications de cette proposition sur la vie privée et la sécurité en ligne.

Suite à ces critiques, un groupe de parlementaires a introduit une alternative. Elle demande aux entreprises technologiques et plateformes en ligne d’adopter des mesures proactives, comme la vérification de l’âge des utilisateurs. Les comptes des mineurs sur des plateformes telles qu’Instagram ou YouTube seraient privés par défaut, empêchant ainsi les contacts non désirés. Sont-ils au courant que cela existe déjà ? En France, par exemple, la loi instaure une majorité numérique à 15 ans. Avant, les enfants ne peuvent pas s’inscrire sur les réseaux. La loi oblige les plateformes à mettre des solutions techniques de contrôle. Instagram interdit les inscriptions de personnes de moins de 13 ans. TikTok indique aussi 13 ans [14 ans au Quebec]. Selon le blog du modérateur, le top 3 des réseaux sociaux les plus utilisés par la Gen Z (11 / 14 ans) : Instagram : 90 % (+6 % par rapport à 2022), Snapchat : 80 % (+4 %), TikTok : 63 % (+53 % par rapport à 2020).

Contrairement à la proposition initiale, cette version ne mandate le scan des contenus que dans des circonstances spécifiques, basées sur des preuves fournies par les autorités policières. De plus, les scans ne seraient réalisés que sur des plateformes sans chiffrement, éliminant ainsi la nécessité de créer des « backdoors ».

Cette proposition révisée devrait être examinée par le Conseil de l’Europe et la Commission européenne avant un vote final. – Avec DataNews.

Chiffrement, cryptage, Cybersécurité, Hacking

Le lecteur flash le plus sécurisé au monde piraté

Des hackers ont réussi à pirater le lecteur flash le plus sécurisé au monde, l’IronKey S200.

IronKey S200, un lecteur flash qui se veut le plus sécurisé au monde. Il utilise un système de protection des données avancé et s’auto détruit irrévocablement si vous entrez 10 fois le mauvais mot de passe.

L’éditeur de Wired a proposé le piratage de l’appareil à la startup Unciphered, spécialisée dans la récupération de portefeuilles cryptographiques et de périphériques matériels. L’équipe a passé 8 mois à développer une méthode de piratage et a finalement réussi.

Après une expérience réussie, la startup s’est tournée vers Stefan Thomas, devenu célèbre pour avoir oublié le mot de passe de son IronKey, où 7002 BTC sont stockés depuis 12 ans. Stefan a refusé l’offre de piratage, affirmant que deux équipes de hackers travaillaient sur le problème depuis longtemps.

Aujourd’hui, la valeur des bitcoins dans le portefeuille de Stefan est d’environ 235 millions de dollars. Il ne lui reste plus que 2 tentatives de mot de passe sur les 10 alloués par l’IronKey.

Le Trésor américain envisage de déclarer les cryptomixers centres de blanchiment d’argent et appelle à des mesures restrictives , affirmant que leurs principaux clients sont des terroristes.

APT, Chiffrement, Cybersécurité

Le ransomware Cuba déploie un nouveau logiciel malveillant

Découvertes concernant le groupe de ransomware connu sous le nom de Cuba : le groupe a récemment déployé des logiciels malveillants qui ont échappé à la détection avancée, et ciblé des organisations partout dans le monde, compromettant ainsi des entreprises œuvrant dans divers secteurs d’activité.

En décembre 2022, des spécialistes  de la cybersécurité détectaient un incident suspect sur le serveur d’un de ses clients, avec la découverte de trois fichiers douteux. Ces fichiers ont déclenché une séquence de tâches qui ont conduit au chargement de la bibliothèque komar65, aussi appelée BUGHATCH.

BUGHATCH est une porte dérobée sophistiquée qui se déploie dans la mémoire du processus. Le programme exécute un bloc de shellcode intégré dans l’espace mémoire qui lui est alloué à l’aide de l’API Windows, qui comprend diverses fonctions. Il se connecte ensuite à un serveur de commande et de contrôle (C2) en attente d’autres instructions. Il peut recevoir des commandes pour télécharger des logiciels tels que Cobalt Strike Beacon et Metasploit. L’utilisation de Veeamp dans l’attaque suggère fortement l’implication de Cuba dans le déploiement de cette attaque.

