AVIS D’EXPERT – Les équipes de veille et de recherche sur les menaces des FortiGuard Labs mettent en garde contre les attaques qui évoluent en tirant parti notamment du Cybercrime-as-a-Service (CaaS) et des nouveaux exploits ciblant les dispositifs edge et les univers virtuels en ligne.
Le succès du RaaS présage de celui du CaaS
Alors que les cybercriminels rencontrent un vrai succès avec le Ransomware-as-a-Service (RaaS), de nouveaux vecteurs d’attaque devraient émerger, sous forme de services fournis depuis le dark web, encourageant ainsi une croissance dynamique du Cybercrime-as-a-Service. Au-delà de la vente de ransomware et d’offres de Malware-as-a-Service, de nouveaux services seront proposés à la carte. Le modèle du CaaS séduit les cybercriminels. Ces derniers, en fonction de leur niveau de compétences, sauront tirer parti d’offres clés en main pour définir leurs plans d’attaque, sans investissement initial en temps et en ressources. De leur côté, les cybercriminels aguerris pourront élaborer et commercialiser des kits d’attaques sous forme de services, s’octroyant ainsi de nouvelles opportunités commerciales simples, rapides et récurrentes. D’ailleurs, il est envisageable que des offres CaaS soient proposées sous forme d’abonnement récurrent. De plus, les cybercriminels devraient commencer à tirer parti de nouveaux vecteurs d’attaque comme les contenus deepfake. Ces vidéos et enregistrements audio truqués, ainsi que les algorithmes IA associés, seront disponibles de manière plus large à l’achat.
Comment se protéger ? Une des méthodes pour déjouer ces nouveaux vecteurs de risque est de miser sur la formation et la sensibilisation à la cybersécurité. Si nombre d’entreprises se contentent de proposer des formations de base à leurs collaborateurs, elles sont désormais invitées à proposer de nouveaux modules qui permettent d’identifier des méthodes qui évoluent, à l’instar des menaces qui capitalisent sur l’IA.
2) Des services de reconnaissance, au service des attaques
En 2023, les processus à venir de reconnaissance devraient refléter davantage la nature organisée de la cybercriminalité et permettre des stratégies d’attaques plus efficaces. Alors que les attaques deviennent plus ciblées, leurs auteurs feront appel à des “détectives” sur le dark web pour recueillir des renseignements sur une cible particulière avant de lancer l’attaque. Les offres de Reconnaissance-as-a-Service devraient ainsi fournir des informations de valeur : profil et architecture de sécurité d’une entreprise, identité des membres clés des équipes de cybersécurité, parc des serveurs de l’entreprise, vulnérabilités externes connues, identifiants piratés proposés à la vente et davantage. Autant d’informations qui permettront aux cybercriminels d’affiner le ciblage et l’efficacité de leur attaque. Face aux attaques optimisées par le CaaS, il devient primordial de pouvoir neutraliser les assaillants en amont, dès la phase de reconnaissance.
Comment se protéger ? Les technologies de leurre (deception) constituent un bon moyen de déjouer les services RaaS et CaaS lors des phases de reconnaissance. Un leurre de cybersécurité, associé à un service DRP (digital risk protection) permet aux entreprises d’identifier l’ennemi et de prendre l’avantage sur lui.
3) Automatisation, blanchiment d’argent et LaaS
Pour faire prospérer les organisations cybercriminelles, les responsables et leurs affiliés font appel à des “mules” qui participent, volontairement ou pas, au blanchiment d’argent. Les échanges de fonds s’effectuent généralement par des transferts bancaires anonymes ou via des crypto-monnaies, ce qui évite toute détection. Les campagnes de recrutement de mules ont jusqu’à présent toujours été chronophages : les cybercriminels investissent en temps et en ressources pour développer des sites web, ou doivent concevoir des offres d’emploi qui donnent à leurs activités un vernis de légitimité. Dans un futur proche, ils feront appel au machine learning pour cibler leur recrutement et mieux identifier leurs “mules” potentielles, accélérant ainsi le recrutement. Les tâches manuelles de recrutement seront remplacées par des services automatisés qui font appel à des échanges de cryptomonnaies, ce qui accélère les processus et évite toute traçabilité. Le Money Laundering-as-a-Service (LaaS) pourrait bien se généraliser en tant que service CaaS dynamique. Les entreprises et individus qui se feraient piéger par ce type de cybercriminalité auront moins de chances de récupérer les fonds détournés, puisque l’adoption de l’automatisation rendra le blanchiment d’argent plus furtif.
