Le rapport BeyondTrust Malware Threat Report explore en détail les 58 techniques des listes du MITRE ATT&ACK Framework pour le logiciel d’émulation de menace Cobalt Strike, en utilisant Privilege Management for Windows, au regard de 150 variantes de malware actuellement en circulation.

Voici les principales conclusions du rapport :

• Sans protection adéquate, un malware contournera les contrôles de sécurité des endpoints mettant à mal les investissements de sécurité.
• On constate une augmentation de l’utilisation d’outils natifs pour perpétrer des attaques sans fichier aux premiers stades d’une attaque, permettant aux agresseurs de s’implanter de façon durable une fois les contrôles de sécurité désactivés.
• Le MITRE ATT&CK Framework traduit un grand nombre de variantes de malwares et de cyberattaques en techniques permettant d’atténuer leurs effets.
• Les règles prêtes à l’emploi dans Privilege Management for Windows de BeyondTrust ont permis de casser les 150 chaînes d’attaque courantes testées.
• La suppression des droits admin et le contrôle pragmatique des applications sont les deux contrôles de sécurité les plus efficaces pour prévenir et atténuer les attaques de malware les plus courantes.

« Voilà des décennies que les entreprises investissent massivement dans des solutions de sécurité pour renforcer leur cyberdéfense », déclare James Maude, directeur de recherche en cybersécurité chez BeyondTrust. « Beaucoup de ces investissements se sont avérés inefficaces notamment en raison des bouleversements induits par la pandémie. La dissolution des périmètres de sécurité a conduit à une forte expansion des surfaces d’attaque si bien que les technologies de surveillance réseau et de pare-feu perdent de leur efficacité. Les solutions de gestion des privilèges des endpoints aident les entreprises à réduire leurs surfaces d’attaque et à mieux contrôler leur infrastructure digitale. »

Les ransomwares ont certes évolué mais ils supposent toujours d’exécuter du code et d’exploiter des privilèges. Que ce soit face à un ransomware visant un endpoint en particulier ou face à une attaque sur mesure sophistiquée, il convient de réduire proactivement les surfaces d’attaque par la suppression des comptes admin et le contrôle d’exécution des applications.

Les acteurs des menaces ne cessent de faire évoluer leurs opérations ; celles-ci ont beaucoup gagné en maturité l’an dernier. Ils envisagent de nouvelles tactiques, des attaques d’élévation des privilèges et des campagnes de malware sophistiquées pour exploiter la ligne de défense la plus vulnérable d’une entreprise : ses utilisateurs.

De même que les éditeurs de logiciels misent sur le SaaS, les acteurs des menaces suivent la tendance Malware-as-Service (MaaS) avec des spécialistes dans différents domaines, comme la vente d’identifiants d’entreprise, le premier accès à une organisation ciblée, la capacité à progresser latéralement et la livraison de charge utile. A présent, plusieurs éléments de malwares peuvent être combinés dans une attaque. Une attaque de ransomware peut fédérer plusieurs acteurs, outils et plateformes. Comme l’intention est de perturber au maximum les organisations et d’extorquer le paiement de rançons importantes, le modèle de ransomware évolue vers des attaques de toute l’entreprise conduites par des humains.

Des milliers de variantes de malwares apparaissent chaque jour, de même qu’un flux constant de menaces zéro-day et de correctifs d’urgence. Les tactiques défensives associées à BeyondTrust Privilege Management incluent :
• Exécution et persistance : contrôle du code et des exécutions possibles avec des listes blanches, ce qui limite le champ d’action des agresseurs.
• Elévation de privilèges : sans possibilité d’accès à un administrateur local ou à d’autres comptes privilégiés, l’agresseur n’a accès qu’à un nombre limité de systèmes et de données.
• Evasion défensive : pour tromper les mécanismes de détection, un agresseur a besoin à la fois des privilèges et de la capacité à exécuter du code pour contourner les paramètres système et les outils de sécurité.