Cybersécurité : les attaques sans fichier (fileless) gagnent du terrain

Ariane Beky,
deloitte-breche-securite

La majorité des attaques étudiées s’appuient sur une technique sans fichier ou « fileless », selon un rapport de CrowdStrike.

Les attaques sans programme malveillant ou sans fichier (« fileless ») gagnent en popularité au sein de l’écosystème du cybercrime, a relevé CrowdStrike dans son Global Threat Report 2020*.

51% des attaques cyber étudiées dans le monde ont utilisé une approche sans malware ou sans fichier en 2019. Un taux en hausse de 11 points par rapport à l’année précédente, selon le rapport de l’entreprise américaine de cybersécurité.

CrowdStrike définit les attaques « fileless » comme « celles dont la technique initiale n’a pas entraîné l’écriture d’un fichier ou d’un fragment de fichier sur un disque ». Par exemple, lorsque l’attaquant exécute du code à partir de la mémoire ou lorsque des informations d’identification volées sont exploitées pour les connexions à distance.

Malgré la montée en puissance des attaques sans fichier, les malwares figurent toujours en bonne place dans l’arsenal des pirates informatiques.

Réduire l’impact des attaques avec ou sans fichier

Du côté des malwares, les rançongiciels (ransomwares) sont toujours très actifs. Et les demandes de rançons peuvent atteindre des sommets.

En 2019, les demandes les plus élevées (12,5 millions de dollars) ont été portées par des attaquants utilisant le rançongiciel Ryuk. Les gouvernements locaux, les secteurs de l’éducation, des technologies et des soins de santé ont été les plus touchés.

Quelles sont les recommandations de CrowdStrike pour réduire les risques dans les entreprises ?

– Tirer pleinement partie des protections existantes, correctement paramétrées et à jour.
– Sensibiliser les équipes à la menace que représente le phishing et les techniques d’ingénierie sociale pour les systèmes d’information et l’activité de l’organisation concernée.
– Adopter les pratiques et les outils qui permettent de stopper la diffusion et l’impact d’attaques avancées et les menaces. Le fournisseur promeut une approche « 1-10-60 » (détecter l’intrusion en moins d’une minute, enquêter pour comprendre la menace en 10 minutes, contenir et éjecter l’adversaire de l’environnement exposé en moins de 60 minutes).
– S’entendre avec des partenaires de confiance, des fournisseurs de solutions aux fournisseurs de services de sécurité managés (MSSP), car « toutes les organisations ne sont pas équipées pour s’engager dans ce type de bataille en mode 24/7. »

*Le rapport de CrowdStrike est basé sur l’analyse de pétaoctets de données issues de plus de 3 trillions d’événements par semaine dans 176 pays. Les travaux des équipes CrowdStrike Intelligence et Falcon OverWatch ont été utilisés. Les résultats d’enquêtes menées en 2019 concernant la réponse aux incidents l’ont été également.

(crédit photo © Shutterstock)