Le cas Snowflake, symbole de la résurgence des infostealers

Les infostealers, c'est quoi au juste ?

Mandiant les définit comme "une grande catégorie de malwares qui peuvent voler des informations sensibles". Il n'y inclut cependant pas ceux destinés aux collectes massives et/ou à la récupération de données système basiques.

À défaut d'être nouveau, le phénomène est résurgent, d'après l'entreprise américaine. Elle en veut pour preuve ses activités de réponse à incidents menées en 2024.

Ce constat va de pair avec la recrudescence de l'usage d'authentifiants volés. Ils ont fait office de vecteur d'accès initial dans 16 % des incidents traités l'an dernier. Contre 10 % en 2023 et 14 % en 2022. Les intrusions qu'ils permettent sont souvent de courte durée, mais à fort impact.

L'épisode Snowflake, emblématique des infostealers

Certains infostealers sont aussi des backdoors ou des RAT (chevaux de Troie d'accès à distance). Illustration avec la famille de trojans bancaires Trickbot, capables de charger un module de vol d'authentifiants.

Mandiant évoque le mode opératoire UNC5537. À partir d'avril 2024, il a multiplié les accès à des instances Snowflake en se servant de credentials principalement obtenus via des infostealers - dont Lumma, Metastealer, Raccoon Stealer, Redline, Risepro et Vidar - déployés sur les machines d'employés ou de sous-traitants des entreprises ciblées. L'attaquant a tenté d'extorquer directement certaines victimes et de vendre son butin sur des forums cybercriminels. Le plus vieil authentifiant compromis l'avait été en novembre 2020.

Dans le registre infostealer, Mandiant mentionne aussi Triplestrength. Cet acteur de la menace, qu'il suit depuis 2023, se livre notamment à du minage de cryptomonnaies sur des environnements cloud. Pour prendre la main sur ces ressources, il exploite des authentifiants et des cookies.

Vecteur initial d'accès dans 16 % des incidents traités (+ 6 points en un an), les authentifiants volés dépassent le phishing (14 % ; - 3 points). Quoiqu'en recul, l'usage d'exploits domine toujours (- 5 points, à 33 %). La menace interne reste minoritaire (5 %). Mais elle se fait plus prévalente, en particulier à l'aune campagnes menées par la Corée du Nord pour faire recruter ses citoyens dans les équipes IT d'entreprises occidentales.

Dans la région EMEA (Europe, Moyen-Orient, Afrique), l'usage d'identifiants volés est moins souvent le vecteur initial d'intrusion. La force brute l'est davantage (10 %), comme le phishing (15 %) et les exploits (39 %).

Illustration générée par IA