Un moustique dans le serveur

Le fichier PDB fait notamment référence au dossier « komar », un mot russe signifiant « moustique », ce qui indique la présence potentielle de membres russophones au sein du groupe. En menant une analyse plus poussée, des experts ont découvert d’autres modules distribués par Cuba, qui améliorent les fonctionnalités du logiciel malveillant. L’un de ces modules est chargé de collecter des informations sur le système, qui sont ensuite envoyées à un serveur via des requêtes HTTP POST.

Poursuivant son enquête, les chercheurs ont identifié de nouveaux échantillons de logiciels malveillants attribués au groupe Cuba sur VirusTotal. Certains de ces échantillons étaient passés entre les mailles de la détection avancée fournie par d’autres fournisseurs de sécurité. Ces échantillons représentent de nouvelles itérations du logiciel malveillant BURNTCIGAR, exploitant des données cryptées pour échapper à la détection antivirus.

« Les gangs de ransomware comme Cuba évoluent rapidement, tout en affinant leurs tactiques, il est donc essentiel de rester à l’avant-garde pour contrer efficacement les attaques potentielles. Face à l’évolution constante du paysage des cybermenaces, la connaissance est l’ultime défense contre les groupes cybercriminels émergents« , a déclaré Kaspersky.

Cuba est une souche de ransomware à fichier unique, difficile à détecter, car elle fonctionne sans bibliothèques additionnelles. Ce groupe russophone est connu pour sa victimologie étendue, et cible des secteurs tels que la vente au détail, la finance, la logistique, les agences gouvernementales et la fabrication en Amérique du Nord, en Europe, en Océanie et en Asie. Les agents malveillants œuvrant au sein de Cuba utilisent un mélange d’outils publics et propriétaires, mettent régulièrement à jour leur boîte à outils et utilisent des tactiques telles que BYOVD (Bring Your Own Vulnerable Driver).

L’une des caractéristiques de leur opération consiste à modifier les dates et les heures des fichiers compilés afin d’induire les enquêteurs en erreur. Par exemple, certains échantillons trouvés en 2020 avaient une date de compilation du 4 juin 2020, alors que les horodatages de versions plus récentes étaient affichés comme étant datées du 19 juin 1992. Leur approche unique consiste non seulement à crypter les données, mais aussi à adapter les attaques pour extraire des informations sensibles, telles que des documents financiers, des relevés bancaires, des comptes d’entreprise et du code source. Les entreprises de développement de logiciels sont particulièrement exposées. Bien que Cuba soit sous les feux des projecteurs depuis un certain temps maintenant, ce groupe reste dynamique et affine constamment ses techniques.

Chiffrement, Cybersécurité

Scanner les internautes pour lutter contre la pédopornographie

Plus de 150 scientifiques ont signé une lettre ouverte exprimant leurs inquiétudes concernant une proposition de la Commission européenne. Cette proposition demanderait aux plates-formes technologiques de scanner automatiquement les appareils des utilisateurs à la recherche de contenu pédopornographique. Les scientifiques soulignent les problèmes potentiels liés à la cybersécurité et à la confidentialité, ainsi que les limites techniques de cette approche.

Inquiétudes concernant la proposition de scannage des appareils : La proposition de la Commission européenne vise à lutter contre la pédopornographie en exigeant que les services de messagerie, tels que WhatsApp, scannent les messages à la recherche de contenu interdit. Les scientifiques mettent en évidence le fait que la principale méthode actuelle de détection de la pédopornographie consiste à comparer les images existantes avec une base de données d’images hashées. Cependant, cette approche peut être contournée en apportant de légères modifications aux images. De plus, la proposition exige que les nouvelles images soient scannées à la recherche de comportements de grooming grâce à l’utilisation de l’apprentissage machine. Bien que cette méthode puisse être précise, elle entraîne également des erreurs et des faux positifs, ce qui peut avoir un impact considérable sur la confidentialité des utilisateurs.

