Deux événements récents ont brutalement rappelé les conséquences d’une cyberattaque réussie. Le spectaculaire vol de 33 millions de données personnelles de tiers payant détenues par deux gestionnaires de mutuelles : Viamedis et Almerys et l’attaque de l’hôpital d’Armentières, entrainant la fermeture du service des urgences. Le dernier rapport annuel 2023 de Picus Labs analyse le top 10 des attaques ATT&CK (en français, les tactiques, techniques et connaissances communes de l'adversaire) et donne des pistes aux équipes de sécurité pour renforcer leurs défenses. Le point commun des attaques de type "Hunter-killer" (chasseur-tueur) est le ciblage systématique des contrôles de sécurité existants, EDR, antivirus, parefeu, etc. Une fois détectés, les processus malveillants tentent de les mettre hors service ce qui potentialise les attaques et les rend persistantes dans les réseaux. Selon le rapport, 70 % des échantillons de codes malveillants analysés utilisent désormais ce type de techniques malveillantes furtives.
Sur le podium des menaces ATT&CK identifiées par Picus Labs figure en tête T1055 avec
32 % de prévalence, à savoir les malwares RedLine, LidShot , Rhadamanthys, DarkGate, RAT, etc. qui sont les armes du groupe APT41 et autres. Il s’agit de processus d’injection. A la deuxième place, avec 28 % des occurrences on trouve T 1059 qui n’est autre que Lockbit 3.0 et ses déclinaisons faisant appel aux processus de commande et d’interprétation de scripts. La troisième position est occupée par T1562 (malwares Aukill, Egregor, etc.) avec 26 % des occurrences. Ce type de malware s’en prend aux défenses, cryptent les informations, cherchent les données d'identification de l'OS.
Le rapport mentionne aussi une augmentation de 176 % de l'utilisation du protocole de couche d'application utilisé pour l'exfiltration de données dans les stratégies double extorsion.
Les recommandations à prioriser pour les équipes de sécurité
D’abord, tirer parti de l'analyse comportementale et de l'apprentissage automatique pour la détection avec les méthodes de détection des menaces avancées avec les solutions EDR, XDR et SIEM.Ensuite, renforcer les défenses en mettant, notamment, à jour régulièrement les politiques d'autorisation d’accès afin d'empêcher l'utilisation abusive des environnements de script natifs et des lignes de commande des outils. L’analyse du comportement des attaques sur les leurres (honeypot) est porteuse de précieuses informations.
Il faut aussi donner la priorité à la protection des informations d'identification et à la réduction des mouvements latéraux. Une pratique de base qui consiste à renforcer les mots de passe, déployer l’authentification et bien ajuster les privilèges d’accès pour minimiser la surface d'attaque.
Autre recommandation, la collecte et l’analyse active des renseignements sur les menaces afin d'anticiper et se préparer aux attaques émergentes.
Il importe également d’améliorer la résilience cyber grâce à la visibilité des actifs et à la réduction de la surface d'attaque en déployant des outils de visualisation détaillée et en temps réel de chaque appareil qui se connecte au réseau. Sans oublier des audits réguliers de la sécurité.
La validation de la sécurité repose sur des plateformes automatisées qui exécutent des attaques simulées puis évaluent la réponse des systèmes EDR, XDR, SIEM et autres systèmes défensifs.
