Dans le paysage actuel des menaces, les collaborateurs constituent le nouveau périmètre de sécurité. Qu'il s'agisse de malwares, de fraude par email, de prise de contrôle de comptes ou de phishing d'identifiants de connexion, les cyberattaques n'ont plus pour objectif de contourner les contrôles réseau ni d'exploiter les vulnérabilités techniques. Elles ciblent désormais les utilisateurs et exploitent la nature humaine.
C'est pourquoi nous plaçons les personnes au centre de notre stratégie de cybersécurité et nous concentrons dans ce rapport sur les attaques déclenchées par des utilisateurs. Comme la plupart des rapports sur les menaces, celui-ci met en évidence les tendances, les campagnes et les thèmes des attaques survenues au cours du dernier trimestre. Mais il va encore plus loin en analysant la manière dont les cybercriminels ciblent les personnes et les solutions qui s'offrent à vous pour y remédier.
L'objectif de ce rapport est double. Premièrement, nous souhaitons contribuer à démystifier la cybersécurité en mettant en lumière le caractère centré sur les personnes des menaces actuelles. Deuxièmement, nous voulons montrer aux entreprises comment elles peuvent tirer parti de ces données pour renforcer la protection de leurs ressources les plus importantes et les plus à risque : leurs collaborateurs.
Ce rapport ne constitue qu'une facette limitée des données que nous fournissons à nos clients par le biais de notre graphique des menaces Nexus. Chaque jour, nous analysons des milliards d'emails, d'URL et de pièces jointes, des dizaines de millions de comptes cloud et plus encore, ainsi que des milliers de milliards de points de données sur tous les canaux numériques pertinents. Notre rayon d'action mondial et notre analyse ciblée des risques liés aux personnes nous offrent une visibilité unique sur les cybermenaces actuelles les plus dangereuses.
Sauf indication contraire, ce rapport porte sur les menaces observées par notre réseau mondial de chercheurs spécialisés en menaces.
Principales techniques d'attaque
La messagerie électronique est de loin le premier vecteur de cyberattaques. Nous avons observé un large éventail de techniques d'attaque par email au 4e trimestre, et pratiquement toutes avaient recours d'une façon ou d'une autre à l'ingénierie sociale.
L'expression « ingénierie sociale » désigne toute technique psychologique incitant des utilisateurs à se livrer à des actions malveillantes : ouvrir une pièce jointe, cliquer sur une URL dangereuse, envoyer des identifiants de connexion ou des informations sensibles, transférer des fonds à des cybercriminels, etc.
La figure 1 montre les attaques qui ont associé ingénierie sociale et exploit technique. La plupart du temps, les cybercriminels s'appuient sur l'ingénierie sociale pour inciter les utilisateurs à exécuter une action, sans qu'aucun malware soit nécessaire. Si elle était considérée comme une technique à part entière, l'ingénierie sociale arriverait largement en tête du classement, car elle joue un rôle dans 99 % des attaques.
Lorsqu'elle est combinée à un exploit technique, l'ingénierie sociale peut prendre la forme d'un simple email avec un objet auquel il est difficile de résister, envoyé à partir d'une adresse usurpée. Elle peut également être employée pour usurper l'identité d'un collège de confiance afin de piéger de nouvelles victimes.
Figure 1
Voici un résumé du fonctionnement de ces techniques :
- Macros Office : Cette technique exploite les failles d'un mini-langage de programmation conçu pour faciliter l'automatisation et l'extension des fonctionnalités de Microsoft Office. Elle permet aux cybercriminels de créer des macros malveillantes incorporées qui, une fois ouvertes, infectent le terminal des utilisateurs. Dans la plupart des attaques, l'utilisateur est non seulement incité à ouvrir le document, mais aussi à activer les macros. De nombreuses attaques récentes tirent parti des vulnérabilités d'une fonctionnalité d'Excel vieille de plusieurs décennies. Elles sont souvent classées en tant qu'attaques Excel 4.0 (XL4).