Conséquences pour la vie privée et la cybersécurité : Les auteurs de la lettre ouverte expriment leurs préoccupations quant à l’impact de la proposition sur le cryptage bout-à-bout, une mesure de protection de la confidentialité de plus en plus utilisée dans les services de messagerie. La proposition suggère l’utilisation du « client-side scanning » (CSS), qui impliquerait le suivi des activités de l’utilisateur sur son appareil. Les scientifiques craignent que cela puisse être utilisé à des fins abusives et entraîner une surveillance généralisée. De plus, ils soulignent le risque de mission creep, où le CSS pourrait être utilisé non seulement pour détecter des contenus pédopornographiques, mais également pour d’autres formes de criminalité ou pour restreindre la liberté d’expression.

Réflexions !

Les scientifiques cosignataires de la lettre mettent en garde contre les conséquences potentiellement négatives de la proposition de la Commission européenne sur la vie privée et la cybersécurité des citoyens de l’UE. Ils soulignent que cette approche ne garantit pas une réelle efficacité dans la lutte contre la pédopornographie, car les auteurs de tels contenus pourraient simplement chercher refuge ailleurs. La réglementation proposée suscite donc des préoccupations quant à son respect de la vie privée et à sa faisabilité technique. Il est essentiel de trouver un équilibre entre la protection des victimes de la pédopornographie et le respect des droits fondamentaux des utilisateurs.

Les critiques de la proposition soulignent également que des approches alternatives pour lutter contre la pédopornographie sont disponibles. Par exemple, la collaboration étroite entre les autorités compétentes et les plateformes technologiques pourrait permettre de signaler rapidement et efficacement tout contenu illicite. De plus, des mesures préventives telles que l’éducation et la sensibilisation du public pourraient contribuer à réduire la diffusion de ce type de contenu.

Chiffrement, Cybersécurité, Securite informatique

Proxy jacking : détournement SSH

Proxy jacking : Des hackers malveillants détournent les serveurs SSH en les attachant à un réseau proxy.

Les attaques en ligne sont devenues une préoccupation majeure pour les entreprises et les utilisateurs individuels. Une nouvelle menace a été identifiée par les experts d’Akamai Technologies, mettant en évidence une campagne de proxy jacking qui cible les serveurs SSH vulnérables. Les attaquants exploitent les serveurs pour lancer un service Docker qui utilise la bande passante de la victime pour alimenter un réseau proxy commercial.

Cette technique, moins visible que le cryptojacking, offre aux attaquants un moyen discret de générer des avantages financiers en utilisant la bande passante des victimes. Dans cet article, nous allons examiner de plus près cette menace croissante et discuter des mesures que vous pouvez prendre pour protéger vos serveurs SSH contre les attaques de proxy jacking.

Les attaques de proxy jacking

Les attaques de proxy jacking sont une méthode sophistiquée utilisée par les attaquants pour détourner les serveurs SSH vulnérables. Une fois qu’ils ont obtenu un accès à distance au système, les attaquants déploient un service Docker qui partage le canal Internet de la victime avec un réseau proxy commercial. Contrairement au cryptojacking, cette attaque est beaucoup moins visible, ce qui réduit considérablement le risque de détection précoce. Les attaquants utilisent cette méthode pour obtenir des avantages financiers en exploitant la bande passante supplémentaire de la victime, pour laquelle ils reçoivent une récompense du propriétaire du service proxy.

Les chercheurs notent que, contrairement au cryptojacking, de telles attaques sont beaucoup plus discretes : elles chargent beaucoup moins de ressources, ce qui réduit le risque de détection. L’objectif : obtenir des avantages financiers, seuls les proxyjackers n’utilisent pas la puissance de l’ordinateur, mais la bande passante supplémentaire de la victime, pour laquelle ils reçoivent une récompense du propriétaire du service proxy – comme Peer2Profit ou Honeygain.

Le rôle des services proxy

Les services de proxy de trafic sont des outils légaux couramment utilisés par les annonceurs et d’autres utilisateurs. Les participants à ces réseaux proxy installent volontairement un logiciel spécialisé sur leurs machines, permettant ainsi le partage de leur bande passante inutilisée avec d’autres appareils. Malheureusement, ces outils et services ne sont pas à l’abri des abus. Les attaquants exploitent depuis longtemps les proxys pour masquer la source du trafic malveillant et recherchent activement des services qui offrent un anonymat similaire.

