Revue de la cybersécurité 2017 : l’année du réveil – première partie

Après avoir observé notre boule de cristal pour vous présenter certaines des tendances qui devraient dominer le cyber-paysage au cours de l’année à venir, nous allons maintenant offrir une revue de 2017. D’une certaine manière, cette année peut être considérée comme une « année de réveil ». Les sonnettes d’alarme se sont à peine arrêtées de sonner, alors que nous n’arrêtions pas de nous éveiller à la réalité d’une vague de nouveaux cyber-incidents. De telles incursions, frappant de tous les côtés, ont fourni à tous ceux qui vont n’importe où sur le Web une abondance d’exemples pour réfléchir à l’insécurité de nos mondes en ligne. Plutôt que de « s’asseoir et se détendre », il convient de plus en plus souvent de « s’asseoir et faire attention ». Dans cet article, nous attirerons l’attention sur des événements clés et mettrons en évidence les caractéristiques communes qui sous-tendent certaines des principales tendances et des principaux sujets qui ont été définis cette année. Nous passerons également en revue quelques-unes des prévisions que nos leaders d’opinion avaient émises il y a un an.

Atteindre le terrier du lapin grâce aux rançons

La quantité d’attention attirée cette année par les attaques de rançon ou de type rançongiciels (telles que les wipers et certaines escroqueries de soutien technique) rendent également tentant de conclure carrément que 2017 restera dans les mémoires comme « l’année de la rançon ». En fait, il y a fort à parier que vous avez déjà entendu cette expression, y compris avec une certaine prudence dans notre revue de 2016.

L’image peut cependant être un peu floue. Pour ne pas se laisser distancer par de simples logiciels malveillants, les brèches de données à grande échelle ont continué à affluer – et, en fait, ont atteint des sommets – cette année, montrant que la question n’est plus si on sera affecté par une brèche de données, mais quand. Les logiciels de rançon et les brèches de données restent des épines majeures dans les côtés des utilisateurs et des organisations à travers le monde, perçant souvent leurs défenses sans trop d’efforts. En fait, il arrive même que les deux menaces s’entremêlent, ce qui donne lieu à une concoction très volatile d’ingrédients de cyberinsécurité.

Alors que le problème vexatoire des logiciels de rançon a chuté à des niveaux sans cesse plus bas ces dernières années, les bénéfices – et, par extension, la demande de profit – ont suivi une tendance inverse. A tel point que la recherche de profits toujours plus importants a continué d’encourager un commerce florissant de kits RAaS (Ransomware-as-a-Service), permettant même à des attaquants qui ne maîtrisent pas particulièrement la technologie de frapper durement leurs cibles. En d’autres termes, il suffit d’avoir de mauvaises intentions et un peu de monnaie. Comparez ces dépenses négligeables avec les profits potentiels et le résultat s’impose : le FBI estime que le montant total des paiements de cyber-rançons s’élève à près d’un milliard de dollars par an.

Dans le cadre d’un autre changement du paradigme de la rançon, de nombreuses attaques sont désormais des campagnes sophistiquées, voire personnalisées, qui impliquent des secteurs et des victimes délibérément choisis, plutôt que des tentatives d’extorquer de l’argent aux victimes au hasard.

Un rançongiciel rencontrant les brèches de données rencontre DDoS… est en route pour répondre aux lacunes béantes dans la sécurité de l’IdO?

Le rançongiciel a également évolué de bien d’autres façons, aboutissant ainsi à des menaces hybrides. La rentabilité du « business model » basé sur la cyber-extorsion est également mise en évidence par le fait que ces tactiques ont été transférées à d’autres plateformes (Android) il y a un certain temps, et sont également l’épine dorsale des pirates informatiques suivis de menaces de vol sous peine de rendre publiques les données volées. Le réseau de télévision HBO et la plateforme de diffusion en continu Netflix étaient sous les feux de la rampe au début de cette année pour des fuites qui rappelaient les malheurs de Sony en 2014, dont les propres données ont été dans les faits utilisés comme armes à leur endroit.

Le rançongiciel a également évolué de bien d’autres façons, aboutissant ainsi à des menaces hybrides.

Les développements de ces dernières années ont également validé certaines de nos préoccupations concernant un certain degré de métissage entre l’extorsion, le DDoS et/ou l’exploitation des vulnérabilités des objets connectés, en tant que nouvelles couches de menaces en plus des crypto-ransomwares éprouvés. Dans une étape pas surprenante dans cette évolution, une infidélité désagréable de sorcières d’extorsion et de DDoS a eu des mécréants qui ont salivé encore plus cette année et a gagné en popularité surtout après une campagne de chantage réussie qui a rapporté à ses orchestrateurs 1 million de dollars de bitcoin en juin.

