Les attaques actuelles reposent principalement sur des illusions et des tours de passe-passe pour pénétrer les réseaux d'entreprise. Pensez à un terroriste qui se faufile dans une zone sécurisée en se mêlant aux travailleurs réguliers ou à un contrebandier cachant de la contrebande dans un conteneur de marchandises légitimes. Les cybercriminels utilisent ces mêmes tactiques pour se cacher à la vue de tous, sondant, infiltrant et se propageant à travers les réseaux sans être détectés.
Quelques-uns des outils les plus courants dans l'arsenal des cybercriminels, chacun conçu pour exploiter les failles de sécurité de manière unique :
- Kits de phishing : disponibles à la vente sur le dark web, ces kits permettent à presque n'importe qui disposant d'une carte de crédit ou d'un solde en bitcoins de créer des pages de connexion factices qui trompent les utilisateurs pour qu'ils fournissent leurs identifiants. L'ingénierie sociale et la faible barrière à l'entrée facilitent le ciblage d'individus spécifiques, tels qu’un cadre dirigeant, un membre de l'équipe financière ou un autre utilisateur, rendant extrêmement difficile leur identification et leur arrêt.
- Outils persistants : conçus pour cibler les vulnérabilités connues et inconnues des systèmes non corrigés, ces outils établissent un canal de communication qui peut être utilisé pour apporter des modifications au réseau, prendre le contrôle des systèmes ou perturber les opérations normales. Metasploit est un outil persistant open-source que tout acteur malveillant peut adapter pour cibler des vulnérabilités spécifiques. D'autres outils persistants, tels que Cobalt Strike, sont proposés sous forme d'abonnement et incluent une bibliothèque de codes disponibles.
- Exploits logiciels : également disponibles sur le dark web, ces exploits sont un outil favori des acteurs étatiques ciblant les systèmes gouvernementaux, les infrastructures critiques ou d'autres domaines de la sécurité nationale. Ces attaques ciblent des vulnérabilités logicielles connues ou inconnues pour déployer de puissantes cyberarmes. Elles ne réussissent que si un système n'est pas corrigé et peuvent être déployées à plusieurs reprises jusqu'à ce qu'un système soit compromis, avec peu de risque de détection.
- « Packer » de logiciels malveillants : les cybercriminels peuvent également dissimuler leurs actions grâce à des packers de logiciels malveillants hautement adaptatifs. Bien que ces attaques soient facilement détectées, les attaquants peuvent simplement modifier le packer, le rendant pratiquement indétectable par les outils de cybersécurité basés sur les signatures. Si le nouveau fichier malveillant est détecté, cette "coquille protectrice" peut être brouillée à nouveau, encore et encore. Hautement évolutifs grâce à la personnalisation, les acteurs de la menace utilisent des techniques de packing et d'obfuscation pour bombarder les entreprises de centaines ou de milliers de tentatives jusqu'à ce qu'un seul clic les fasse passer.
- Attaques sans fichier : utilisant les propres systèmes des organisations contre elles, ces attaques ciblent des outils commerciaux omniprésents, tels que PowerShell, détournant les activités normales pour atteindre leurs objectifs sans avoir à déployer de code malveillant ou à se connecter à un serveur externe. Ce comportement furtif, semblable à un prisonnier volant une arme à un gardien de prison pendant son incarcération, ne déclenche généralement pas d'alarme ni ne suscite de suspicion, ce qui le rend très efficace pour exécuter des commandes malveillantes.
Les cybercriminels évoluent à un rythme effréné, s'équipant d'outils adaptatifs qui exploitent les nouvelles failles de sécurité. En imitant le comportement légitime des utilisateurs et des applications, les attaquants traversent les défenses sans être détectés, rendant presque impossible pour les équipes de sécurité de distinguer les véritables menaces du trafic réseau habituel. Ce camouflage permet non seulement aux attaquants d'infiltrer les réseaux, mais aussi de se propager sans être repérés, noyés dans une multitude de faux positifs qui masquent les menaces réelles jusqu'à ce que des dommages significatifs soient en cours.