- Contournement de l'environnement sandbox : Les outils modernes de détection des menaces exécutent les fichiers inconnus en toute sécurité dans un environnement de machine virtuelle afin de voir comment ils se comportent lorsqu'un utilisateur clique dessus ou les ouvre. Les techniques de contournement de l'environnement sandbox peuvent empêcher les malwares de s'exécuter ou limiter les comportements révélateurs d'une menace dans les environnements virtuels afin d'échapper à la détection. L'outil de ligne de commande regsvr32 de Windows a été l'une des techniques de contournement les plus utilisées au 4e trimestre pour échapper à la détection dans la plupart des environnements de sandbox. (Regsvr32 a été conçu pour aider les administrateurs, mais permet aux cybercriminels de contourner l'outil de sécurité AppLocker de Windows.)
- PowerShell : Cette technique exploite l'outil d'administration intégré de Windows pour infecter les ordinateurs des victimes. Ce type d'attaque débute généralement par l'envoi d'un email de phishing contenant une URL. Celle-ci mène à une page intégrant du code qui tire parti de la fonctionnalité PowerShell pour prendre le contrôle de la machine de la victime. Ces attaques sont difficiles à détecter, car elles exploitent une fonctionnalité légitime de Windows et ne débutent pas par l'exécution d'un malware. Les cybercriminels peuvent également tirer parti de cette fonctionnalité pour télécharger d'autres fichiers malveillants sur Internet et les exécuter.
- HTML : Les pages Web peuvent inclure toutes sortes de code exploitant les failles des navigateurs les plus populaires et, dans de rares cas, des systèmes d'exploitation. Il peut notamment s'agir de sites et de publicités Web légitimes mais compromis. La plupart des attaques qui emploient cette technique incitent la victime à cliquer sur une URL dangereuse, mais les cybercriminels peuvent également envoyer des pages HTML directement par email.
- Piratage de fils de discussion : Après avoir pris le contrôle du compte de messagerie d'un utilisateur, le cybercriminel contacte des personnes que la victime connaît en répondant à des fils de discussion antérieurs et en cours au moyen d'un email malveillant.
- Protection par mot de passe : L'ajout d'une protection par mot de passe à un fichier malveillant permet de contourner de nombreux outils de détection des malwares. Le cybercriminel transmet le mot de passe aux utilisateurs et les incite à ouvrir et à déverrouiller le fichier.
- Geofencing : Cette technique limite le champ d'action des malwares à des régions géographiques définies à l'aide du GPS et des autres fonctionnalités de localisation du terminal infecté. Elle permet aux cybercriminels de lancer des attaques ciblées ou d'échapper aux outils de détection.
Principaux cybercriminels :
Parmi les emails malveillants envoyés au 4e trimestre que nous sommes parvenus à attribuer à un cybercriminel connu, plus de 60 % provenaient de deux groupes cybercriminels, que nous avons appelés TA544 et TA542 (qui utilise Emotet). Les deux groupes faisaient également partie des cybercriminels les plus prolifiques au 3e trimestre.
Remarque : Ce graphique met en évidence les attaques par email que nous sommes parvenus à attribuer à un cybercriminel connu. Il n'est pas toujours possible de déterminer qui se trouve derrière une attaque (un processus appelé « attribution »). L'écosystème de cybercriminels est vaste et extrêmement fragmenté. Ce graphique ne tient pas compte des attaques non attribuées afin de nous permettre d'analyser et de comparer les menaces les plus dangereuses.
Figure 2
Qu'est-ce qu'un « cybercriminel » ?
