Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FortiGuard Labs prévoit en 2022 des cyberattaques sur tout type de cibles, des portefeuilles de cryptomonnaies à l’Internet par satellite

décembre 2021 par FortiGuard Labs

Fortinet® lève le voile sur les prédictions des équipes de veille et de recherche sur les menaces deFortiGuard Labs, pour 2022 et au-delà. Les cybercriminels évoluent et enrichissent leurs méthodes d’attaque, pour identifier de nouvelles opportunités d’exploit sur l’ensemble de la surface d’attaque et dans un contexte de télétravail qui reste d’actualité. Ces assaillants souhaitent optimiser les opportunités de compromission associées à la 5G, au cœur de réseau, au travail à domicile et même à l’internet satellitaire. Les tendances prospectives révèlent les stratégies qui devraient, selon FortiGuard Labs, être adoptées par les cybercriminels dans le futur, ainsi que les préconisations à l’intention des entreprises pour se protéger contre les attaques à venir.

Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs
“Les cybercriminels évoluent et se transforment de plus en plus en des groupes APT (Advanced Persistent Threat) : ils savent tirer parti des vulnérabilités zero-day, renforcent le potentiel dévastateur de leurs attaques et font appel à de nouvelles techniques pour atteindre leurs objectifs. Nous nous attendons à des attaques qui porteront au-delà du réseau étendu, parfois jusqu’aux liaisons spatiales. Les assaillants vont tirer parti d’un périmètre réseau fragmenté, d’outils et d’équipes cloisonnées chez leurs victimes et d’une surface d’attaque en forte expansion. Ces menaces pèseront lourdement sur des équipes IT qui devront, tant bien que mal, gérer l’ensemble des vecteurs d’attaque. Pour lutter contre des menaces en évolution, les entreprises devront opter pour une plateforme de type Security Fabric, basée sur une architecture maillée de cybersécurité.”

Des phases de reconnaissance plus actives, pour maximiser l’impact des malware comme le ransomware

Les attaques sont souvent répertoriées en termes de phase amont et de phase aval, dans le contexte de la chaîne de frappe d’une attaque telle que décrite par le framework MITRE ATT&CK. La phase amont de la chaîne d’attaque regroupe les efforts précédant l’exécution de l’attaque : planification, conception et stratégie d’armement. La phase aval regroupe les phases plus connues d’une attaque. FortiGuard Labs s’attend à ce que les cybercriminels consacrent davantage de temps et d’efforts à la reconnaissance et à l’identification de vulnérabilités zero-day, pour compromettre de nouvelles technologies et assurer le succès des attaques. D’autre part, les nouvelles attaques devraient s’exécuter plus rapidement lors de la phase aval, compte tenu d’un marché du Crime-as-a-Service en expansion.

 ? Un ransomware de plus en plus nuisible : le crimeware devrait s’étendre et le ransomware restera une préoccupation majeure à l’avenir. Les auteurs d’attaques par ransomware n’hésitent pas à associer ce malware à des attaques de type DDoS (distributed denial-of-service) pour tenter de submerger les équipes IT et les empêcher d’agir en temps réel pour juguler l’impact d’une attaque en cours. Le choix d’un malware avec un compte à rebours, capable de supprimer des données, voire de détruire un système, crée un sentiment d’urgence qui devrait inciter les entreprises à régler la rançon exigée par les cybercriminels. Les malware de suppression de données, appelés wiper malware, ont fait un retour visible, en ciblant les Jeux Olympiques de Tokyo notamment. Compte tenu de la convergence entre les méthodes d’attaque des cybercriminels et les menaces APT, ce n’est qu’une question de temps avant que des fonctions de suppression de données ne soient ajoutées aux toolkits des ransomware. Une vraie problématique pour les environnements edge émergents, les infrastructures critiques et les chaînes collaboratives.

 ? Les cybercriminels tirent parti de l’IA pour optimiser les usurpations d’identité : l’intelligence artificielle (IA) est déjà utilisée par les lignes de défense, notamment pour détecter des comportements suspects généralement associés à des botnets. Les cybercriminels utilisent également l’IA pour contourner les algorithmes complexes qui permettent de détecter les activités suspectes. Dans le futur, les tentatives d’usurpation devraient évoluer : l’IA sera utilisée pour simuler des activités humaines ou pour optimiser les techniques d’ingénierie sociale. De plus, ces usurpations seront de plus en plus simples à réaliser grâce à la disponibilité d’applications sophistiquées. On peut donc s’attendre à des usurpations en temps réel sur les applications voix et vidéo, capables de déjouer les analyses biométriques : un défi pour les formes d’authentification sécurisée de type empreinte vocale ou reconnaissance faciale.