Détection d’une campagne de proxy jacking

Dans cette campagne de proxy jacking, les pirates informatiques ont réussi à installer un script Bash obscurci après avoir détourné un serveur vulnérable. Ce script recherche et met fin à tous les processus concurrents, puis lance un service Docker pour partager la bande passante de la victime. Une analyse plus approfondie a révélé que le logiciel malveillant obtenait toutes les dépendances nécessaires du serveur Web compromis, y compris un outil de ligne de commande Curl déguisé en fichier CSS (csdark.css). (Akamai)

Chiffrement, cryptage, Cybersécurité

Promulgation de la loi Quantum Computing Cybersecurity Readiness Act

Le président américain Joe Biden met en place la loi Quantum Computing Cybersecurity Preparedness Act. Elle est censée protéger les systèmes et les données du gouvernement fédéral contre la menace de violations de données utilisant la technologie quantique.

Alors que des scientifiques chinois ont annoncé le crack de mots de passe (RSA) grâce au calcul quantique, les Etats-Unis se préparent à s’armer d’une loi pour se protéger ! La loi, baptisée Quantum Computing Cybersecurity Preparedness Act (QCCRA), est conçue pour protéger les systèmes et les données du gouvernement fédéral contre la menace de violations de données utilisant la technologie quantique. Cette loi porte sur la migration des systèmes informatiques des agences exécutives vers la cryptographie post-quantique.

La cryptographie post-quantique est un chiffrement suffisamment puissant pour résister aux attaques des ordinateurs quantiques développés à l’avenir. La loi ne s’applique pas aux systèmes de sécurité nationale.

Une fois que les National Institutes of Standards and Technology (NIST) ont publié des normes de cryptographie post-quantique, l’OMB publiera des directives exigeant que chaque agence exécutive élabore un plan de migration des technologies de l’information de l’agence vers la cryptographie post-quantique.

Les ordinateurs quantiques peuvent casser les algorithmes cryptographiques existants. Les experts estiment que l’informatique quantique atteindra ce stade dans les 5 à 10 prochaines années, rendant potentiellement toutes les informations numériques vulnérables aux acteurs de la cybermenace avec les protocoles de cryptage existants.

La loi (H.R. 7535) oblige chaque agence de créer et de maintenir une liste à jour des technologies de l’information utilisées pouvant être vulnérables au déchiffrement par des ordinateurs quantiques. Elles doivent également créer un processus d’évaluation des progrès de la transition des systèmes informatiques vers la cryptographie post-quantique. Ces exigences doivent être remplies dans les six mois suivant l’adoption de la loi.

Des experts chinois cassent le cryptage RSA à l’aide d’ordinateurs quantiques

Un groupe de chercheurs chinois a surpris la communauté de la cybersécurité en affirmant qu’ils avaient réussi à casser le type de cryptage le plus répandu sur le Web, le RSA. Pour cela, les experts ont utilisé des ordinateurs quantiques, bien qu’il soit généralement admis qu’ils ne constituent pas actuellement une menace pour l’ algorithme RSA.

Le Financial Times écrit sur la percée des spécialistes chinois. Fin décembre, les chercheurs ont publié un article (PDF) détaillant une méthode de craquage de l’algorithme RSA à l’aide d’un ordinateur quantique équipé de seulement 372 qubits (bits quantiques).

Rappelons que RSA est au cœur d’une grande partie du chiffrement en ligne. Les rapports d’un piratage réussi ont alerté les spécialistes de la sécurité de l’information, car IBM a promis cette année de mettre à la disposition des clients l’ordinateur quantique le plus puissant, le système Osprey à 433 qubits.

Il n’est pas difficile d’imaginer ce qui attend RSA dans ce cas : il ne survivra tout simplement pas. Roger Grimes, l’un des vénérables experts dans le domaine de la cybersécurité, a noté qu’il s’agit d’un moment très important dans l’histoire de la sphère de la cybersécurité (si les affirmations des experts chinois s’avèrent vraies). « En fait, cela signifie que les autorités d’un pays pourront révéler les secrets d’autres pays. », souligne Grimes.

On comprend mieux le choix des Américains de se pencher, rapidement, sur la Quantum Computing Cybersecurity Preparedness Act.

Chiffrement, cyberattaque

Ransomware : 4 entreprises sur 10 ne récupèrent pas toutes leurs données

Plus de 4 entreprises sur 10 ne récupèrent pas toutes leurs données après le versement d’une rançon. Plus d’un tiers des entreprises ayant payé une rançon ont été visées une seconde fois par des cybercriminels.