Le terme « cybercriminels » est utilisé par les chercheurs spécialisés en menaces pour désigner un ou plusieurs individus malveillants. En voici quelques exemples :
- Cybercriminels à la solde d'États. Ces cybercriminels se livrent généralement à des activités d'espionnage pour le compte d'un gouvernement, communément appelées « menaces persistantes avancées ». Ils peuvent également s'adonner au vol de propriété intellectuelle ou d'argent, ou lancer des attaques visant à perturber ou à endommager des données et systèmes. Quelle que soit l'approche adoptée, tous ont un objectif militaire ou diplomatique à atteindre.
- Réseaux cybercriminels. Les motivations de ces groupes criminels organisés sont généralement financières. Dans bien des cas, leur fonctionnement est similaire à celui des franchises marketing multiniveaux. Un cybercriminel sophistiqué crée le « produit » malware et configure l'infrastructure sous forme de package ou de service facile à utiliser. Les cybercriminels aux compétences moins pointues peuvent louer le service afin de lancer leurs propres attaques, soit en payant pour l'utiliser pendant une période déterminée, soit en percevant une commission pour chaque compromission réussie. Dans d'autres cas, ils font office de distributeurs : ils envoient des emails contenant le malware et touchent une commission pour chaque infection fructueuse. Certains chercheurs considèrent les groupes cybercriminels les plus évolués comme des menaces persistantes avancées.
- Hacktivistes. Le terme « hacktivisme » fait référence aux attaques visant à faire passer un message politique ou à faire changer les règles. Bien que rares, ces attaques ont généralement pour but d'entraîner la divulgation d'informations confidentielles, d'empêcher des actes jugés répréhensibles ou d'embarrasser des ennemis. Même si leurs objectifs diffèrent, les hacktivistes emploient les mêmes outils et techniques que les autres types de cybercriminels et peuvent causer tout autant de dégâts.
Il est essentiel de déterminer qui se trouve derrière une attaque et quelles sont ses motivations afin de s'en protéger.
Le groupe TA542 et la déroute d'Emotet
Ces dernières années, TA542 est devenu l'un des groupes cybercriminels les plus prolifiques grâce à ses campagnes massives utilisant une souche de malware appelée Emotet. Le groupe cible de multiples secteurs d'activité à travers le monde et envoie des centaines de milliers, voire des millions, de messages par jour.
Surnommé « le malware le plus dangereux au monde »1, Emotet se distingue par sa polyvalence et sa haute flexibilité. Il a été identifié pour la première fois en 2014 comme un simple cheval de Troie bancaire visant à dérober des identifiants de connexion. Depuis lors, il a évolué pour devenir une souche de malware extrêmement polyvalente permettant de lancer toutes sortes d'attaques, du vol de données à la collecte d'identifiants de connexion, en passant par les ransomwares. Les cybercriminels se servent d'Emotet pour cibler des secteurs d'activité critiques du monde entier, dont les banques, l'e‑commerce, la santé, les universités, les administrations publiques et les technologies.2
Emotet ne se contente pas de compromettre les systèmes qu'il infecte. Il s'en sert également pour lancer de nouvelles attaques, en les absorbant dans un réseau zombie de plus d'un million de machines infectées, appelé « botnet ». Les autres cybercriminels peuvent donner de l'argent au groupe TA542 afin d'utiliser le botnet pour toutes sortes d'attaques… enfin, ils le pouvaient il y a encore quelques semaines.
Le démantèlement
Fin janvier, les autorités ont déclaré avoir démantelé l'infrastructure d'Emotet dans le cadre d'un effort coordonné entre neuf pays d'Amérique du Nord et d'Europe.3 Les forces de l'ordre semblent avoir pris le contrôle des trois botnets connus d'Emotet. Les autorités prévoient de remanier les botnets afin de supprimer les malwares des systèmes infectés.4
Que nous réserve l'avenir ?
