Le Rapport 2019 de CrowdStrike donne un état de l’Art des cyberattaques en provenance du e-Crime et des Etats, de la Cible aux Tactiques, Techniques et Méthodes utilisées.

CrowdStrike commercialise Falcon OverWatch, un service de gestion des menaces qui couvre de la détection de l’attaque à son attribution en passant par la prévention. Un service 24x7 durant lequel différentes équipes travaillent sur les stades successifs d’une cyber-agression. Les analystes s’appuient notamment sur CrowdStrike Threat Graph et Threat Intelligence. Ainsi grâce à des métriques disséminées dans le nuage comprenant près de 2000 milliards  d’évènements collectés par semaine et des techniques d’espionnage ciblant 120 groupes d’attaquants, ces experts de Sunnyvale traquent et découvrent de nouvelles techniques d’attaques tentant d’éviter les moyens de détection  usuels.

Le rapport du premier semestre 2019 donne une idée sur les dernières tendances en matière de tactiques d’intrusion et sur le déroulement des actions les plus marquantes. L’étude couvre tant les attaques des cybercriminelles que les opérations d’origine étatique. Les métriques ici reflètent surtout les menaces les plus sophistiquées et/ou persistantes et notamment parmi celles attribuées.

E-Crime en forte hausse

Dans un tel cadre, l’e-crime est en plein essor en 2019 par rapport à l’année précédente en passant quasiment du simple au double en termes de pourcentages. Il est à noter que le camembert retrace uniquement le niveau de progression des attaques. Le nombre des cyber-agressions d’origine étatique n’est pas en diminution : le taux de  39% de cette année contre 75% en 2018 indique seulement peu de progression de ce côté.

CrowdStrike explique la progression du e-crime par, entre autres, la commercialisation de leurs « Tactics, Techniques and Procedures » (TTP), via le « TTP-for-hire » (TTP à louer) et également la poursuite des opérations « Big Game Hunting » (chasse au « gros gibier »). Plus l’écosystème du e-Crime se développe, plus leurs activités s’intensifient avec la recherche de plus grande quantité de rentrée d’argent, en nombre et montant.

01

Top 10 des secteurs attaqués

La situation a évolué entre 2018 et 2019. Les secteurs d’activités les plus touchés ne sont plus les mêmes dans le Top 10 et ce, même si le secteur des Technologies reste le favori en décrochant pour la seconde année consécutive la première place du classement. Les secteurs des Télécommunications, de la Finance et des associations non gouvernementales restent encore prisés cette année même si leurs rangs ne sont plus exactement les mêmes dans ce Top 10. A noter l’arrivée directement dans le Top 4 du secteur de la Distribution. Nouveaux également, le domaine du Transport et de la Logistique, l’univers du jeu, celui du divertissement et enfin le secteur de l’ingénierie.

0203

Le Kit d’outils préférés des Assaillants

Pour passer inaperçus plus longtemps, les cyber-délinquants utilisent de plus en plus d’outils qui ne font pas partie de la panoplie habituelle des acteurs du e-crime. CE sont des outils courants dans les Systèmes d’Information comme PsExec, ProcDump, PC hunter ou encore 7-zip. Cela ne signifie pas pour autant l’abandon des outils de pentest classiques qui seront toujours à l’ordre du jour. Mimikatz reste en haut de la liste des préférés, suivi par PowerShell Empire, Cobalt Strike ou encore ReGeorg.

En ce qui concerne les attaques commanditées par des Etats, le Top 10 de la boîte à outils montre que ces derniers ont toujours les mêmes préférences pour des outils personnalisés (China Chopper, Winnti, BabyShark ou RbDoor).

4

Top 5 des Malwares utilisés

De nombreuses campagnes de malwares ont lieu régulièrement et CrowdStrike les a étudiées pour retrouver quels étaient les malwares préférés des attaquants. La tendance 2019 classe Emotet en premier lieu suivi par Trickbot puis par différents mineurs de cryptomonnaies. A égalité Gozi, Ursnif et RM3 précèdent Dridex, petit dernier du Top 5 de cette année.

5

Dans son rapport, Crowdstrike a étudié, durant les deux dernières années, les tactiques et techniques utilisées par les BlackHats. L’éditeur se base sur la représentation du MITRE pour en décrire les différentes étapes. Le constat est qu’entre 2018 et 2019, ce sont quasiment les mêmes méthodes qui ont été appliquées.