Lorsque de nouvelles opportunités apparaissent, les cybercriminels les utiliseront à leur avantage pour surprendre les systèmes de défense. Les professionnels des TI doivent rester proactifs. C’est en substance, l’avertissement lancé par Sophos dans son dernier Threat Report 2020. Il met en lumière la manière dont les rançongiciels et les comportements rapidement changeants des attaquants, quel que soit leur niveau, vont façonner le paysage des menaces et de la sécurité IT en 2021. Les chercheurs et les spécialistes en IA de Sophos fournissent une perspective en trois volets sur les menaces et les tendances en matière de sécurité, depuis leur conception jusqu’à leur impact.

1Des cybercriminels de plus en plus compétents

Le fossé entre les opérateurs de rançongiciels situés aux deux extrémités du spectre en matière de compétences et de ressources va se creuser. Les familles de criminels hautement compétentes, et dotées de nombreuses ressources qui utilisent des rançongiciels, vont continuer à affiner et à modifier leurs tactiques, techniques et procédures (TTP) en matière de « pêche au gros ». Cela va leur permettre d’échapper plus facilement à la détection et d’atteindre le même niveau de sophistication que certains États-nations, en ciblant des entreprises de plus grande envergure et en émettant des demandes de rançons qui atteindront plusieurs millions d’euros.

En 2020, de telles familles incluent Ryuk et RagnarLocker. À l’autre extrémité du spectre, Sophos s’attend à une hausse du nombre d’attaquants de faible envergure et dotés de compétences élémentaires, cherchant à mettre la main sur des rançongiciels as-a-service et équipés d’un menu contre des sommes modiques, à l’instar de Dharma, qui leur permettent de s’en prendre à un plus grand volume de cibles plus modestes.

Une autre tendance s’appuie sur le recours à « l’extorsion secondaire » : les cybercriminels, en plus de la rançon pour la clé de déchiffrement des données, menacent les entreprises de publier les informations volées, ou menacent les employés pour les retourner contre leurs entreprises, pour toucher encore plus d’argent.

2Gare à la banalisation des attaques quotidiennes

Les menaces quotidiennes comme les maliciels de base, notamment de type loaders et botnets, ou encore les opérations menées par des individus visant à gagner un accès initial à un réseau avant de le revendre (Initial Access Brokers), nécessiteront une attention particulière de la part des équipes de sécurité. Ces menaces peuvent ressembler à un brouillard diffus de logiciels malveillants peu développés, mais elles sont conçues pour garantir un point d’entrée au sein d’un système cible, afin de collecter des données essentielles ou de partager des informations vers un réseau command-and-control qui leur fournira par la suite des instructions supplémentaires.

Si des opérateurs humains sont à l’origine de ces menaces, ils passent en revue chaque appareil infecté en fonction de sa géolocalisation et d’autres signes de valeur, puis ils vendent les accès aux cibles les plus lucratives au plus offrant, comme un opérateur de rançongiciels de grande envergure. À titre d’exemple, en 2020, Ryuk a utilisé le loader Buer afin de disséminer son ransomware.

3Utilisation d’outils légitimes pour la furtivité

Les attaquants de tous niveaux vont de plus en plus souvent détourner des outils légitimes, des services publics bien connus et des réseaux habituels pour éviter la détection, déjouer les mesures de sécurité et empêcher l’analyse et l’attribution des attaques. L’utilisation abusive d’outils légitimes permet aux criminels d’éviter d’être détectés lorsqu’ils opèrent sur un réseau jusqu’à ce qu’ils soient prêts à lancer la phase principale d’une attaque, comme la dissémination d’un ransomware. Pour les attaquants sponsorisés par des États-nations, un avantage supplémentaire consiste à rendre difficile l’attribution d’une attaque. En 2020, Sophos a publié un rapport sur le grand nombre d’outils standards qui sont à présent détournés par les cybercriminels.