À ce stade, il est impossible de prédire les répercussions à long terme du démantèlement d'Emotet. Le groupe TA542 était encore actif dans les jours précédant le démantèlement. Qui plus est, les efforts déployés par le passé en vue de démanteler des botnets de grande envergure ont donné des résultats mitigés. Nous ne savons pas quelle était la taille de l'équipe qui contrôlait le botnet Emotet ni si tous ses membres se trouvaient en Ukraine, où au moins deux des opérateurs d'Emotet ont été arrêtés.5
Si des segments du botnet et les opérateurs associés subsistent, le code source d'Emotet pourrait être remanié sous une nouvelle infrastructure et un nouveau nom. Les cybercriminels intègrent souvent un mécanisme de redondance à leur infrastructure, et leurs équipes vivent généralement dans des pays où elles sont à l'abri des poursuites.
Le groupe TA544 multiplie les attaques visant à dérober de l'argent
Identifié pour la première fois en 2017, le groupe TA544 fait partie d'un réseau criminel financier ciblant un large éventail de secteurs d'activité au Japon et dans plusieurs pays européens, en particulier des entreprises technologiques et de fabrication. Il s'agit d'un affilié qui distribue plusieurs souches de malware, dont Panda Banker.
Bon nombre des attaques lancées par le groupe ont recours au cheval de Troie Ursnif. Il est cependant difficile d'établir si le groupe TA544 le contrôle ou s'il ne fait que l'utiliser. Le malware provient d'un code source ayant fuité et est employé par de nombreux autres cybercriminels.
L'une des caractéristiques du groupe TA544 réside dans sa façon d'utiliser la stéganographie pour dissimuler du code malveillant dans des images en apparence inoffensives.
Le groupe TA573, un distributeur de haut vol lié à Evil Corp
Comme d'autres marchés illicites, la cybercriminalité est un écosystème vaste et multiniveau incluant des fournisseurs, des distributeurs, des spécialistes du blanchiment d'argent, etc. Le groupe TA573 fonctionne comme un affilié, c'est-à-dire qu'il utilise des malwares créés par quelqu'un d'autre.
Les affiliés sont en quelque sorte le dernier maillon de la chaîne logistique des malwares. Ils n'écrivent pas de malwares et ne gèrent pas l'infrastructure utilisée pour lancer des attaques. Ils distribuent des malwares après avoir sélectionné des cibles et créé des emails pour inciter les destinataires à interagir avec eux. Les modèles économiques des cybercriminels varient, mais les affiliés perçoivent généralement une commission pour chaque victime infectée.
Le groupe TA573 est un distributeur affilié de Dridex, une souche de malware réapparue en 2020 après s'être fait oublier une bonne partie de l'année 2019. Le malware en lui-même est une création d'un groupe cybercriminel russe baptisé Evil Corp,6 une menace établie de longue date qui s'est récemment transformée en ransomware.7 En juin, les autorités américaines ont annoncé qu'elles offraient 5 millions de dollars pour toute information menant à l'arrestation des opérateurs d'Evil Corp, soit la récompense la plus importante jamais promise pour un cybercriminel.
Le groupe TA800 prend en otage des données de santé
Ce groupe est un distributeur affilié de The Trick, également connu sous le nom de TrickBot et de BazaLoader. (Pour plus d'informations sur les affiliés, reportez-vous à la description du groupe TA573.)
Le groupe TA800 cible un large éventail de secteurs d'activité en Amérique du Nord. Il infecte ses victimes avec des chevaux de Troie bancaires et des chargeurs de malwares (malwares conçus pour télécharger d'autres malwares sur un terminal compromis). Les emails malveillants mentionnent généralement le nom des destinataires, leur poste et leur employeur, et incluent des pages de phishing conçues pour ressembler à celles de l'entreprise ciblée. Les leurres sont axés sur des thèmes auxquels il est difficile de résister. Ils prétextent par exemple un paiement, une réunion, un licenciement, une prime ou une plainte dans l'objet ou le corps de l'email.