En complément de son Rapport 2022 sur la gestion des cyber risques, Hiscox, assureur spécialiste de la protection cyber pour les petites et moyennes entreprises, a dévoilé un nouveau focus dédié aux ransomwares. Pour rappel, le business des assurances cyber s’est vue renforcée, en décembre, avec la possibilité pour les entreprises impactées par un ransomware (ou une cyber attaque) d’être remboursée par leur assureur. L’assureur Hiscox met en évidence les limites du paiement des rançons par les entreprises : 59% des entreprises ayant payé une rançon à des cybercriminels n’ont pas réussi à récupérer toutes leurs données.

Les statistiques montrent que le paiement des rançons ne résout pas tous les problèmes. Il n’est, par exemple, souvent pas possible de restaurer pleinement son système informatique ou d’éviter une fuite des données. Le rapport montre qu’il est plus efficace d’investir dans la mise en œuvre d’une cyber défense solide – en maintenant les logiciels à jours, en organisant des formations internes régulières, en sauvegardant fréquemment ses données – ainsi que dans la préparation d’une réponse appropriée en cas d’attaque, plutôt que de payer systématiquement les cybercriminels.

Un chiffre est particulièrement éloquent : plus d’un quart (26%) des entreprises qui ont payé une rançon dans l’espoir de récupérer leurs données l’ont fait parce qu’elles n’avaient pas de sauvegardes.

Outre la perte de données, une part significative des entreprises ayant payé les rançons a été confrontée à d’autres problèmes :
43 % ont dû reconstruire leurs systèmes, alors même qu’elles avaient reçu la clé de déchiffrement
36 % ont subi une autre attaque par la suite
29 % ont vu leurs données divulguées
Dans 19 % des cas, le pirate a ensuite exigé plus d’argent
Dans 15 % des cas, la clé de déchiffrement n’a pas fonctionné
Plus d’un quart (26 %) a estimé que l’attaque avait eu un impact financier important, menaçant la solvabilité et la viabilité de leur entreprise.

Chiffrement, Cybersécurité

Vulnérabilité à pirate pour Microsoft Office 365 Message Encryption

Une faille dans l’outil Microsoft Office 365 Message Encryption peut permettre à des hackers malveillants d’accéder à vos courriels. Il n’existe, pour le moment, encore aucun correctif.

Microsoft Office 365 Message Encryption (OME) permet aux entreprises d’envoyer des e-mails chiffrés en interne et en externe. Cette solution utilise l’implémentation Electronic Codebook (ECB) – un mode de fonctionnement connu pour laisser fuiter certaines informations structurelles sur les messages.

En collectant suffisamment d’e-mails OME, des hackers peuvent déduire partiellement ou totalement le contenu des messages. Pour ce faire, ils doivent analyser l’emplacement et la fréquence des séquences répétées dans les messages individuels, puis faire correspondre ces séquences à celles trouvées dans d’autres e-mails et fichiers OME.

« Les hackers qui parviennent à mettre la main sur plusieurs messages peuvent utiliser les informations ECB fuitées pour déchiffrer le contenu de ces messages. Plus le hacker dispose d’un nombre important d’e-mails, plus ce processus est facile et précis. Ils peuvent mener cette opération soit en mettant la main sur des archives d’e-mails volés lors de violations de données, soit en s’introduisant sur un compte ou un serveur de messagerie, soit en accédant aux sauvegardes », explique Harry Sintonen, consultant et chercheur en sécurité chez WithSecure, qui a découvert le problème.

Les pirates peuvent mener une analyse tout en étant hors ligne, et donc compromettre des archives d’anciens messages. Malheureusement, les entreprises n’ont aucun moyen d’empêcher un hacker en possession des e-mails d’en compromettre le contenu en utilisant cette méthode.

Il n’est pas non plus nécessaire de connaître les clés de chiffrement pour effectuer l’analyse. Et l’utilisation d’un système BYOK (Bring Your Own Key) ne résout pas le problème.

Harry Sintonen a partagé ses recherches avec Microsoft en janvier 2022. Microsoft a reconnu le problème mais… aucun correctif n’a cependant été publié depuis !