 ? Davantage d’attaques sur les systèmes moins ciblés de la chaîne collaborative : au sein de nombreuses infrastructures, Linux équipe des systèmes back-end. Cet OS, jusqu’à récemment, n’était pas vraiment une cible pour les attaques. Cependant, de nouveaux malware ciblent WSL (Windows Subsystem for Linux) de Microsoft, qui est une couche de compatibilité permettant d’installer des exécutables Linux sur Windows 10, Windows 11 et Windows Server 2019. De plus, des botnets existent pour les plateformes Linux. La surface d’attaque s’étend ainsi vers le cœur de réseau et renchérit le nombre de menaces contre lesquelles lutter. Ceci impacte les dispositifs OT et les infrastructures utilisant des plateformes Linux.

Des cybercriminels qui s’en prennent à toutes les cibles : porte-monnaie en ligne, communications spatiales, réseaux résidentiels, etc.

Pour les défenseurs, le défi à venir ne se résume pas à un nombre d’attaques qui progresse ou à la sophistication croissante des techniques d’attaque. De nouveaux domaines cibles sont identifiés au sein d’une surface d’attaque toujours plus large. Le défi s’annonce d’autant plus important que les entreprises vont étendre leurs réseaux. De nouveaux edges réseau émergeront, encouragés par le télétravail, l’apprentissage à distance et de nouveaux services cloud. Parallèlement, à la maison, l’apprentissage à distance et les jeux en ligne sont devenus des activités courantes, ciblées par les cybercriminels. Les assaillants se concentreront sur ces edges et environnements émergents, sur l’ensemble du réseau étendu, plutôt que de ne cibler que le cœur de réseau.

 ? La cybercriminalité s’en prend aux liaisons spatiales : FortiGuard Labs s’attend à des menaces ciblant les réseaux satellitaires au cours de l’année prochaine, puisque l’accès à Internet par satellite est un domaine en expansion. Les cibles principales seront les entreprises utilisant des liaisons satellitaires à faible latence dans le cadre de leurs activités : jeux en ligne, fourniture de services critiques sur des sites distants (bureaux sur le terrain, pipelines, croisières, avions, etc.). La surface d’attaque potentielle s’étendra puisque les entreprises ajouteront des réseaux satellitaires pour connecter leurs systèmes autrefois hors ligne (dispositifs OT par exemple) à leurs réseaux. Il est probable que ceci ouvre la voie à des attaques et menaces comme le ransomware.

 ? Gare aux portefeuilles numériques : le détournement de transferts bancaires est devenu complexe pour les cybercriminels, puisque les institutions bancaires chiffrent les transactions et utilisent l’authentification multifactorielle. Les portefeuilles numériques, en revanche, sont moins sécurisés. Ceux des individus ne sont peut-être pas très garnis, mais on note que les entreprises sont plus nombreuses à opter pour ce moyen de paiement pour leurs transactions en ligne. On peut donc s’attendre à de nouveaux malware qui s’en prendront spécifiquement aux identifiants de connexion pour ainsi siphonner les portefeuilles numériques.

 ? L’e-sport est également une cible : l’e-sport regroupe des compétitions multi-joueurs en ligne, avec souvent des joueurs et des équipes professionnels. Ce secteur florissant, qui devrait peser $1 milliard cette année, est une cible séduisante pour les cybercriminels et leurs attaques DDoS, ransomware, détournements de données financières & transactionnelles et attaques d’ingénierie sociale. En effet, cette activité nécessite une connectivité constante et utilise souvent des réseaux résidentiels à la sécurité aléatoire, ou un accès wi-fi ouvert. Compte tenu de la nature interactive du jeu, l’e-sport est également la cible d’attaques par ingénierie sociale. La croissance soutenue de l’e-sport et des jeux en ligne en font des cibles privilégiées pour des attaques d’envergure en 2022.

Une approche “Living Off New Land” au niveau du réseau périphérique (Edge)
Les réseaux Edge accueillent toujours plus d’objets connectés, de dispositifs OT et d’appareils intelligents optimisés par la 5G et l’IA, qui permettent la création de transactions et d’applications en temps réel. De nouvelles menaces cibleront les edges puisque les cybercriminels s’en prennent à la totalité du réseau étendu pour identifier un point d’entrée pour leurs attaques. Les cybercriminels s’attacheront ainsi à tirer le meilleur parti des failles de sécurité existantes et générées par les edges intelligents, pour concevoir des menaces sophistiquées, plus destructrices et œuvrant à très grande échelle. Alors que les dispositifs edge gagnent en puissance et disposent de fonctionnalités natives plus puissantes, les nouvelles attaques seront conçues pour tirer parti des ressources légitimes présentes. Il est probable que les attaques OT progressent, au niveau des edges notamment, compte tenu de la convergence entre réseaux IT et OT.

