Comment la menace cyber change de forme : le point de vue de l’ENISA

Clément Bohic,
Linkedin
ENISA menace cyber 2022

Le panorama annuel de l’ENISA (« ANSSI européenne ») sur la menace cyber illustre l’évolution des cibles, des outils et des techniques d’attaque.

« Ransomware » rime-t-il forcément avec « chiffrement » ? De moins en moins, à en croire l’ENISA. L’agence européenne en fait part dans son panorama 2022 de la menace cyber.

Elle mentionne, sur ce même volet, d’autres tendances. Notamment la montée en puissance du phishing comme levier de diffusion des ransomwares. Il dépasse désormais le RDP.

Du côté des cybercriminels, on joue de plus en plus, lors des négociations, sur la couverture assurantielle des victimes. L’ENISA évoque deux groupes en particulier : Karakurt et LAPSUS$. Ce dernier est entré dans la lumière au printemps avec le piratage d’Okta.

Dans la foule des ransomwares, l’ENISA retient trois noms : LockBit, Conti et ALPHV/BlackCat. Ils ont été, sur l’échantillon de victimes pris en considération, les plus « actifs » au premier semestre 2022.

Les exploitants d’ALPHV se sont distingués sur les moyens de pression mis en œuvre. Plutôt que de diffuser leurs données sur le darkweb, ils ont opté pour un site internet public, indexé. Et il y ont intégré un moteur de recherche.
Du côté du collectif Industrial Spy, on a défacé les sites des victimes pour y afficher les demandes de rançon. Une manière de donner de l’écho à l’attaque… et de mieux s’armer pour la phase de négociation. Ce même collectif a aussi, pendant un temps, invité ses victimes à « racheter » leurs données exfiltrées avant qu’elles ne soient proposées à des concurrents.

Macros et MFA : à nouvelles défenses, nouvelles attaques

Qu’en est-il si on élargit le champ d’analyse à l’ensemble des malwares ? On constate que l’IoT y est pour beaucoup dans la croissance globale du volume d’attaques.

L’usage des macros Office, au contraire, recule depuis que Microsoft a resserré l’étau. En parallèle, il augmente sur une voie alternative : les images disque (ISO, VHDX). Leur avantage : on ne peut leur apposer l’indicateur MotW (« Mark of the Web »), ce qui favorise le contournement de filtres tels que SmartScreen. Le mode opératoire Nobelium, qui a ciblé la France l’an dernier, a exploité cette technique.

Conséquence du développement de l’authentification à facteurs multiples (MFA), les attaquants tendent à délaisser la compromission de comptes de messagerie au profit des plates-formes. La compromission des serveurs Exchange a eu le vent en poupe ces derniers temps, avec l’appui de failles comme ProxyLogon et ProxyShell.

Un DDoS ? Non, juste un PoC

Le ciblage de l’IoT se répand aussi dans le cadre des attaques en déni de service (DoS). L’ENISA l’avait déjà constaté dans son panorama 2021. Il faut dire que la sécurité est généralement moins robuste sur ces appareils, aussi bien par défaut (il est, entre autres, parfois impossible de modifier le mot de passe) que tout au long du cycle de vie (correctifs plus rares et moins souvent appliqués). Emblème : le botnet Mozi, qui exploite des vulnérabilités vieilles de plusieurs années.

S’en prendre aux modèles IA qui gouvernent les décisions de cybersécurité est un levier émergent pour le déni de service. L’ENISA constate aussi le développement du RDoS. En d’autres termes, du déni de service avec rançon. Et parfois, sans attaque. Juste avec un PoC (un « mini-DoS ») en soutien d’une injonction à payer…

Il arrive que des cybercriminels avancent auprès de leurs victimes l’argument des conséquences juridiques. Dans les grandes lignes : nous avons compromis votre infrastructure, et vous êtes responsable de toute attaque DDoS qu’elle permettrait de mener.
Parfois, cette intimidation n’est qu’une première étape. L’ENISA en réfère à un cas rencontré l’an dernier : les cibles recevaient un avertissement de compromission de leur infrastructure, assorti d’un lien vers un dossier cloud censé contenir des preuves. Il contenait en fait la charge malveillante BazarLoader.

Dans le même esprit, on nous mentionne un cas de phishing en deux temps. Les attaquants se faisaient passer pour un employé de l’ambassade de Belgique en Irlande. C’est uniquement une fois qu’on avait répondu au mail qu’on se faisait envoyer un malware, intégré dans un fichier zip.

Photo d’illustration © garrykillian – Adobe Stock