Dans le grand schéma des choses, l’appétit de faire payer les victimes sous la menace d’une attaque DDoS est également alimenté par la disponibilité facile des deux « services » – RaaS et DDoS pour le recrutement. Bien que les menaces de types « payez ou subissez une attaque DDoS se révèlent souvent n’être que des menaces non mises à exécution, la prévalence des attaques DDoS fait de ce type d’attaques l’une des menaces réelles auxquelles les organisations sont le plus souvent confrontées. Pire encore, ces attaques sont souvent conçues comme des écrans de fumée pour d’autres incursions, notamment des compromissions de logiciels malveillants ou des vols de données.

La prolifération des dispositifs de l’IdO vient s’ajouter à ces malheurs. Abstraction faite des preuves de principe, nous n’avons pas encore vu d’attaque à part entière impliquant des demandes de rançon en échange de la libération de  » choses intelligentes  » détournées. Cependant, l’écriture est sans doute sur le mur. Bien qu’un tel détournement ne soit pas nécessairement aussi simple que ce qui est parfois rapporté dans les médias, nous ne pouvons pas nous empêcher de faire écho à nos préoccupations de longue date quant à ce qui peut arriver si/quand une méthode d’attaque à la mode, telle que les logiciels de rançon, converge avec d’innombrables dispositifs IdO non sécurisés.

Les attaques DDoS – comme celle qui a provoqué une perturbation généralisée de l’activité légitime d’Internet aux États-Unis il y a un peu plus d’un an – sont normalement menées par des machines conscrites dans des réseaux de robots. Il y a quelques semaines à peine, les développements dans l’espace du réseau de zombies ont connu un exploit remarquable, lorsqu’une opération policière internationale a mis à mal des centaines de réseaux de zombies exploités depuis longtemps par une famille de logiciels malveillants appelée Wauchos (alias Gamarue alias Andromeda), suite à plus d’un an d’efforts qui a requis l’assistance technique de chercheurs d’ESET.

WannaCryptor, comme un canari dans une mine de charbon

Le 12 mai 2017 était un jour bien ordinaire, jusqu’ à ce que les rapports commencent à affluer de milliers d’ordinateurs enfermés dans le monde entier, pour être libérés en échange d’une somme de 300 $ de bitcoin. L’infestation était sans précédent : le rançongiciel appelé WannaCryptor (détecté par ESET sous le nom de WannaCryptor.D et également connu comme WannaCry et Wcrypt) s’est propagée à un rythme vertigineux, touchant environ 300 000 ordinateurs dans environ 150 pays. En revanche, les gains n’ont pas été importants du tout, étant donné la portée de l’épidémie.

Alors que les victimes tentaient de comprendre ce désastre de récupérer leurs données – ce qui n’était pas loin d’un combat perdu d’avances – l’éclosion s’est vite arrêtée, après qu’un chercheur en sécurité eut enregistré un domaine « d’interrupteur de mise à mort », stoppant ainsi la propagation continue du logiciel de rançon. Ce domaine fut bientôt assiégé. En effet, certains attaquants ont cherché à ressusciter WannaCryptor via des attaques DDoS visant à déconnecter un domaine « kill switch », en utilisant leurs versions copiées du réseau de robots Mirai.

WannaCryptor propagé en exploitant une vulnérabilité dans l’implémentation Windows du protocole Server Message Block (SMB), en cooptant les outils de piratage EternalBlue et DoublePulsar développés par la National Security Agency (NSA). Microsoft avait en fait publié une mise à jour de sécurité pour les versions prises en charge de Windows pour corriger le trou exploité par EternalBlue deux mois avant l’épidémie et un mois avant un pirate ou un groupe connu sous le nom de Shadow Brokers libéré les deux outils à l’état sauvage. Afin de contrecarrer les itérations ultérieures de l’attaque, Microsoft a même pris la décision inhabituelle d’émettre des correctifs d’urgence pour les systèmes non plus plus pris en charge, tels que Windows XP. Contrairement aux rapports initiaux, presque toutes les victimes de WannaCryptor utilisaient le système Windows 7 (sans correctifs, évidemment).

