1-L’évolution des ransomwares influencée par les événements de 2020
Cette année, comme nous avons pu l’observer, les ransomwares Ragnar Locker et Maze ont utilisé des machines virtuelles exécutant VirtualBox d’Oracle pour déployer leurs attaques sans être détectés par les solutions de protection des endpoints (EPP). Les solutions EPP protègent l’hôte immédiat mais pas les images des machines virtuelles : le ransomware est donc invisible pour l’EPP. Il est probable qu’à l’avenir, d’autres familles de ransomwares adoptent la même approche et que les cybercriminels cherchent à développer d’autres techniques d’évasion permettant de contourner différents types de technologies EPP.

En 2020, Emotet - famille de malwares ayant acquis une certaine notoriété en distribuant Trickbot (qui distribue à son tour le ransomware Ryuk) - a utilisé des tactiques d’ingénierie sociale optimisées dans ses campagnes de spams. Par ailleurs, comme l’ont constaté les chercheurs, Emotet utilise désormais un nouveau module capable de subtiliser les pièces jointes des e-mails, en plus de voler leur contenu. Les pièces jointes et informations volées sont réutilisées ensuite sous forme malveillante afin d’en accroître la crédibilité et toucher davantage de cibles. Ces nouvelles techniques de vol de contenus utilisées par Emotet laissent penser que les hackers pourraient bien chercher à créer d’autres stratégies leur permettant de personnaliser davantage leurs attaques. Autre point important : les campagnes de spams d’Emotet ont commencé à utiliser des archives protégées par un mot de passe pour empêcher les produits de sécurité de scanner les documents malveillants. Ces évolutions traduisent les efforts menés par les hackers pour rendre les attaques Emotet toujours plus efficaces. Il est essentiel de se préparer à faire face à ces nouvelles formes d’attaques.

Cette année également, Buer et BazarLoader, deux nouveaux loaders permettant le déploiement du ransomware Ryuk, ont fait leur apparition. Ces deux nouveaux loaders utilisent le stockage cloud comme Google Docs pour distribuer des charges utiles (contrairement à Emotet qui se sert de sites corrompus). La notoriété d’Emotet a sans doute incité les cybercriminels à élaborer ces nouvelles offres « loader-as-a-service ». « Ces nouveaux types de loaders ont pu être créés pour contourner les outils de détection ou bien pour réaliser des attaques à moindre coût. Quelle qu’en soit la raison, il est probable que nous observions une augmentation du nombre de services destinés à la diffusion des ransomwares », analyse Maria Patricia Revilla Dacuno, Tactical Defense Unit chez F-Secure.

2-L’augmentation du recours au SPAM
En 2020, le spam a présenté plusieurs tendances notables : l’utilisation de la pandémie comme appât, le recours massif aux documents Office comme vecteur d’infection, la protection par mot de passe des pièces jointes malveillantes - avec notamment des types de fichiers d’archives peu communs -, et enfin l’utilisation de services cloud pour héberger des contenus malveillants. Ces tendances devraient se poursuivre en 2021.
Jusqu’à ce que la situation sanitaire se calme, les campagnes de spam continueront de cibler le télétravail et les thématiques liées à la pandémie (vaccins, avis de retard de livraison dû au confinement, etc.). Les cybercriminels savent que de nombreuses personnes attendent de recevoir des informations sur l’évolution de la pandémie (en particulier lorsque ces informations concernent leur propre pays ou région). Et les hackers tirent systématiquement profit de l’actualité pour rendre leurs e-mails malveillants assez pertinents pour que les utilisateurs les ouvrent et cliquent sur des contenus dangereux.

En plus des documents Office habituels contenant des macros VBA (Visual Basic for Application) malveillantes, les chercheurs ont observé que les macros Excel 4.0 (appelées « formules ») ont gagné en popularité cette année. À partir de ces macros, les hackers ont pu développer des techniques anti-sandbox contrôlant certains paramètres (souris, capacités audio) afin d’éviter les environnements sandbox. Ces cybercriminels redécouvrent donc d’anciennes fonctionnalités Office pouvant être exploitées pour lancer des attaques. Attendons-nous donc à ce que les documents Office restent un vecteur d’infection répandu via le spam. L’utilisation de macros Excel 4.0 se poursuivra très probablement en 2021.

