Le dernier rapport de l’ICS CERT de Kaspersky, identifie une cybermenace inédite qui concerne les systèmes industriels et évolue rapidement. Des spywares d’un nouveau genre qui ont déjà visé plus de 2 000 entreprises industrielles dans le monde.
Ces attaques se caractérisent par le nombre très limité de leurs cibles, quelques dizaines au maximum et une durée de vie très courte du malware, soit 25 jours. Ce code malveillant appartient à des familles de spywares bien connues comme Agent Tesla/Origin Logger et HawkEye, et autres. Il a été découvert au cours du premier semestre 2021 par le CERT ICS de Kaspersky, à savoir l’équipe de réaction aux incidents sur les systèmes de contrôle industriels. L'étude a identifié plus de 25 places de marché où sont vendues les données volées et l’éditeur russe estime à plus de 7 000 le nombre total de comptes d'entreprise compromis ou volés à la suite de ces attaques.
Ces échantillons atypiques représentent une part très importante de toutes les attaques de spywares. En Asie, par exemple, un ordinateur sur 6 est visé par des logiciels espions (2,1 % sur 11,9 %) avec une proportion moindre pour l’Europe soit 0,7% pour 6,3 % des spywares.
La plupart de ces cyberattaques se propagent dans une entreprise industrielle via des courriels de phishing bien conçus. Une fois que la cible est compromise, l’attaquant l’utilise comme serveur de commande et de contrôle (C2) pour initier sa prochaine attaque. L'accès aux contacts de l'entreprise touchée permet alors d'usurper la messagerie électronique pour diffuser le spyware.
Le « spyware-as-a-Service », un marché en pleine expansion
Depuis que les codes sources de certains spywares répandus ont été rendus publics, ils sont vendus sous la forme d'un service dans des boutiques en ligne. Comme pour une offre classique et légale, les pirates proposent aussi une licence pour un logiciel de conception et les moyens d’accès à une infrastructure préconfigurée pour la création de malwares. Les données sensibles obtenues à partir des ordinateurs déployés dans les systèmes industriels se retrouvent ensuite sur diverses places de marché. A l’heure du télétravail depuis la crise sanitaire, il existe d’après Kaspersky une forte demande d'identifiants de comptes d'entreprise, notamment pour les comptes de bureau à distance (RDP). Près de la moitié de ces codes d’accès vendus sur les places de marché appartiennent à des entreprises américaines, le reste provient d'Asie, d'Europe et d'Amérique latine. Près de 4 %, concernent des entreprises industrielles.
« Pour éviter d'être détectés, les pirates réduisent l'envergure des attaques et limitent l'utilisation de chaque échantillon de malware en le remplaçant rapidement par un nouveau. Les autres tactiques comprennent l'utilisation abusive de l'infrastructure de messagerie électronique des entreprises pour diffuser des malwares à grande échelle. Cette situation est différente de tout ce que nous avons observé auparavant dans ce domaine, et nous prévoyons que ces attaques se multiplient au cours de l'année », explique Kirill Kruglov, security expert au sein de l'ICS CERT de Kaspersky.