Endpoint, Identité et Cloud : les principales cyberattaques des trois premiers trimestres 2022

Cybersécurité

Au cours des 9 premiers mois de 2022, les cyberattaques les plus dangereuses ont porté sur les endpoints, les identités et le cloud. Comprendre leurs causes et leurs impacts doit permettre aux entreprises de savoir pourquoi et comment renforcer leur sécurité contre des attaques similaires.

Les entreprises avancent chaque jour dans leur transformation digitale : plus d’outils autorisant plus d’accès et permettant plus de connexions. Cependant, cette course au toujours « plus » n’est pas sans risque. Si les entreprises continuent à se développer, les cyberattaques le font encore plus rapidement.

Au cours des 9 premiers mois de 2022, les cyberattaques les plus dangereuses ont porté sur les endpoints, les identités et le cloud. Comprendre leurs causes et leurs impacts doit permettre aux entreprises de savoir pourquoi et comment renforcer leur sécurité contre des attaques similaires.

Attaques sur les endpoints

La protection des endpoints n’est plus ce qu’elle était. Les hackers se professionnalisent et l’essor du Ransomware-as-a-Service (RaaS) indique même que les cybercriminels les moins expérimentés peuvent désormais accéder à des outils malveillants complexes et en tirer profit.

Au cours des trois premiers trimestres 2022, les ransomwares ont ciblé les infrastructures critiques de grandes entreprises, voici quelques exemples qui nous viennent de partout dans le monde :

> Comté de Bernalillo – En janvier, le comté le plus peuplé du Nouveau-Mexique a subi une attaque par ransomware qui a mis hors service un grand nombre de ses systèmes et services gouvernementaux et contraint les autorités à fermer au public la plupart des bâtiments.

> Denso – En février, cette entreprise du classement Fortune 500 – qui fournit des pièces automobiles à Toyota, Honda, Mercedes-Benz etc… – a détecté un accès non autorisé à son réseau. L’attaque a été revendiquée par le groupe de hackers Pandora, qui a menacé de rendre public 1,4 To de secrets commerciaux et dossiers transactionnels de l’entreprise.

> Bridgestone – En mars, une cyberattaque du groupe ransomware LockBit, a contraint Bridgestone à bloquer certains de ses réseaux informatiques et la production dans ses usines en Amérique du Nord.

> Gouvernement du Costa Rica – En avril, le Costa Rica a subi une cyberattaque massive, orchestrée par les hackers russes Conti, ciblant les services nationaux du gouvernement et le contraignant à payer 20 millions de dollars. Quelques semaines plus tard, le groupe de cybercriminels a de nouveau frappé le pays avec le ransomware HIVE, qui a perturbé le système de santé public du pays.

> Spice Jet – En mai, la deuxième compagnie aérienne indienne a été victime d’une attaque par ransomware qui a entraîné un retard en cascade des vols, bloquant de nombreux passagers dans les aéroports et les avions.

> Entrust – En juin, un groupe d’attaquants a volé les données des systèmes internes de la société de sécurité numérique menaçant toutes les entreprises utilisant son logiciel pour l’authentification. Par la suite, on a constaté qu’Entrust avait été ajouté au site Web LockBit 3.0 basé sur Tor.

> Knauf – En juillet, le groupe de ransomware Black Basta a revendiqué l’attaque lancée contre cette multinationale du bâtiment et des matériaux de construction. Knauf a été contraint de fermer tous ses systèmes informatiques pour isoler l’attaque ce qui a perturbé ses opérations commerciales et processus de livraison. Black Basta a révélé avoir publié plus de 20% des fichiers dérobés.

Un certain nombre de campagnes de ransomware ont également ciblé des entreprises et des organisations plus anonymes. Le ransomware Zeppelin a attaqué des entreprises de défense, des établissements scolaires, des industriels, des entreprises technologiques et surtout des organisations du secteur de la santé.

De même, ces derniers mois, on a constaté une augmentation disproportionnée d’attaques de ransomwares, orchestrées par le groupe Vice Society, sur le secteur de l’éducation mais également de la santé.

Attaques basées sur l’Identité

Une autre menace a gagné du terrain en 2022, les attaques basées sur l’identité, qui doivent désormais être au centre des préoccupations des entreprises.

Avec les travailleurs à distance, l’adoption généralisée de l’IoT et le nombre considérable d’identités numériques créées pour une seule et même entreprise, la surface d’attaque continue de s’élargir.

> Attaques contre Active Directory – Cisco
Trop souvent, les attaquants utilisent des outils et des solutions légitimes, utilisés par leurs cibles. L’Active Directory (AD) fonctionne en stockant des informations sur les objets d’un réseau dans une hiérarchie logique, afin de faciliter la recherche d’informations par les administrateurs et les utilisateurs. Comme on l’a vu dans plusieurs attaques basées sur l’Identité au cours des derniers trimestres, les hackers tirent parti de l’infrastructure AD dans leurs campagnes de ransomware et leurs efforts d’extorsion, en particulier lorsqu’il y a un manque de protection de cet environnement.

En mai dernier, un hacker a accédé au compte Google personnel d’un employé CISCO et a volé ses informations d’identification. L’attaquant a mené ensuite une série d’attaques d’hameçonnage complexes via des communications vocales et des techniques de fatigue MFA pour obtenir un accès VPN au réseau ciblé.