Des mots de passe ont été utilisés pour protéger des pièces jointes malveillantes dans les spams. Les hackers utilisent cette technique pour empêcher les pièces jointes malveillantes d’être analysées automatiquement via le sandboxing ou par les produits de sécurité. Cette technique a notamment été utilisée avec Emotet, et nous pouvons nous attendre à ce que d’autres menaces suivent cette voie.

L’utilisation des services cloud a également gagné en popularité auprès des pirates informatiques. Nous pouvons notamment citer à cet égard GuLoader ainsi que les récents loaders de ransomwares Ryuk (Buer et BazarLoader). En 2021, les cybercriminels devraient continuer à utiliser les services cloud pour leurs campagnes de spams, soit pour le phishing, soit pour des campagnes de malwares utilisant ces services pour distribuer des charges utiles.

3-La problématique IOT
D’ici 1 à 3 ans, une autre attaque de type ver ou de type Mirai aura lieu. Et ce phénomène se reproduira de manière périodique, jusqu’à ce que de véritables contrôles qualité portant sur la sécurité et la confidentialité des objets connectés soient mis en œuvre.

En 2021, il n’y aura pas beaucoup de changements quant à la transparence de ces périphériques (comment ils sont conçus, avec quoi ils communiquent, quelles données ils traitent, etc.). L’achat d’un objet dit « intelligent » va souvent de pair avec une double incertitude : ne pas savoir quelles informations personnelles sont envoyées, et ne pas pouvoir évaluer l’impact d’un éventuel piratage de l’appareil en question (sur vos données et votre vie personnelle). Malheureusement, cette situation va perdurer dans les années à venir. Les utilisateurs n’ont aucune idée de la surface d’attaque de leur réseau domestique et sont dans l’incapacité de déterminer quelles données sont communiquées, transmises ou stockées. Ils n’ont pas non plus connaissance des mesures destinées à la sécurisation de ces transferts de données.

Les périphériques connectés ont vocation à accompagner leurs propriétaires durant plusieurs années. Si l’on pense un instant à la quantité de données qu’un seul appareil, comme un téléviseur intelligent, peut collecter. Si on analyse ensuite la rapidité avec laquelle ces appareils se multiplient, il devient évident que les fabricants possèdent désormais une quantité impressionnante d’informations au sujet dudit propriétaire. Ces informations leur permettent même de dégager de nouvelles sources de revenus. Un fabricant de smart TV peut, par exemple, réaliser des bénéfices après-vente grâce aux informations recueillies sur l’appareil vendu (comment vous l’utilisez, quand vous l’utilisez et quels choix vous faites ou ne faites pas). Une cyberattaque peut alors déboucher sur un vol de données personnelles d’une ampleur considérable.
Bien que des institutions comme l’Union européenne s’efforcent de faire respecter les lois en matière de respect de la vie privée (par exemple, concernant l’utilisation par défaut des microphones), la plus grande partie du processus de développement se déroule sans aucune transparence quant aux technologies utilisées, à la manière dont elles le sont et aux informations recueillies et envoyées à des tiers. « Des initiatives destinées à la sécurisation de ces objets sont en cours d’élaboration, mais elles n’en sont encore qu’à un stade précoce. En attendant, les données continueront à s’accumuler dans de véritables décharges virtuelles que les entreprises s’emploient à monétiser. De leur côté, les hackers cibleront les appareils vulnérables et les convertiront en bots DDoS pour bâtir d’énormes réseaux botnets destinés à des opérations de perturbation », constate Tom Van de Wiele, consultant expert sécurité chez F-Secure.