Une autre attaque mondiale

Environ six semaines plus tard, avec des souvenirs de la rançon rouge et blanche de WannaCryptor encore fraîche, tous les yeux étaient rivés sur une autre menace virulente avec ses propres bizarreries. Le 27 juin, des logiciels de rançon détectés par ESET sous le nom de Diskcoder.C (alias ExPetr, PetrWrap ou Not-Petya) ont commencé à faire les rondes et, tout en frappant les organisations dans le monde entier, la plupart des entreprises qui étaient à la traîne étaient basées en Ukraine.

En d’autres termes, il suffit d’avoir de mauvaises intentions et un peu de monnaie

Le logiciel malveillant Diskcoder.C illustre à quel point les apparences trompeuses peuvent être trompeuses dans les produits cybercriminels. Contrairement à la tendance précédente et contrairement aux croyances initiales, ce logiciel malveillant s’est avéré être un essuie-glace destructeur, plutôt qu’un logiciel de rançon qui devrait, du moins en théorie, être capable d’inverser ses propres changements.

Diskcoder.C a utilisé une version modifiée du même exploit d’EternalBlue que WannaCryptor, mais s’est rendu plus profondément dans le système de la victime. Au lieu de chiffrer des fichiers individuels, sa charge utile a écrasé le Master Boot Record (MBR) du disque dur et a déclenché un redémarrage. Par conséquent, bien que la note de rançon et la demande d’une clé de déverrouillage aient été affichées, seuls les logiciels malveillants ont démarré après le redémarrage de la machine et il n’y avait aucun moyen de restaurer les fichiers.

À la base de cette épidémie mondiale, on retrouve une version compromise avec succès du logiciel comptable M. E. Doc, populaire dans diverses industries en Ukraine. Un certain nombre d’organisations ont effectué une mise à jour trojanisée de M. E. Doc et ont alors souffert de l’infestation primaire. Les logiciels malveillants se sont par la suite propagés dans les systèmes mondiaux via des entreprises interconnectées avec leurs partenaires ukrainiens. Les multinationales évaluent les dommages mondiaux à des centaines de millions de dollars américains. Bien que les dommages par débordement puissent être considérés comme collatéraux, ils ont mis à jour l’ampleur de la menace que représentent les attaques de logiciels malveillants pour l’infrastructure et les chaînes d’approvisionnement.

Dans le terrier de Bad Rabbit

Avancez rapidement jusqu’au 24 octobre et une variante de la famille Diskcoder dotée de capacités de type ver a entraîné un autre effondrement de la cybersécurité, bien que l’infestation ait été en grande partie confinée à la Russie et à l’Ukraine. Nommé Diskcoder.D et également connu sous le nom de Bad Rabbit, il s’est propagé sous le couvert d’un faux programme d’installation de mise à jour Flash affiché sous la forme d’une fenêtre pop-up sur des sites Web légitimes – mais piratés – d’actualités et de médias. En plus de forcer brutalement son passage à travers les réseaux, il a également exploité EternalRomance, un autre exploit de PME qui a été divulgué par Shadow Brokers. 

Les appareils mobiles ne sont pas épargnés

La plateforme Android, qui date de près d’une décennie, reste la cible principale des malveillants visant les appareils mobiles, et les logiciels de rançon mobiles constituent une menace mondiale à grande échelle et en constante augmentation depuis un certain temps déjà. Les chevaux de Troie bancaires restent un autre pilier de l’espace Android. En fait, les deux fonctionnalités peuvent être complémentaires, comme l’a découvert plus tôt cette année Lukáš Štefanko, chercheur en logiciels malveillants chez ESET.

Štefanko a découvert une souche de ransomware Android avec deux premières. D’une part, DoubleLocker chiffre non seulement les fichiers de l’utilisateur, mais verrouille également l’appareil en changeant son code PIN. Ajoutant l’insulte à la blessure, c’est aussi le premier logiciel de rançon connu à se propager en abusant des services d’accessibilité de la plate-forme. DoubleLocker est en fait dérivé d’une famille de logiciels malveillants bancaires bien étahttps://www.welivesecurity.com/2017/10/13/doublelocker-innovative-android-malware/blie et peut être transformé en ce que Štefanko a appelé un rançongiciel bancaire, capable d’effacer le compte bancaire ou PayPal d’une victime avant de verrouiller le dispositif et les données et d’exiger une rançon. Une version test du rançongiciel bancaire a été détectée à l’état sauvage en mai 2017.

Dans la deuxième partie de notre étude sur la cybersécurité en 2017, l’accent sera mis sur la sécurité des données (et ses failles), les vulnérabilités et les dangers auxquels sont confrontées les infrastructures critiques.

Auteur , ESET