Les entreprises peuvent choisir de renoncer à utiliser cette fonctionnalité mais le risque que des hackers accèdent à des e-mails existants déjà chiffrés avec OME demeure.

Toute entreprise dont le personnel utilisait OME pour chiffrer les e-mails est coincée. Pour celles qui sont soumises à des exigences de confidentialité dans le cadre de contrats ou de réglementations locales, cela peut créer des problèmes. Et il y a, évidemment, les risques liés au vol de données lui-même, ce qui en fait un souci majeur pour les organisations.

Il n’existe donc pas de correctif publié par Microsoft, et aucun mode de fonctionnement plus sécurisé n’est disponible pour les administrateurs de messagerie ou les utilisateurs. Bref, en attendant et quand cela est possible, il est recommandé d’éviter d’utiliser OME pour assurer la confidentialité des e-mails.

Chiffrement, Cybersécurité

Ransomware : la rançon moyenne est de 925 162 dollars

Le montant moyen des paiements de rançons suit à une cyberattaque approche rapidement le million de dollars alors que la crise des rançongiciels continue de faire des ravages dans les organisations de toutes tailles à travers le monde.

Les rançons ne cessent d’augmenter à la fois en ce qui concerne les demandes que les paiements. Parmi les cas de réponse aux incidents en 2021, qui se trouvaient principalement aux États-Unis, la rançon moyenne demandée était d’environ 2,2 millions de dollars. Cela représente une augmentation d’environ 144 % par rapport à la demande moyenne de 900 000 $ des cas traités en 2020 par les consultants de l’Unit 42. Le paiement moyen des dossiers traités par les experts de l’Unit 42 ont grimpé à 541 010 $, soit 78 % de plus que l’année précédente.

Il semble que personne ne soit à l’abri des attaques de ransomwares comme le montre le blog ZATAZ. Les organisations dans presque tous les pays et secteurs ont été ciblées en 2021. L’analyse des sites de fuite de ransomwares a identifié la région des Amériques comme la plus touchée – 60 % des victimes recensées sont identifiés dans cette région, tandis que 31 % des victimes sont attribuées à l’Europe, au Moyen-Orient et à l’Afrique (EMEA) et 9% à l’Asie-Pacifique. Les services professionnels et juridiques, suivis de la construction, ont été les secteurs les plus ciblés, avec respectivement 1 100 et 600 victimes recensées sur les sites de fuite.

Les effets à long terme d’une attaque par rançongiciel peuvent représenter un défi pour les organisations. Parmi les entreprises touchées par les ransomwares, une majorité (58 %) des décideurs informatiques déclarent que leur l’organisation a payé la rançon, 14 % déclarant que leur organisation a payé plus d’une fois. Sans parler de celle qui ne souhaite pas que cela se sache et son prêt à menacer les lanceurs d’alertes.

Le rapport indique que, bien que 41 % des entreprises touchées par une attaque par ransomware aient pu récupérer en moins d’un mois, 58% ont pris plus d’un mois. 29% des entreprises interrogées attaquées par des ransomwares ont pris plus de trois mois, et 9 % ont dit qu’il leur a fallu plus de cinq à six mois pour revenir à la normale.

Les tactiques employées par ces cybercriminels reflètent la sophistication croissante et maturité du paysage des rançongiciels.

Multi-extorsion en hausse

Techniques de multi-extorsion où non seulement les attaquants chiffrent les dossiers d’une organisation, mais pratiquent aussi le « name and shame » (chantage aux victimes et/ou menacer de lancer d’autres attaques (par exemple, l’attaque DDoS) pour inciter les victimes à payer plus rapidement. En 2021, les noms et preuve de compromis pour 2 566 victimes ont été affichés publiquement sur sites de fuite de ransomware, marquant une augmentation de 85% par rapport à 2020.
​​​​
La prolifération des RaaS (Ransomware as a Services) avec la mise à disposition de « kits » et services de soutien aux cybercriminels qui réduisent leurs barrières techniques et leur permettent d’accélérer et multiplier leurs attaques.

Les principaux gangs de rançongiciels ont rapidement exploité la vulnérabilité CVE-2021-44228, communément appelée Log4Shell.