4-Une réponse juridique des gouvernements sur la question des ransomwares ?
En 2021, les gouvernements se montreront sans doute plus proactifs dans la lutte contre les ransomwares. Et il est probable qu’ils recourent à des approches non-techniques pour tenter d’endiguer le problème. Ces dernières années, les ransomwares ont évolué... mais ces évolutions n’ont pas été techniques : elles ont été opérationnelles. Les pirates informatiques ont, par exemple, couplé leurs attaques à des exfiltrations de données pour diversifier et maximiser leurs profits. Les autorités, à leur tour, pourraient bien faire évoluer leur approche et prendre des mesures juridiques pour lutter contre le phénomène des ransomwares.

Certains secteurs risquent, plus que d’autres, d’attirer l’attention des extorqueurs. Les entreprises possédant des données particulièrement sensibles (comme celles du secteur juridique) ou dont l’activité peut être gravement impactée par une attaque ransomware (comme dans le secteur de l’industrie) pourraient se trouver particulièrement visées. Les coûts de gestion liés aux attaques ransomwares augmenteront également, ce qui devrait inciter encore davantage les autorités à intervenir.

« Ces efforts donneront des résultats mitigés. La nature décentralisée et fragmentée de l’écosystème de la cybercriminalité rend les mesures ciblées peu efficaces. Par exemple, les tentatives visant à empêcher le paiement des rançons présentent une efficacité surtout théorique. Dans la pratique, les réalités commerciales auxquelles sont confrontées les entreprises et l’existence de tiers pouvant servir d’intermédiaires pour les paiements limitent l’efficacité de ces stratégies », explique Callum Roxan, Senior Incident Response Investigator, Managed Detection and Response chez F-Secure.

5- La nécessité d’un positionnement plus ferme des Réseaux Sociaux sur les contenus
Les réseaux sociaux ont pris certaines mesures pour lutter contre la désinformation et les contenus nuisibles. Malheureusement, ces efforts se sont révélés insuffisants, et ils sont arrivés trop tard. L’absence de modération adéquate sur ces plateformes a gravement endommagé l’écosystème de l’information. Au cours de l’année à venir, les réseaux sociaux devront probablement mener une modération plus radicale et prendre des mesures généralisées contre les comptes qui génèrent et diffusent des contenus nocifs ou harcèlent d’autres utilisateurs.

Les algorithmes de recommandation mis au point par les réseaux sociaux sont très efficaces pour proposer aux utilisateurs des contenus qu’ils n’auraient peut-être pas trouvés autrement. Bien que ces algorithmes soient la plupart du temps sans grand danger, ils ont mis en contact des individus influençables avec des théories du complot ou avec des groupes extrémistes. Ces algorithmes de recommandation auraient dû être associés à des politiques de modération. Ainsi, il aurait été possible d’anticiper ce genre de phénomènes et de lutter contre la désinformation, contre les faux comptes et le harcèlement ciblé. La modération opérée sur ces plateformes n’a jamais été adaptée au nombre d’utilisateurs ni aux différentes régions. Résultat : pendant plus de dix ans, le monde a testé ces systèmes en « version bêta »… et en a souffert.
Les réseaux sociaux sont également confrontés à des problèmes de législation. L’entreprise Facebook a récemment déclaré que la réglementation européenne sur le transfert de données compliquait ses process à tel point qu’elle envisageait de retirer ses services de la région.

« De nombreux mécanismes ont été proposés pour concevoir des solutions de modération automatisées. Cependant, la plupart d’entre eux souffrent d’un taux relativement élevé de faux positifs et de faux négatifs. Les différents formats - texte, audio, vidéo et image - nécessitent des approches d’analyse différentes. Et l’automatisation ne comprend pas les nuances comme le ferait un être humain. Même si un certain travail de modération peut être délégué aux algorithmes et aux mécanismes de machine learning, des êtres humains devront sans doute rester mobilisés sur une grande partie de ce processus », souligne Andy Patel, Senior Researcher, Artificial Intelligence Center of Excellence