Comment se protéger ? Il sera plus important que jamais de chercher à l’extérieur d’une entreprise des indices sur les futures méthodes d’attaque, cela afin de se préparer en amont des attaques. Les services DRP sont essentiels pour évaluer la surface des menaces externes, pour détecter et résoudre les défaillances de sécurité, et pour à obtenir des informations contextuelles sur les menaces actuelles et imminentes, en amont d’une attaque.
4) Les villes virtuelles et les univers en ligne constituent de nouvelles surfaces d’attaque
Le metaverse propose de nouvelles expériences immersives en ligne et des villes virtuelles émergent au sein de cette version d’Internet qui fait la part belle aux technologies de réalité augmentée. Des enseignes proposent déjà des produits numériques à la vente au sein de ces univers et ces derniers pourraient bien encourager une recrudescence de la cybercriminalité au sein de territoires inexplorés. Ainsi, l’avatar d’une personne peut constituer un moyen de recueillir des informations personnelles. D’autre part, puisque les utilisateurs peuvent acheter des biens et des services au sein des villes virtuelles, les porte-monnaies électroniques, les échanges de crypto-monnaie, les jetons NFT et les devises utilisées lors des transactions sont autant de cibles pour les assaillants. Le piratage biométrique est susceptible de devenir une réalité compte tenu des composantes AR et VR des villes virtuelles : il est plus simple pour un cybercriminel de détourner des empreintes, des données de reconnaissance faciale ou encore des analyses oculaires, pour ensuite les utiliser à des fins malveillantes. Enfin, ce sont également les applications, protocoles et transactions au sein de ces environnements qui sont des cibles potentielles.
Comment se protéger ? Dans un contexte de travail et d’apprentissage en mode hybride, ainsi que d’expériences immersives, une visibilité, une protection et des analyses en temps réel s’imposent pour assurer une détection et une riposte pertinentes aux menaces ciblant les endpoints (EDR).
5) La généralisation des Wipers devrait aboutit à des attaques plus dévastatrices
Les malware de type wipers ont fait leur comeback en 2022 et les assaillants ont imaginé de nouvelles variantes de ce malware qui date déjà de 10 ans. Selon le rapport sur les menaces mondiales de FortiGuard Labs pour le premier trimestre 2022, ce malware qui efface les disques durs a progressé à la faveur de la guerre en Ukraine et a été détecté dans 24 pays au-delà de l’Europe. Cette prévalence plus importante pourrait bien constituer la première étape d’une opération d’envergure. Au-delà de ces assaillants qui associent un ver à un wiper, voire à un ransomware, le risque principal est l’utilisation généralisée des wipers par les cybercriminels. D’autre part, les malware conçus et déployés par des États-nations pourraient être réutilisés par des groupuscules cybercriminels dans un contexte de modèle CaaS. Compte tenu de sa disponibilité large, le wiper pourrait bien être utilisé pour causer des destructions massives sur une courte durée compte tenu de la nature organisée de la cybercriminalité actuelle. La rapidité de détection de ces wipers et de leur suppression devient ainsi un objectif critique pour les équipes de sécurité.
Comment se protéger ? L’utilisation d’une sandbox est recommandée pour se protéger contre les ransomware sophistiqués et la menace des wipers. Cette approche favorise une protection en temps réel contre des menaces qui évoluent : en effet, avec une analyse en sandbox intégrée dans le cadre d’une plateforme de cybersécurité, seuls des fichiers sains sont acheminés vers les endpoints.
Un panel d’outils distincts et cloisonnés ne sera pas efficace face aux menaces actuelles. Il s’agit plutôt de s’orienter vers une plateforme mesh de cybersécurité, adaptée à ce panorama complexe et capable de rendre la sécurité plus résiliente. Une telle plateforme, étroitement intégrée et automatisée améliore la visibilité sur la posture de sécurité, et assure une riposte plus rapide et coordonnée aux menaces, sur l’ensemble du périmètre réseau.