Il est fort probable que tant que les organisations ne parviendront pas à appliquer les correctifs connus pour ces vulnérabilités critiques, les attaquants continueront à les exploiter à leur avantage.

backdoor, Chiffrement, cyberattaque

Faire face aux attaques de ransomware de type « Living Off the Land »

Les cyberattaques de type « living off the land » (ou LotL) constituent désormais l’une des menaces les plus redoutables pour les entreprises. La récente campagne de ransomware contre Kaseya n’est ainsi que le dernier exemple en date, dans lequel les cybercriminels ont utilisé les ressources technologiques de l’organisation contre elle. Ces types d’attaques procurent en effet aux cybercriminels deux leviers clés : l’accès et le temps.

Si ces attaques LotL ne se concluent pas toujours par un ransomware, les deux vont de plus en plus souvent de pair et sont aussi difficiles à évaluer qu’à prévenir. Une stratégie de protection efficace commence donc par une solide compréhension de ce qui constitue une attaque par ransomware LotL et des dommages qu’elle peut causer.

Dès 2017, les attaques de malwares sans fichier ont commencé à attirer l’attention du grand public après la divulgation de rapports faisant état d’infections de systèmes IT de plusieurs grandes organisations. Or, ces malwares sans fichier ont rendu possibles les attaques LotL. En éliminant la nécessité de stocker la charge utile malveillante dans un fichier, ou de l’installer directement sur une machine, les cybercriminels peuvent alors échapper aux antivirus, et aux autres outils traditionnels de sécurité des terminaux. Ils se déplacent ensuite latéralement dans l’environnement, en escaladant les privilèges et en dévoilant de nouveaux niveaux d’accès, jusqu’à ce qu’ils atteignent le but ultime : les systèmes, les applications et les bases de données contenant des actifs commerciaux essentiels, tels que les données clients, la propriété intellectuelle, les ressources humaines.

Malwares sans fichier

Pour se maintenir dans les systèmes sans être détectés, ces malwares sans fichier se font souvent passer pour un outil de confiance doté de privilèges et d’accès élevés. Cela permet aux attaquants de surveiller l’environnement, de récupérer des identifiants, en prenant tout le temps nécessaire. Il est extrêmement difficile d’identifier, et encore plus d’arrêter, ces attaques, surtout s’il s’agit d’un ransomware sophistiqué qui cible spécifiquement l’organisation. Pour y faire, il n’y a pas d’autre choix que de penser comme des attaquants, tout en gardant à l’esprit qu’une campagne n’est pas nécessairement identique à une autre. Le cheminement des attaques LotL n’est en effet pas linéaire. L’objectif est donc de déchiffrer l’environnement et de développer une approche fondée sur ce qui s’y trouve.

La plupart des attaques LotL suivent ainsi un schéma similaire : usurper des identités pour s’infiltrer dans un réseau d’entreprise, compromettre des systèmes, élever des privilèges et se déplacer latéralement jusqu’à obtenir l’accès aux systèmes sensibles nécessaires à l’exécution de l’attaque ou à la propagation du ransomware. Mais à chaque étape, il existe des possibilités divergentes qui rendent le suivi et l’anticipation de ces attaques très complexes. Les équipes IT doivent donc bénéficier des outils nécessaires pour décomposer les comportements et les indicateurs d’alerte à surveiller, lors des étapes critiques d’une attaque par ransomware LotL, et ce, afin d’accélérer la détection et de réduire l’exposition et les dommages.

Cependant, compte tenu du nombre de techniques éprouvées dont disposent les cybercriminels, il peut se révéler difficile de savoir comment traiter les points de vulnérabilité ou par où commencer. L’élaboration d’une stratégie de protection efficace contre les ransomwares exige des organisations qu’elles étudient les maillons de la chaîne d’attaque qui présentent les niveaux de risque les plus élevés et qu’elles les classent par ordre de priorité. Ainsi, une sécurisation des terminaux à plusieurs niveaux – combinant la défense par le moindre privilège, l’authentification forte des identités, la protection contre le vol d’informations d’identification, le contrôle des applications et le blocage des ransomwares – compliquera considérablement la tâche des hackers qui voudront s’introduire et maintenir leur présence. Car une fois qu’ils ont un pied dans le réseau informatique, il leur est facile de brouiller les pistes et d’intensifier leur action. (Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud chez CyberArk)