« Les cybercriminels masquent leurs activités en utilisant des binaires et des outils légitimes », John Shier, Sophos

À l’occasion de la publication du rapport « The Bite from Inside : The Sophos Active Adversary Report », nous avons interrogé John Shier, field CTO Threat Intelligence chez Sophos, pour explorer les tendances actuelles de la menace et comprendre les nouvelles dynamiques des cyberattaques.

Le rapport propose un examen approfondi de l’évolution des comportements et des techniques d’attaque utilisées par les attaquants au cours du premier semestre 2024. Les données, dérivées de près de 200 cas de réponse aux incidents (RI) provenant à la fois de l’équipe RI de Sophos X-Ops et de l’équipe Managed Detection and Response (MDR) de Sophos X-Ops, ont révélé que les attaquants exploitent des applications et des outils de confiance sur les systèmes Windows, communément appelés « living off the land binaries », pour mener des découvertes sur les systèmes et maintenir leur persistance. Par rapport à 2023, Sophos a constaté une augmentation de 51 % de l’utilisation abusive des binaires
« Living off the Land » ou LOLbins ; depuis 2021, elle a augmenté de 83 %.

Dans cette interview, John Shier nous dévoile les tactiques émergentes des cybercriminels, notamment l’usage détourné des outils Microsoft pour dissimuler leurs activités, l’évolution des rançongiciels et l’impact des erreurs courantes, comme l’absence d’authentification multifacteurs. Il aborde également les enjeux de maturité des entreprises face à ces menaces et les perspectives pour les mois à venir. Un éclairage indispensable pour les RSSI et les spécialistes en cybersécurité.

IT Social : John, pouvez-vous expliquer l’intention derrière votre rapport Active Adversary et son utilité pour les entreprises ?

John Shier : Bien sûr. Ce rapport est basé sur l’analyse des enquêtes de réponse à incident et notre solution de MDR, et que nous réalisons sur une période de 12 mois. Nous cherchons à en extraire des faits : quand une attaque a commencé, comment a-t-elle a été découverte, quels outils ont été utilisés, etc. L’objectif est de fournir aux défenseurs des informations sur les types d’attaques et leurs modes opératoires.

Je ne donne pas forcément des conseils détaillés dans le rapport, car chaque environnement est unique, mais je veux aider les entreprises à comprendre comment les cybercriminels opèrent. Nous leur permettons ainsi d’adapter leurs défenses à leur propre contexte. Par exemple, le rapport 2024 couvre les six premiers mois de l’année et inclut, pour la première fois, des données issues de notre service de détection et de réponse managée (MDR), en plus des enquêtes traditionnelles de réponse à incident. Cela offre une perspective plus large sur les menaces.

IT Social : Quelles tendances avez-vous observées dans les attaques au cours
de ces six mois ?

John Shier : Une tendance marquante est l’utilisation accrue d’outils légitimes de Microsoft par les attaquants. Nous avons constaté une augmentation de 51 % de l’usage de ces outils, comme net.exe, ping.exe ou netstat, par rapport à l’année dernière. Ces outils sont déjà présents sur les systèmes et signés par Microsoft, ce qui les rend plus difficiles à détecter. Cela permet aux cybercriminels de masquer leurs activités, en utilisant ces outils pour des tâches comme la reconnaissance du réseau.

Cependant, nos outils de détection s’améliorent aussi. Par exemple, nous identifions l’usage malveillant de certains de ces outils, comme le détournement de service host pour extraire des identifiants mémoire. Malgré cela, beaucoup d’activités restent subtiles, comme l’envoi de simples requêtes ping qui, hors contexte, semblent légitimes.

IT Social : Est-ce que cette discrétion accrue des attaquants les rend plus dangereux ?

John Shier : Pas nécessairement. Si on considère les attaques par rançongiciel comme les plus destructrices, nous n’observons pas de hausse significative. En réalité, avec des services comme le MDR, nous détectons de plus en plus tôt les activités malveillantes, ce qui limite leurs conséquences. Cela dit, les attaquants cherchent clairement à devenir plus furtifs, augmentant ainsi leurs chances de succès. Heureusement, des actions visibles comme la suppression des shadows copy (le service de cliché instantané de volume ou VSS de Windows [NDLR]) restent des indicateurs fiables que nous détectons efficacement.

IT Social : Quels autres changements avez-vous observés dans les stratégies
des cybercriminels ?

John Shier : Une évolution intéressante concerne les groupes de rançongiciels. Nous avons identifié des cycles de « réorganisation criminelle ». Lorsqu’un groupe dominant est perturbé, par exemple par des actions des forces de l’ordre, il y a une dispersion, et d’autres groupes prennent leur place. Par exemple, après les disruptions de Ryuk, Conti a émergé, suivi de LockBit. Aujourd’hui, nous voyons des groupes comme Akira
prendre de l’importance.

En outre, bien que les outils comme Cobalt Strike restent utilisés, leur fréquence diminue, en partie grâce à une meilleure détection par l’industrie. Les attaquants diversifient leurs outils, mais beaucoup sont encore peu utilisés, ce qui montre qu’ils testent
de nouvelles approches.

IT Social : Que dire de la maturité des entreprises face à ces menaces ?

John Shier : La maturité varie considérablement. Les organisations les plus matures détectent et préviennent plus tôt, limitant ainsi l’impact des attaques. À l’inverse, celles qui exposent des services vulnérables comme RDP, qui n’activent pas l’authentification multifacteurs (MFA) ou qui ne patchent pas leurs systèmes en temps voulu sont les plus touchées. En 2024, il est choquant de constater que 56 % des cas que nous avons étudiés impliquaient des systèmes exposés sans MFA. Cela illustre un manque de bonnes
pratiques élémentaires.

Un exemple frappant de ce manque : une entreprise s’est fait attaquer quatre fois en un an via le même serveur RDP vulnérable. Malgré nos recommandations de le retirer ou de mieux le sécuriser, elle a invoqué des raisons commerciales pour le laisser exposé. Ce genre d’erreur témoigne d’une approche statique de la cybersécurité, alors que celle-ci doit être dynamique. Les organisations doivent apprendre de leurs erreurs et ajuster continuellement leurs défenses.

IT Social : Quelles évolutions attendez-vous pour l’année à venir ?

John Shier : Je pense que l’utilisation de binaires Microsoft va se stabiliser, car le nombre de binaires exploitables est limité. En revanche, je m’attends à ce que les cybercriminels continuent d’exploiter des vulnérabilités anciennes, non corrigées. Une analyse préliminaire montre que la durée entre la publication d’un correctif et son exploitation est de 230 jours. Bien que des rapports indiquent une hausse des attaques utilisant des vulnérabilités zero day, celles-ci finissent souvent par devenir des vulnérabilités « communes » exploitées massivement par des groupes moins bien financés. La persistance des attaques sur les périphériques exposés, comme les pare-feux et les VPN, restera une problématique majeure. L’authentification multifacteurs sera cruciale pour limiter leur succès.

La cybersécurité est une course continue entre défenseurs et attaquants. Les organisations doivent adopter une approche proactive et dynamique pour protéger leurs actifs, en apprenant de leurs erreurs et en s’adaptant aux nouvelles tendances. Nous espérons que ce rapport contribuera à éclairer cette démarche.