Cette année encore, la COVID-19 et les cyberattaques ont fait la une de l’actualité. Que ce soit physiquement ou en ligne, le monde lutte toujours contre les virus. Cette année a pris une autre dimension lorsque l'attaque des infrastructures critiques et des chaînes d'approvisionnement est devenue une nouvelle tendance et les attaques par rançongiciels sont devenues récurrentes.
Le phishing reste la clé de ces campagnes et constitue généralement la première étape de la compromission d'une entreprise pour les logiciels malveillants les plus dangereux. Cela souligne l'importance de l'éducation et de la sensibilisation des utilisateurs aux pratiques de bonne hygiène informatique. Cependant, 2021 a prouvé que les logiciels malveillants pouvaient compromettre le bon fonctionnement d’une entreprise. Plusieurs malwares se sont démarqués cette année.
Lemonduck : le botnet aux pouvoirs maléfiques accrus
Ce botnet de cryptomining était déjà bien connu depuis quelques années. Mais en 2021, il a gagné en popularité et a même ajouté de nouvelles fonctionnalités, comme le vol d'informations d'identification, la suppression de protocoles de sécurité et même l'ajout d'outils pour le suivi des attaques.
LemonDuck a la particularité intéressante d’éliminer les autres pirates des appareils des victimes en supprimant les infections par des logiciels malveillants concurrents. LemonDuck veut être le plus gros, le plus méchant des logiciels malveillants et empêche même les nouvelles infections en corrigeant les vulnérabilités qu'il a utilisées pour accéder au système. Il exploite XMR qui est l'algorithme de hacking le plus accessible pour le matériel grand public et procure donc un profit maximal aux cybercriminels. Ces profits sont instantanés et sont générés par la facture d'électricité de la victime au fil du temps. Aucune rançon n'est demandée et, par conséquent, la victime n'a besoin ni de consentir ni d'être informée de l'attaque ou de l'atteinte à ses droits, ce qui rend l'opération très désagréable.
REvil : la bête noire des entreprises américaines
Tout le monde, même ceux qui ne s'intéressent pas à l'informatique, a entendu parler de l'attaque de la chaîne logistique de Kaseya, qui ciblait principalement des entreprises américaines ou encore l’attaque contre le fournisseur mondial de viande JBS.
Vous avez peut-être entendu parler d'un ransomware nommé Gandcrab en 2018, ou Sodinokibi en 2019. REvil est issu du même groupe d’attaquants. Ils proposent des ransomwares en tant que service (Raas), ce qui signifie qu'ils fabriquent la charge utile (partie du paquet de données transmis qui contient le message réel) de chiffrement et facilitent les sites de fuite d'extorsion sur le dark web.
Trickbot : le tristement célèbre cheval de Troie bancaire
Ce cheval de Troie bancaire populaire existe depuis une dizaine d'années et s'est transformé en l'un des botnets les plus connus. Utilisé par une grande partie du cybermonde, Trickbot est lié à de nombreux groupes de ransomware en raison de sa polyvalence et de sa résilience. À la fin de l'automne dernier, le ministère de la défense Canadien, Microsoft et d'autres ont mené des attaques contre le botnet du groupe et l'ont presque détruit. Mais le Groupe s'est relevé pour devenir par la suite le principal botnet après la fermeture d'Emotet.
Les infections par des Trickbots conduisent automatiquement à des ransomwares. Une fois sur la machine, le Trickbot se déplace latéralement dans les réseaux, utilisant des codes pour se propager et recueillir autant d'informations d'authentification que possible. Il faut parfois des semaines ou des mois avant que toutes les informations d'identification du domaine ne soient réunies. Une fois le contrôle total de l'environnement pris, les attaquants s'assurent que le ransomware fera le plus de dégâts sur l’infrastructure informatique.
Dridex : Une association de malfaiteurs démasqués
Autre cheval de Troie bancaire et voleur d'informations très populaire depuis des années, Dridex est étroitement lié à des ransomwares comme Bitpaymer/Doppelpaymer/Grief. Dridex a été déposé sur les machines d'Emotet jusqu'à leur fermeture, mais il mène désormais ses propres campagnes de malspam en solo.
Tout comme Trickbot, Dridex prend son temps pour recueillir des informations d'identification jusqu'à ce qu'il prenne le contrôle total de l’infrastructure pour ensuite faire le plus de dégâts possibles. Les auteurs de Dridex sont connus comme le groupe "Evil Corp", dont le chef est recherché par le FBI pour une récompense maximale de 5 millions de dollars.
Conti : intimider pour mieux rançonner
Ce groupe de ransomware est considéré comme le plus performant en 2019 par le FBI. Bien que Conti ait été déployé à partir de RDP (Remote Desktop Protocol), il ne génère pas forcément une attaque par force brute à partir d’un RDPnon sécurisé. Le plus souvent, les informations d'identification sont saisies ou hameçonnées ailleurs, à partir d'un cheval de Troie voleur d'informations comme Trickbot ou Qakbot.
Les auteurs de ces ransomwares exploitent également un site de violation ou de fuite pour intimider davantage les victimes et les inciter à payer une rançon. Conti a fait les gros titres et a usurpé de nombreuses grandes organisations en 2021, mais il n'a pas encore disparu.
Cobalt Strike : l’effet volte-face
Cobalt Strike est un outil de pentesting conçu par des "white hats". Son objectif est d'aider les équipes rouges à simuler des attaques afin que les pirates puissent s'infiltrer dans un environnement, déterminer ses failles de sécurité et apporter les changements appropriés. Cet outil comporte plusieurs fonctionnalités très puissantes et utiles, telles que l'injection de processus, la collecte d'informations d'identification et de hack, l'énumération de réseaux, les mouvements latéraux, etc.
Toutes ces fonctionnalités sont attrayantes pour les pirates, il n'est donc pas surprenant que Cobalt Strike soit souvent utilisé par les cybercriminels. Il n'est pas courant qu’un outil conçu pour protéger les entreprises figure parmi les logiciels malveillants les plus dangereux, mais il s’avère que cet outil est facile à utiliser pour des attaques personnalisées et évolutives. Il n'est donc pas étonnant que tant d'acteurs de la menace l'adoptent comme l'un des outils de leur arsenal.
Les cybercriminels ciblent les entreprises de toutes tailles et continuent de se développer en améliorant toujours leurs tactiques ou en recrutant des talents. L’ensemble du processus est d’une simplicité terrifiante, et pour un site malveillant fermé, deux autres surgissent pour le remplacer. La vigilance et l’anticipation restent donc de mise pour terminer 2021 et aborder 2022 avec des stratégies de défense encore plus efficaces et résilientes.
Par Mathieu Mondino, expert en cybermenaces chez Carbonite