Depuis 2021, le groupe de hackers Karakurt a ciblé des dizaines d’entreprises, en usurpant l’identité d’utilisateurs via le modèle Living-Off-The-Land (LOL) à des fins d’extorsion. Alors que la nature des cybermenaces continue d’évoluer et devient de plus en plus sophistiquée, il est crucial pour les organisations de se tenir prêtes pour parer à toute éventualité. « Face à une menace cyber toujours grandissante, nous devons plus que jamais faire de la cybersécurité l’affaire de tous. Au niveau local comme national, l’écosystème cyber doit se mobiliser afin de rehausser l’exigence générale de sécurité », a rappelé Guillaume Poupard, Directeur de l’ANSSI à l’occasion du FIC en juin dernier.
Cette tâche est rendue plus complexe à mesure que le périmètre en ligne des entreprises devient moins tangible – grâce aux intégrations cloud, hybrides et tierces – devenant par là même occasion plus vulnérable aux attaques de logiciels malveillants.
Semblables à un parasite résidant au sein de son hôte, les cybercriminels peuvent vivre grâce aux ressources disponibles des entreprises victimes, d’où le terme anglais « Living off the land » (LOL), pour qualifier ce type de stratégie d’attaque. Cela leur donne le temps de voler des données sensibles et de détruire l’infrastructure numérique de leur victime. Depuis l’intérieur, les cyberattaquants peuvent lancer un ensemble de malware, subtiliser des données précieuses, et ainsi faire chanter l’organisation ciblée contre une rançon pour le retour de ses données ou le fonctionnement actif de ses systèmes désactivés. Même s’il y a des sauvegardes en place, les attaquants peuvent menacer les organisations de publier les données.
La compromission des privilèges par les techniques LOL
Une fois qu’une attaque est dirigée contre une victime, les techniques LOL et les processus de malware utilisés partagent souvent des points communs, avec pour but l’obtention d’une compensation financière. En bref, il y a cinq étapes : arriver, s’infiltrer, se préparer, collecter et extorquer. Les cyberattaquants examinent constamment les moyens d’accéder aux infrastructures d’une cible avant d’agir. Ces tentatives peuvent par exemple prendre la forme d’une campagne de phishing sophistiquée ou d’annonces frauduleuses, ou encore via l’utilisation de pages internet incitant les employés à entrer leurs identifiants de connexion. Une fois que le système d’une entreprise est compromis, les cybercriminels peuvent alors installer leurs techniques LOL dans l’infrastructure pour faire remonter leurs privilèges et éviter la détection.
Les attaquants s’infiltrent ensuite dans toute l’infrastructure de la cible, à la recherche d’informations précieuses pour obtenir un effet de levier et extorquer leur victime. Enfin, les pirates monétisent leurs actes malveillants en vendant sur le dark web des identifiants compromis, ou en chiffrant les données de l’entreprise et en exigeant une rançon pour leur réactivation.
Les vulnérabilités d’une entreprise face à ces actes malveillants
Lors du lancement d’une campagne de logiciels malveillants, les attaquants chercheront à démêler les différentes couches de sécurité de leur cible, pour trouver et exploiter les points faibles ou les vulnérabilités. Ces vulnérabilités sont des failles de sécurité dans l’infrastructure numérique, les identifiants de la victime à travers lesquelles les attaquants peuvent lancer leurs malwares. Les entreprises sont particulièrement vulnérables lorsqu’elles se préparent à une mise à jour logicielle importante, à des modifications des politiques d’informations d’identification internes ou à d’autres événements de cybersécurité. Ici, la visibilité holistique est essentielle dans tous les fichiers et logiciels alors que l’infrastructure de l’organisation est en pleine mutation. Plus un changement inattendu est repéré tôt, plus l'équipe informatique est à même d'éviter un préjudice réel.
La résilience face aux cybermenaces sur le modèle LOL
Une façon pour une entreprise de minimiser le risque de logiciels malveillants et d’attaques LOL consiste à mettre en œuvre des processus de renforcement du système et ainsi se diriger vers la cyber-résilience. Pour ce faire, des guides pratiques et recueils de procédure sont disponible sur le site de la CNIL pour aider les organisations à se protéger.
Le durcissement du système réside dans la prévention, et pour les équipes de sécurité, cela signifie qu’elles doivent penser comme le ferait un attaquant en utilisant cette perspective pour passer des approches conventionnelles à la cybersécurité. Ce changement de perspective permet d’améliorer la stratégie de sécurité globale, de catégoriser les niveaux de risque et de déterminer les actifs les plus précieux susceptibles d’être une cible lucrative pour le vol.
En gardant à l’esprit le point de vue des attaquants, les équipes de sécurité restent alors vigilantes face à tout comportement suspect dans leurs systèmes avant qu’il ne dégénère en une attaque à grande échelle. Une caractéristique difficile de ce processus consiste à identifier correctement les activités suspectes par rapport à celles des opérations normales. Cela peut être accompli en vérifiant les indicateurs de compromission (IOC). Ces derniers sont mis en lumière par l’identification des dérives de configuration et la surveillance de tout changement de fichier anormal ou inattendu au sein de l’infrastructure numérique.
En cette ère de cyber-insécurité accrue, les professionnels de l’informatique ont la mission vitale de protéger l’environnement numérique de leur organisation. Pour relever ce défi, les équipes de sécurité doivent régulièrement tester leurs systèmes pour détecter les faiblesses et les comportements malveillants, y compris une fois le processus de renforcement du système terminé. Les directives de cybersécurité peuvent aider les entreprises à naviguer vers une plus grande cyber-résilience. En suivant les meilleures pratiques de cybersécurité, les organisations peuvent assurer la protection de leurs données critiques, celles de leurs clients ainsi que leurs opérations commerciales, et l’intégrité de leur marque.
Par Anthony Moillic, Director of Solutions Engineering EMEA et APAC chez Netwrix
