En 2019, 30% des cyberattaques ont eu lieu via des détournements d’outils légitimes
- --
- 10 août 2020 - 16:01 --
- Bref
Kaspersky publie les résultats de son rapport mondial Incident Response Analyst pour l’année 2019. Un rapport qui dévoile que l’année dernière, près d'un tiers (30%) des cyberattaques sur lesquelles a enquêté l'équipe Global Emergency Response de Kaspersky ont impliqué des logiciels administratifs et de gestion authentifiés. Ce chiffre est légèrement inférieur en Europe. Ce mode opératoire offre aux cyber attaquants l’avantage de pouvoir rester plus longtemps invisibles sur le réseau des entreprises touchées.
Les logiciels de monitoring et de gestion aident les administrateurs informatiques et réseau à accomplir leurs tâches quotidiennes, telles que le dépannage et l'assistance technique aux employés. Des logiciels utilisés de façon légitime, mais qui peuvent voir leur utilisation détournée par des pirates informatiques lors d’attaques visant l'infrastructure d'une entreprise. Grâce à ces outils légitimes, les cyber attaquants peuvent contourner les contrôles de sécurité visant à détecter les logiciels malveillants, et ainsi lancer l’exécution de programmes sur les différents terminaux et accéder aux informations sensibles de l’entreprise.
L'analyse de Kaspersky des données issues des réponses aux incidents de sécurité a montré qu’au niveau mondial, 18 solutions authentifiées ont été utilisées en 2019 par des attaquants à des fins malveillantes. En tête :
- PowerShell, pour 25 % des attaques. Un puissant outil administratif qui peut être utilisé à de nombreuses fins (collecte d'informations, exécution de logiciels malveillants...).
- PsExec, dans 22 % des cas. Cette application de console est destinée à lancer des processus sur des terminaux distants.
- SoftPerfect Network Scanner, pour 14% des attaques. Un outil destiné à récupérer des informations sur les environnements réseau.
Un classement qu’on retrouve pour l’Europe, mais avec des proportions différentes : PowerShell and PsExec sont les plus utilisés , suivi de SoftPerfect Network Scanner (dans 37,5% des attaques).
Détecter les attaques menées avec des outils légitimes est difficile pour les entreprises, car les actions effectuées peuvent faire partie de l’activité ordinaire de l'administrateur système. Une difficulté qui permet aux attaquants de rester en place plus longtemps, et donc de collecter plus longtemps les données des utilisateurs, ou d’espionner l’activité de l’entreprise. Parmi les attaques de longue durée, la durée médiane des attaques est ainsi de 122 jours.
Cependant, les experts de Kaspersky notent que, dans certaines situations, les actions malveillantes menées par le biais de logiciels légitimes sont rapidement découvertes. Ils sont en effet souvent utilisés dans les attaques par ransomwares, pour lesquelles les dommages sont clairement visibles. Ainsi, pour les attaques de courte durée, la durée médiane est d’un jour.
Enfin, on trouve un troisième
type d’attaques, en termes de durée qui correspond à un entre-deux, avec une durée moyenne de 10 jours. La menace traditionnelle, derrière ces attaques de durée intermédiaire sont les vols financiers.
« Pour éviter de se faire détecter et rester invisible le plus longtemps possible sur le réseau de l’entreprise ciblée, les attaquants utilisent fréquemment des logiciels qui sont normalement développés pour les activités quotidiennes, comme le traitement des tâches liées à l’administration réseau et les diagnostics système. En effet, grâce à ces outils, les attaquants peuvent recueillir des informations sur le réseau de l’entreprise et effectuer des actions parallèles à celles des administrateurs, comme modifier les paramètres des logiciels et ceux des appareils, ou mettre en place des actions malveillantes (crypter les données des clients par exemple). Utiliser des logiciels authentifiés et légitimes peut également aider les pirates à rester inconnus des analystes sécurité, car souvent l'attaque n’est détectée qu'une fois les dommages causés. S’il n'est pas possible pour l’entreprise d'exclure ces outils de monitoring et de gestion - car ils permettent son bon fonctionnement - la mise en place de systèmes d’authentification et de détection permet de repérer les activités suspectes sur le réseau et les attaques complexes à des stades plus précoces », commente Bertrand Trastour, Head of B2B, Kaspersky France, Afrique du Nord, de l’Ouest et Centrale.
Pour détecter et réagir rapidement à de telles attaques, les organisations doivent envisager l’adoption d’une solution EDR (Endpoint Detection and Response) accompagnée d’un service MDR (Management Detection and Response). Consulter les évaluations de l’organisation MITRE ATT&CK® - qui évalue différentes solutions, y compris Kaspersky EDR et le service Kaspersky Managed Protection - peut aider les organisations à choisir la solution EDR qui correspond le mieux à leurs besoins spécifiques. Les résultats de l'évaluation ATT&CK prouvent par ailleurs l'importance d'une solution complète qui combine un produit de sécurité multicouches entièrement automatisé et un service de chasse aux menaces manuel.
Afin de minimiser les risques que des logiciels de gestion soient utilisés pour pénétrer dans l’infrastructure de l’établissement, Kaspersky recommande les mesures suivantes :
- Restreindre l'accès aux outils de gestion provenant d'adresses IP externes. Veiller à ce que les interfaces de contrôle à distance ne soient accessibles qu'à partir d'un nombre limité de terminaux endpoints.
- Appliquer une politique stricte en matière de mots de passe pour tous les systèmes informatiques et mettre en place un système d’authentification multi-facteurs,
- Ouvrir les droits administrateurs exclusivement aux collaborateurs qui en ont besoin pour exécuter leurs missions.