 ? Les cybercriminels capitalisent sur les ressources légitimes présentes sur les edges : une nouvelle menace se propage au niveau des edges réseau : le "Living off the land" (LotL), à savoir la capacité d’un malware à tirer parti d’outils, de fonctions et de ressources présents au sein des environnements compromis, pour permettre aux attaques et aux exfiltrations de données d’apparaître comme des activités système légitimes qui n’attirent pas l’attention. Les attaques Hafnium sur les serveurs Microsoft Exchange ont adopté cette technique pour s’établir durablement au sein des contrôleurs de domaines. Les attaques LotL s’avèrent efficaces puisqu’elles utilisent des outils légitimes pour mener leurs activités malveillantes. L’association du LotL et des chevaux de troie EAT (Edge-Access Trojans) pourrait aboutir à de nouvelles attaques prospérant au niveau de l’edge et tirant parti de dispositifs edge plus puissants, dotés de fonctions natives et de privilèges plus élevés. Les malware edge pourraient surveiller les activités et données au niveau des edges, détourner des données et même prendre des systèmes critiques, applications et informations critiques en otage, tout en évitant de se faire détecter.
 ? Le Dark Web favorise l’évolutivité des attaques sur des infrastructures critiques : Les cybercriminels savent qu’ils peuvent monétiser leurs malware sous forme de services en ligne. Pour se distinguer d’outils similaires, ils auront tendance à inclure les attaques sur les systèmes OT dans leur service, d’autant plus que la convergence de l’OT et de l’IT est une réalité au niveau de l’edge. La prise en otage de tels systèmes critiques peut s’avérer particulièrement lucrative, mais avec de lourdes conséquences sur les vies et la sécurité des individus. Les réseaux étant toujours plus interconnectés, tous les points d’accès sont des cibles potentielles vers le réseau IT. Traditionnellement, les attaques sur les systèmes OT étaient l’apanage de cybercriminels expérimentés, mais ce savoir-faire est de plus en plus intégré aux kits d’attaque disponibles à l’achat sur le Dark Web, ce qui les met à disposition de davantage d’assaillants.

Une plateforme de type Security Fabric basée sur une architecture de sécurité maillée

Le périmètre est devenu de plus en plus fragmenté et les équipes de cybersécurité fonctionnent souvent de manière cloisonnée. D’autre part, nombre d’entreprises migrent vers un modèle de multicloud hybride. Dans ce contexte, il devient plus simple pour les cybercriminels d’opter pour une approche holistique et sophistiquée. Une architecture maillée de cybersécurité intègre des fonctions de sécurité au cœur des réseaux et des ressources multisites. En optant pour une approche de type Security Fabric, les entreprises disposent d’une plateforme intégrée qui protège toutes les ressources sur site, dans les data centers, dans le cloud ou sur l’edge.

Les défenseurs devront être capables d’anticiper en tirant parti de l’IA et du machine learning pour accélérer la prévention, la détection et la réponse aux menaces. Les technologies endpoint comme l’EDR (endpoint detection and response) permettent d’identifier des menaces sur la base de leur comportement. L’accès réseau Zero Trust (ZTNA) s’imposera pour sécuriser les accès aux applications des télétravailleurs, tandis que le SD-WAN sécurisé devient essentiel pour protéger des edges WAN en évolution. D’autre part, la segmentation restera une stratégie nécessaire pour freiner les mouvements latéraux des cybercriminels au sein d’un réseau et confiner les incidents à une zone plus restreinte du réseau. Une veille décisionnelle et intégrée sur les menaces améliore la capacité d’une entreprise de se défendre en temps réel, face à des attaques toujours plus rapides. Cependant, pour tous les secteurs d’activité et profils d’entreprise, le partage d’informations et les partenariats favorisent une réponse plus efficace aux menaces et permettent d’anticiper les techniques futures de l’adversaire pour les contrer. L’alignement des efforts grâce à la collaboration reste une priorité pour neutraliser les cybercriminels, avant que ces derniers tentent d’en faire de même.


Voir les articles précédents

    

Voir les articles suivants