Actu
Malware Metapreter : c’est la partie immergée de l’iceberg qu’il faut surveiller
février 2017 par Jean-Christophe Vitu, Director Presales and Professional Services France, chez CyberArk
Une équipe de spécialistes de la sécurité a identifié un nouveau type de malware quasi indétectable qui vise les distributeurs de billets sous environnement Windows. Cette menace a initialement été identifiée par l’équipe de sécurité d’une banque suite à la détection d’utilisation d’outils usuels tels que Mimikatz dans la mémoire physique d’un contrôleur de domaine. Les attaquants utilisent des méthodes de piratage classiques à base de logiciels malveillants pour dissimuler leurs activités et s’attaquer aux systèmes en restant indétectés. Selon les résultats de la recherche Kaspersky, 140 organisations auraient été identifiées à date, parmi lesquelles la France qui arrive en seconde position avec 10 entités touchées contre 21 aux Etats-Unis.
Pour Jean-Christophe Vitu, Director Presales and Professional Services France, chez CyberArk, ce malware démontre une nouvelle fois le niveau intarissable d’inspiration des pirates informatiques et la nécessité pour les organisations de prendre les devants face à une menace persistante et continue.
« Cette découverte prouve qu’il n’est pas nécessaire d’avoir recours à des stratagèmes élaborés pour perpétrer une attaque contre une organisation. La recrudescence des attaques par ransomwares au cours de l’année 2016 en a été le parfait exemple. En sécurité aussi on fait "les meilleures soupes dans les vieux pots", et c’est justement là que le bât blesse. Les pirates sont constamment inspirés pour trouver des méthodes simples pour dérober des données ou de l’argent. Avec ces attaques indétectables, ils reprennent le dessus sur les systèmes, et démontrent une nouvelle fois que les anti-virus, anti-spams et autres protections périmétriques ou de points d’accès, bien que nécessaires, ne suffisent plus ; le pirate parviendra à pénétrer les systèmes tôt ou tard. Partant de ce constat, l’approche de sécurité des organisations doit par conséquent évoluer vers une approche de blocage de l’attaquant à l’intérieur du système et de prévention de la collecte d’identifiants de connexion permettant d’exfiltrer des informations.
De nombreux spécialistes du secteur se sont aperçus que les attaquants vont chercher en priorité à collecter des identifiants et mots de passe afin de se propager au sein de l’environnement. C’est pourquoi il est nécessaire de sécuriser l’accès à ces informations pour empêcher l’aboutissement de l’attaque. Simple en théorie, la pratique pêche encore, d’autant que l’utilisation d’outil usuels tels Meterpreter ou Mimikatz vient compliquer la donne. Il est en effet très facile – et à la portée de tous – de perpétrer ce type d’attaques et d’évoluer insidieusement, pendant une période de temps plus ou moins longue, à l’intérieur des systèmes. Malheureusement, détecter ces intrusions est bien plus difficile, ce qui conduit généralement à une prise de conscience post-attaque.
L’idéal serait donc de partir du principe que la menace se trouve déjà à l’intérieur, d’identifier tout accès non autorisé aux bases d’identifiants, ces dernières étant connues : caches des navigateurs, bases d’identifiants systèmes ou clés de registres, pour ne citer qu’eux, afin de bloquer toute progression le plus tôt possible dans le cycle de vie de l’attaque. Selon Kaspersky, les banques, les organisations gouvernementales et les opérateurs télécoms seraient les premières cibles de ce malware. Toutefois, il ne serait pas surprenant qu’il s’étende à d’autres secteurs, si ce n’est déjà fait ; il est donc encore temps d’isoler et de bloquer ces intrusions pour empêcher le pirate invisible de nuire aux systèmes. »
