Actu
Rapport Trellix des menaces T3 – Concentration des groupes de ransomwares sur les services financiers
janvier 2022 par Trellix Threat Labs
Trellix publie son rapport de recherche sur les menaces avancées (Janvier 2022) qui examine le comportement des cybercriminels et l’activité liée aux cybermenaces au troisième trimestre 2021. Parmi ses conclusions, le rapport indique que malgré la décision de la communauté d’interdire l’activité des ransomwares sur les forums en ligne, des groupes de hackers ont utilisé des identités de substitution pour faire en sorte de proliférer l’utilisation des ransomwares face à un éventail croissant de secteurs. Les secteurs de la finance, des services publics et du commerce de détail ont été les plus touchés, représentant près de 60 % des détections de ransomwares.
« Alors que nous avons terminé l’année 2021 en nous concentrant sur la résurgence de la pandémie et les révélations autour de la vulnérabilité Log4j, notre plongée en profondeur dans l’activité des cybermenaces au troisième trimestre a révélé de nouveaux outils et tactiques notables parmi les groupes de ransomware et les acteurs de la menace globale avancée », déclare Raj Samani, Chief Scientist et Fellow chez Trellix. « Ce rapport offre une plus grande visibilité sur l’utilisation et l’abus des personnes de groupes de ransomware, sur la façon dont les groupes étatiques cherchent à s’enfoncer plus profondément dans la finance et d’autres industries critiques, ainsi que dans les nouvelles attaques Living off the Land exploitant de façon inédite les outils natifs du système Microsoft. »
Réapparition des groupes de ransomware
Au troisième trimestre 2021, Trellix a observé la réémergence du groupe de ransomware DarkSide sous le nom de BlackMatter, bien que ce groupe ait déclaré avoir cessé ses activités. Reprenant en grande partie le même mode opératoire que celui utilisé par DarkSide dans l’attaque Colonial Pipeline, BlackMatter a continué à utiliser la double extorsion, menaçant de divulguer les données des victimes si celles-ci ne payaient pas de rançon.
Tout en revendiquant la responsabilité de l’attaque par ransomware de Kaseya VSA qui a entraîné la fermeture de centaines de supermarchés en Suède pendant plusieurs jours, la famille de ransomware REvil/Sodinokibi a continué de dominer la scène au deuxième trimestre, représentant près de la moitié des détections de ransomware de Trellix. Alors que l’impact des ransomwares sur les équipements essentiels à la vie quotidienne (alimentation, essence, etc.) s’intensifie, le gouvernement américain a progressé dans la mise en œuvre de son programme cybernétique et dans la réduction de l’impact des ransomwares, avec le lancement de StopRansomware.gov. Ce programme vise à identifier et à localiser les acteurs impliqués dans des activités cybernétiques contre des infrastructures américaines critiques.
Perfectionnement des techniques d’attaques avancées
Grâce à l’identification des indicateurs de compromission pour révéler les outils utilisés lors d’exécution d’attaques, Trellix a observé la maturation des techniques que des groupes d’adversaires APT hautement qualifiés utilisent pour contourner les contrôles de sécurité et réaliser leurs opérations. Au troisième trimestre 2021, des outils d’opérations de sécurité tels que Cobalt Strike ont été utilisés par des acteurs étatiques pour accéder au réseau de leur victime. Cobalt Strike est un outil de simulation d’adversaire couramment exploité par les hackers à caractère éthique pour étudier les méthodes d’attaque et améliorer la réponse aux incidents. Cet outil a été détecté dans plus d’un tiers des campagnes APT analysées. Mimikatz, qui est un outil de post-exploitation permettant d’obtenir un meilleur accès au réseau d’une victime, ou bien de renforcer les droits de l’utilisateur pour exécuter des tâches une fois qu’un acteur a accès à l’appareil d’une victime, a également été détecté dans plus d’un quart des campagnes.
Trellix a également constaté l’activité APT suivante au troisième trimestre 2021 :
Au troisième trimestre 2021, les menaces qui semblaient provenir de groupes soutenus par des États-nations russes et chinois étaient responsables de près de la moitié (46 % cumulés) de toutes les activités de menaces APT observées. Cette évaluation est basée sur l’analyse des indicateurs techniques disponibles
Le secteur financier a été ciblé dans près de 40 % des activités APT observées par Trellix, suivi par les services publics, le commerce de détail et le gouvernement.
Propagation des cyberattaques de type « Living off the land »
Le troisième trimestre 2021 a vu une vague de mauvais acteurs utilisant des logiciels déjà présents sur un système ciblé pour mener des attaques. Cette utilisation de logiciels et de fonctions natifs du système de la victime (Living off the Land) est souvent utilisée par les acteurs étatiques et les grandes organisations criminelles pour éviter de développer des outils avancés en interne.
Trellix a observé que PowerShell était utilisé dans 42 % des cas et Windows Command Shell (CMD) dans 40 % des cas pour exécuter des commandes et obtenir un accès. Parmi les autres outils d’exploitation natifs couramment utilisés figurent Rundll32, WMIC et Excel, ainsi que des outils de services distants administratifs comme AnyDesk, ConnectWise Control, RDP et WinSCP.
Activité liée aux menaces au troisième trimestre 2021
Ransomware lucratif. REvil/Sodinokibi a affirmé avoir réussi à infecter plus d’un million de personnes et a ensuite exigé 70 millions de dollars, ce qui en fait le plus gros montant de rançon connu publiquement à ce jour.
Techniques APT MITRE ATT&CK. Le Spear Phishing, la dissimulation de fichiers ou d’informations et PowerShell sont les techniques APT MITRE ATT&CK les plus répandues, représentant près de la moitié de celles détectées au troisième trimestre 2021.
Activité sectorielle. Les services financiers sont en tête du classement des secteurs concernés par les cybers incidents signalés publiquement, avec une augmentation de 21 % au troisième trimestre. Le secteur économique essentiel est également en tête de toutes les industries en termes d’échantillons de ransomware détectés et d’activité des groupes APT.
Familles de logiciels malveillants. Formbook, Remcos RAT et LokiBot représentent près de 80 % des malwares détectés au troisième trimestre 2021, Formbook étant présent dans plus d’un tiers des cas. Bien que les logiciels malveillants soient la technique la plus utilisée dans les incidents signalés au troisième trimestre 2021, ces derniers ont diminué de 24 % par rapport au deuxième trimestre 2021.
Régions. Le trimestre a connu des variations dans les zones de vigilance : la Russie a connu une baisse de 79 % des incidents détectés, tandis que la France a connu une augmentation de 400 %. Les États-Unis ont connu le plus grand nombre d’incidents signalés au troisième trimestre 2021, mais les incidents ont diminué de 9 % par rapport au deuxième trimestre 2021.