Au 4e trimestre, le groupe a lancé une vague d'attaques contre le secteur de la santé à l'aide d'un chargeur connu sous le nom de BazaLoader. BazaLoader, qui est sous le contrôle d'un autre cybercriminel, a ensuite installé une souche de ransomware appelée Ryuk. (Certains chercheurs pensent que BazaLoader a été créé par l'équipe à l'origine de The Trick, notamment parce que les deux souches de malware ont infecté des victimes grâce à Ryuk.)
Le ransomware chiffre les données des terminaux infectés, ce qui empêche les victimes d'accéder à leurs données et systèmes tant qu'elles n'ont pas versé une rançon au cybercriminel.
Les établissements de santé sont devenus une cible particulièrement attrayante pour les attaques de ransomwares. La plupart du temps, ils ne sont pas aussi bien protégés que les entreprises des autres secteurs. Et au vu de la nature de leurs activités, ils ne peuvent pas se permettre de temps d'arrêt.
En octobre, trois agences gouvernementales américaines ont mis en garde les hôpitaux concernant une menace « grandissante et imminente » incluant des attaques de ransomwares.8
Nouvel arrivé, le groupe TA574 utilise d'anciens malwares
Relativement récent, le groupe TA574 semble lui aussi être un affilié qui se concentre sur la distribution de malwares. (Pour plus d'informations sur les affiliés, reportez-vous à la description du groupe TA573.)
Le groupe TA574 cible les entreprises d'un large éventail de secteurs d'activité, auxquelles il envoie une version mise à jour du cheval de Troie bancaire ZLoader, apparu il y a 15 ans. Il s'agit d'une variante du célèbre cheval de Troie bancaire Zeus, qui a permis aux cybercriminels de dérober des millions de dollars sur les comptes bancaires de leurs victimes.
Le groupe a également recours à Ostap, un téléchargeur de malwares utilisant JavaScript pour échapper à la détection des outils d'analyse en environnement sandbox (pour en savoir plus sur le contournement de l'environnement sandbox, consultez la section « Principales techniques d'attaque »).
Attribution : les « inconnues connues »
Comme mentionné précédemment, la figure 1 ne tient compte que des attaques que nous sommes parvenus à attribuer à un cybercriminel connu. Cette représentation est utile, mais peut donner l'impression que l'univers des cybercriminels est bien plus concentré qu'il ne l'est en réalité.
Comme le montre la figure 2, près de 90 % des emails liés à une campagne observés au 4e trimestre ne peuvent pas être attribués à un cybercriminel connu. (Ce chiffre est encore plus élevé pour les emails qui ne sont pas liés à une campagne.)
Figure 3
Il est facile de comprendre pourquoi. Les aspirants pirates aux compétences techniques limitées peuvent facilement accéder aux malwares et à l'infrastructure dont ils ont besoin pour lancer des campagnes fructueuses, ce qui réduit considérablement les obstacles à franchir. Comme nous l'avons expliqué dans la dernière section, de nombreuses attaques ne nécessitent pas de tels outils, mais une compréhension approfondie de la nature humaine et un talent de persuasion.
Ce constat témoigne de l'étendue et de la diversité du paysage actuel des menaces et rappelle que les entreprises soucieuses de protéger leurs utilisateurs, leurs données et leurs systèmes doivent se préparer à tout.
Conclusion et recommandations
Les attaques d'aujourd'hui ciblent les personnes, pas l'infrastructure. C'est pourquoi vous devez adopter une approche de la cybersécurité centrée sur les personnes. Vous bénéficierez ainsi d'une visibilité sur les vulnérabilités, les attaques et les privilèges au niveau des utilisateurs, ainsi que de contrôles adaptés qui tiennent compte des risques auxquels chaque collaborateur est exposé.
En guise de point de départ, nous recommandons les actions suivantes :
- Formez les utilisateurs à repérer et à signaler les emails malveillants. Une formation régulière et des simulations d'attaques peuvent contribuer à contrer de nombreuses attaques et à identifier les personnes particulièrement vulnérables. Les simulations les plus efficaces imitent les techniques d'attaque du monde réel. Choisissez des solutions qui correspondent aux tendances d'attaque réelles et aux informations de threat intelligence les plus récentes.