En compromettant l’Active Directory, les hackers parviennent à s’introduire de manière durable dans le réseau, en élargissant leurs droits d’accès puis en cryptant et dérobant des données au passage. L’AD étant l’un des actifs les plus critiques des entreprises, les attaquants se sont concentrés sur les lacunes de la gestion des identités et des accès pour atteindre leur objectif.

> Attaques contre les plates-formes de gestion des identités – Okta et Lapsus$
En mars dernier, le groupe de hackers Lapsus$ a publié ce qui semblait être des quantités importantes de code source des produits Bing et Cortana de Microsoft. Bien qu’une violation potentielle de Microsoft soit suffisamment alarmante, Lapsus$ a également publié des captures d’écran indiquant qu’il contrôlait également Okta, une solution de gestion d’identité populaire.

Utilisée par des milliers d’organisations à grande échelle, cette plateforme permet aux utilisateurs d’accéder à de multiples services et applications via une interface de connexion unique.

Les entreprises sont victimes d’un plus grand nombre de prises de contrôle de comptes qui découlent directement de fournisseurs de gestion d’identité compromis, donnant aux hackers des privilèges système tels que la réinitialisation des mots de passe des comptes, la modification des adresses e-mail des comptes et l’accès aux données sensibles.

A l’instar de l’utilisation des ransomwares, de nombreux acteurs malveillants ciblent l’Active Directory situé au cœur des infrastructures mais aussi Azure AD. La protection des identités est donc devenue stratégique pour les entreprises.

Attaques basées sur le Cloud

Le passage accéléré des environnements situés dans des datacenters privés aux environnements hybrides et cloud nécessite plus que jamais que les entreprises protègent leurs workloads dans le cloud. Les serveurs cloud permettent aux entreprises de s’adapter facilement et de gagner en efficacité, mais ils nécessitent également de repenser certaines approches telles que la sécurisation des workloads serverless et de Kubernetes ou des machines virtuelles et des conteneurs.

> Amazon Web Services (AWS)
Amazon Simple Storage Service (S3), service de stockage cloud d’AWS, permet de stocker, de protéger et de restaurer toute une quantité de données pour ses utilisateurs. Les objets (fichiers) sont stockés dans des « buckets » S3 (compartiments).

Bien qu’ils soient très populaires, ces « buckets » S3 sont devenus une cible de choix pour les attaquants, car ils sont accessibles au public depuis n’importe quel appareil connecté et sont souvent mal configurés. Une fois compromis, l’attaquant a accès à des quantités incroyables de données qu’il peut utiliser pour obtenir une rançon, vendre sur le darknet, …

Dans la récente fuite de données de Civicom, la mauvaise configuration d’un « bucket » S3 a entraîné le vol de 8 To de données comprenant des fichiers vidéo et audio de réunions de clients, des enregistrements et des transcriptions pouvant contenir des secrets d’entreprise ou de la propriété intellectuelle. En outre, des informations personnelles identifiables (PII) de nombreux employés de Civicom ont également été révélés.

Autre exemple avec Pegasus Airlines en juillet dernier, la compagnie aérienne a déclaré que 6,5 To de données avaient été compromis, avec plus de 23 millions de fichiers exposés publiquement.
Les fichiers contenus dans le répertoire non protégé étaient liés à un logiciel propriétaire développé par l’entreprise et utilisé pour la navigation aérienne et les processus en vol (décollage, atterrissage), le ravitaillement en carburant et les procédures de sécurité.

Pegasus Airlines a également confirmé que les informations personnelles des équipages, le code source, les clés secrètes et même les mots de passe « en clair », avaient été également exposées.

Vulnérabilités de Kubernetes

Kubernetes, plate-forme open-source, automatise le déploiement, l’évolution et la gestion des applications conteneurisées. Elle utilise une architecture en cluster composée d’un orchestrateur et d’une ou plusieurs machines virtuelles ou physiques appelées « worker nodes » (ou nœuds), qui exécutent des pods.

L’orchestrateur, qui peut être déployé sur plusieurs environnements pour assurer la tolérance aux pannes et la haute disponibilité, constitue une cible privilégiée pour les hackers qui cherchent à exploiter son infrastructure ou à conduire une attaque DDoS.

Etant hébergé dans un environnement cloud, Kubernetes est affecté par les mêmes vecteurs de menace que le cloud : risques liés à la chaîne d’approvisionnement, acteurs malveillants qui exploitent les vulnérabilités et les mauvaises configurations, ainsi que les menaces internes.

L’année 2022 a été une année complexe pour des entreprises qui s’installent à nouveau dans des bureaux ou espaces de travail hybrides et doivent faire face aux conséquences d’une incertitude géopolitique, du ralentissement économique et de cyberattaques de plus en plus sophistiquées.

Disposer d’un plus grand nombre d’outils, d’accès et de connexions a sans aucun doute profité aux entreprises, mais a également ouvert une surface d’attaque plus grande dans laquelle les cybercriminels peuvent désormais opérer.

Si aucune entreprise n’est à l’abri des cyberattaques, cette analyse des attaques les plus dangereuses, permet de mieux anticiper les prochaines. Les solutions autonomes et pilotées par l’IA peuvent contribuer à offrir une sécurité globale aux entreprises qui sont à la recherche à la fois d’une protection des endpoints, des identités et du cloud.


Auteur
En savoir plus 
Blandine Delaporte est Sales Engineer Director – Southern EMEA chez SentinelOne
En savoir plus 

Livres blancs A la Une