Voici une case que nous n’avions pas prévu de cocher sur le bingo des cyberattaques de 2022 : un groupe d’adolescents, appelé LAPSUS$, a décidé de s’attaquer aux grandes entreprises à travers le globe. Bien que ces nouveaux acteurs soient surprenants, ils nous procurent de précieuses informations sur l’évolution des tactiques utilisées par les cybercriminels pour déterminer les cibles et collecter les informations.
Comment LAPSUS$ s'est emparé des données
Vraisemblablement originaire d’Amérique du Sud - et composé de hackers de diverses nationalités (dont certains membres ont été arrêtés au Royaume-Uni), LAPSUS$ a compromis plusieurs entités publiques et privées brésiliennes (et dans d'autres pays d'Amérique latine). En outre, le groupe a récemment acquis une plus grande notoriété en visant plusieurs entreprises très en vue du secteur technologique. LAPSUS$ a adopté deux méthodes inhabituelles parmi les groupes cybercriminels :le groupe est resté en communication constante avec leur potentiels acheteurs via des groupes de messagerie instantanée (IM), qui comptent actuellement plus de 45 000 membres. Ils y ont par ailleurs fréquemment effectué des sondages pour connaître l'intérêt des membres pour leur(s) prochaine(s) victime(s) et déterminer si des acheteurs pourraient être intéressés par des données qu’ils auraient déjà réussi à exfiltrer. Cette communication régulière semble en partie motivée par leurs difficultés à trouver des acheteurs malgré leur précipitation à attaquer les victimes. Ainsi, en restant en contact avec leur public, ils augmentent la probabilité d'être payés. Une deuxième tactique utilisée par LAPSUS$ consiste à proposer des incentives- notamment en soudoyant les employés des entreprises qu'ils ont l'intention d'attaquer, afin de récupérer des informations d'identification et des niveaux d'accès au réseau interne et faciliter leurs opérations.
Mais tout cela ne s’arrête pas là :les hackers recueillent également des informations sur les processus internes des entreprises, les technologies utilisées, ainsi que des conseils pour savoir où trouver les informations les plus juteuses au sein du réseau. Ils semblent même qu’ils aient convaincu certains assistants de direction de fournir des informations confidentielles sur les agendas des dirigeants et les projets en cours ; une tactique qui aurait augmenté considérablement l'efficacité de leurs attaques. Bien que ce type de techniques ne soient pas nouvelles, la manière dont LAPSUS$ promeut publiquement ces « offres d'emploi » montre l’efficacité avec laquelle les hackers activent leur communauté (via leur IM). Ils ont créé un réseau « d’agents internes » qui divulguent des informations, aidant ainsi le groupe à tirer le meilleur parti du temps de présence limité dans les réseaux ciblés. Mais, il existe un inconvénient à mettre « tous ses œufs dans le même panier ». À moins que les employés qui fournissent des informations au groupe ne le fassent par pure malveillance, cette tactique raccourcit le sursis du personnel impliqué puisqu’ils sont parfois à la source même de la dénonciation.
Menaces internes : LAPSUS$ comme cas d’école
Les menaces internes représentent un risque important pour les entreprises de toutes tailles, et pas seulement pour les géants de la technologie. Elles peuvent être plus difficiles à combattre que les menaces externes, tant du point de vue technique que de celui de l'utilisateur. D’ailleurs, les menaces internes malveillantes peuvent parfois passer inaperçues pendant une longue période, permettant ainsi aux attaquants d'avoir un accès prolongé aux informations confidentielles de l'entreprise et de perturber les opérations pendant des années. Comme nous l'avons vu avec les attaques de LAPSUS$, même une brève attaque peut avoir un impact significatif sur la réputation d'une entreprise et causer des migraines à de nombreux responsables IT.
Comment une entreprise peut-elle alors détecter et répondre à une menace interne potentielle ? Parfois, une organisation peut soupçonner un initié mais sans avoir la preuve de ses méfaits. Dans d'autres cas, la personne qui mène l'attaque peut commettre une erreur et alerter involontairement l'entreprise de ses agissements. Cette dernière hypothèse étant la plus courante, elle signifie néanmoins malheureusement que la violation a déjà eu lieu.
Lorsque les organisations détectent des menaces internes, les conséquences pour l'employé concerné dépendent généralement de la gravité de la situation. Certains employés sont simplement licenciés, tandis que d'autres peuvent faire face à des procédures judiciaires longues et coûteuses. Dans un cas comme dans l'autre, le risque personnel est important.
Le fait que des groupes de cybercriminels tels que LAPSUS$ offrent publiquement des récompenses pour inciter les employés à agir de manière contraire à l'éthique, reste préoccupant. L'audace dont fait preuve ce groupe invite à repenser à la manière dont les entreprises abordent le problème des menaces internes. Il n’est plus possible depenserque de potentiels licenciements et/ou poursuites seront des arguments suffisants pour dissuader les initiés d'aider les attaquants. Les entreprises doivent alors veiller à mettre en place une stratégie globale incluant personnes, processus et technologies de pointe qui leur permettront de réagir rapidement et de façon proactive lorsqu'un comportement suspect ou malveillant est détecté.
La technologie peut-elle être un support ?
Alors que les attaques du type LAPSUS$ ont raccourci le temps nécessaire aux attaquants pour obtenir des données « commercialisables », les entreprises doivent trouver de nouvelles façons d’identifier les initiés et de stopper les attaques plus rapidement. Le Machine Learning, peut être un outil utile pour détecter si un employé agit de façon inhabituelle – en comparant ses activités à avec son comportement dit « standard ». Par exemple, si un graphiste tente d'accéder à la base de données des clients de l'entreprise, cela pourrait être le signe qu'il recherche des informations à vendre, ou qu'il est simplement curieux de connaître un certain client pour des raisons personnelles. Si celui-ci télécharge ensuite la base de données ou les dossiers individuels des clients sur sa propre machine, cela pourra être détecté comme une attaque potentielle en cours. Agir dès ce moment pourrait alors empêcher l'employé de télécharger des données sensibles sur un site externe, avant que le mal ne soit fait.
Les êtres humains sont par nature imprévisibles et chaotiques. Cependant, comme pour les logiciels malveillants, certains comportements soulignent l'intention des utilisateurs de nuire à l'entreprise, que ce soit intentionnellement ou par inadvertance. Pour se prémunir contre les menaces internes, une bonne première ligne de défense consiste à installer un logiciel intelligent qui apprend les modèles de comportement de chaque utilisateur. L'entreprise peut ainsi être avertie rapidement que quelque chose ne va pas, ce lui permettant ainsi d'adapter dynamiquement sa politique de sécurité en fonction de la localisation de l'utilisateur, du type d'appareil etc.
Par Florent Embarek, Regional Sales Director Southern & Eastern Europe chez BlackBerry