- En parallèle, partez du principe que les utilisateurs activeront inévitablement certaines menaces. Les cybercriminels trouveront toujours de nouvelles techniques pour exploiter la nature humaine. Optez pour une solution qui repère et bloque les emails entrants malveillants ciblant les collaborateurs, avant qu'ils n'atteignent la boîte de réception. Investissez dans une solution capable de gérer toutes les catégories de menaces par email, pas seulement les malwares. Certaines menaces, notamment le piratage de la messagerie en entreprise (BEC, Business Email Compromise) et d'autres formes de fraude par email, peuvent être difficiles à détecter avec des outils de sécurité traditionnels. Votre solution doit analyser tant les emails externes qu'internes, dans la mesure où des pirates employant des comptes compromis peuvent leurrer des utilisateurs au sein de la même entreprise. L'isolation du Web peut constituer une protection critique contre les URL inconnues et à risque.
- Gérez l'accès aux données sensibles et réduisez les menaces internes. Une solution CASB (Cloud Access Security Broker) peut vous aider à protéger les comptes cloud et à octroyer les niveaux d'accès appropriés aux utilisateurs et aux modules complémentaires tiers en fonction des facteurs de risque les plus importants à vos yeux. Les plates-formes de gestion des risques liés aux utilisateurs internes peuvent renforcer la protection contre les menaces internes, y compris les utilisateurs compromis par des attaques externes.
- Collaborez avec un fournisseur spécialisé dans la threat intelligence. Pour faire face aux attaques extrêmement ciblées, vous avez besoin d'informations de threat intelligence avancées sur les menaces. Tirez parti d'une solution combinant des techniques statiques et dynamiques de détection à grande échelle des nouvelles caractéristiques des attaques (c'est-à-dire leurs outils, tactiques et cibles), et qui soit en mesure d'en tirer les enseignements nécessaires.
1 Europol, « World's Most Dangerous Malware Emotet Disrupted Through Global Action » (Emotet, le malware le plus dangereux au monde, démantelé par une opération internationale), janvier 2021.
2 Ministère américain de la Justice, « Emotet Botnet Disrupted in International Cyber Operation » (Le botnet Emotet démantelé par une cyberopération internationale), janvier 2021.
3 Danny Palmer (ZDNet), « Emotet: The world's most dangerous malware botnet was just disrupted by a major police operation » (Emotet : le botnet le plus dangereux au monde vient d'être démantelé par une opération des forces de l'ordre de grande envergure), janvier 2021.
4 Catalin Cimpanu (ZDNet), « Authorities plan to mass-uninstall Emotet from infected hosts on April 25, 2021 » (Les autorités prévoient la désinstallation en masse d'Emotet sur les hôtes infectés le 25 avril 2021), janvier 2021.
5 Andy Greenberg (Wired), « Cops Disrupt Emotet, the Internet's ‘Most Dangerous Malware’ » (Démantèlement d'Emotet, le malware le plus dangereux d'Internet, par les forces de l'ordre), janvier 2021.
6 Krebs on Security, « Inside ‘Evil Corp,’ a $100M Cybercrime Menace » (Focus sur Evil Corp, un groupe cybercriminel ayant dérobé plus de 100 millions de dollars), décembre 2019.
7 BBC, « Russian hacker group Evil Corp targets US workers at home » (Le groupe de pirates russes Evil Corp cible les collaborateurs américains en télétravail), juin 2020.
8 Nationals Cyber Awareness System, « Alert (AA20-302A): Ransomware Activity Targeting the Healthcare and Public Health Sector » (Alerte AA20-302A : activité de ransomware ciblant le secteur des soins de santé et de la santé publique), octobre 2020.