L'industrie du piratage, qui se professionnalise de plus en plus, ne propose pas seulement des logiciels malveillants et des outils à louer. Les experts criminels offrent également leur travail contre de l'argent. Leur expertise en Advanced Persistent Threats (APT) nécessite une défense à hauteur d'homme : Managed Detection and Response (MDR).
Depuis quelques années, la cybercriminalité s'organise et s'appuie de plus en plus sur l'exemple du monde des affaires. Pendant près d'une décennie, Malware-as-a-Service a d'abord offert une entrée rapide dans le monde de la cybercriminalité et il y a toujours eu une grande variété d'outils sur le marché illégal : chevaux de Troie d'accès à distance (RAT), réseaux de robots pour envoyer des spams ou même des attaques de rançongiciels sophistiquées. Équipés de cette manière, les malfaiteurs avec peu d'expertise technique peuvent désormais exploiter même des logiciels malveillants complexes. Les revenus générés sont partagés entre les différents participants, comme dans la vie normale d'une entreprise : le constructeur, par exemple, reçoit 40 % et le reste va aux opérateurs qui réalisent l'attaque.
Cyber criminels avec division du travail
L'écosystème existant de services et de logiciels malveillants a encouragé les cybercriminels à poursuivre leur division du travail de type industriel : les développeurs écrivent le code, les chefs de produit conçoivent les feuilles de route globales tout en envisageant des contre-mesures. Le support technique accompagne les utilisateurs dans leurs activités quotidiennes. Tout le business model est financé par les victimes. Pour leur propre compte, les acteurs annoncent ensuite sur les réseaux sociaux ou sous un alias de forum les résultats financiers obtenus lors des campagnes passées afin de recruter de nouveaux partenaires.
Malheureusement, Malware-as-a-Service commercial a fait ses preuves. Les analyses montrent que la tendance à la commercialisation dans un sens négatif est plus durable et profonde qu'on ne le pense : les développeurs et les partenaires génèrent des milliards de revenus. Par exemple, les initiateurs de l'attaque du rançongiciel GandCrab ont affirmé sur des forums clandestins en 2019 qu'ils avaient extorqué plus de deux milliards de dollars américains aux entreprises attaquées.
Du logiciel malveillant criminel au fournisseur de services APT
Il y a deux ans, des groupes de mercenaires APT ont commencé à proposer leurs services. Ils s'adressent aux acteurs clés intéressés par les méthodes d'attaque avancées et travaillant potentiellement avec les gouvernements. Ciblant les systèmes informatiques d'une grande partie de l'Europe et de l'Allemagne, ces groupes utilisent des tactiques, techniques et processus (TTP) avancés pour espionner et voler des informations sensibles.
En 2018, le groupe APT jusque-là inconnu RedCurl a attaqué plusieurs entreprises des secteurs de la banque, de l'assurance, du juridique, de la construction, de la finance, du conseil, du commerce de détail et du tourisme. Selon l'analyse des experts en sécurité informatique de Group-IB, les auteurs ont utilisé un puissant framework de logiciels malveillants pour l'exfiltration de données. À l'été 2020, Bitdefender a révélé les activités d'un autre groupe d'attaquants professionnels APT : leur modèle commercial était basé sur le cyberespionnage dans le secteur immobilier. Pour ce faire, il a utilisé une charge utile malveillante se faisant passer pour un plugin pour le logiciel d'infographie 3D populaire, Autodesk 3ds Max. Des tests professionnels du code par rapport aux contre-mesures ont assuré que le logiciel malveillant n'était pas détecté lors de son déploiement.
La cybercriminalité à un nouveau niveau
L'expertise des organisations à l'origine de telles attaques porte la cybercriminalité à un niveau supérieur. Les outils d'espionnage APT sont les produits d'équipes de développeurs expérimentés qui ont des connaissances hautement spécialisées. Ceux-ci utilisent des boîtes à outils adaptées au projet respectif. Ils empêchent également le logiciel malveillant de se propager au-delà de la cible réelle de l'attaque. En conséquence, les fournisseurs de défense sont moins susceptibles d'obtenir une copie du logiciel malveillant pour une détection future. Cela pose notamment des défis majeurs aux équipes de défense des petites et moyennes entreprises. Les approches conventionnelles de détection des logiciels malveillants basées sur les fichiers négligent, par exemple, les échantillons de logiciels malveillants polymorphes et les logiciels malveillants dits sans fichier. Les tactiques de vie hors du terrain telles que l'abus du protocole RDP (Remote Desktop Protocol) ou d'autres outils légitimes sont difficiles à détecter. Il est donc très difficile pour les petites et moyennes entreprises et organisations de réagir à ces dangers avec la rapidité nécessaire.
Il est vrai que la plupart des entreprises disposent de technologies de base pour se protéger contre divers types de logiciels malveillants. Mais les outils sophistiqués des professionnels de l'APT, une fois à l'intérieur du réseau de l'entreprise, peuvent voler sous le radar des guichets et échapper à leurs actions, au moins pendant un certain temps.
professionnaliser la défense
Bogdan Botezatu, responsable de l'analyse des menaces chez Bitdefender
Les solutions de sécurité des terminaux ne peuvent pas à elles seules détecter les comportements malveillants et les charges utiles tout au long de la chaîne d'attaque. La technologie seule ne suffit pas pour identifier des attaques complexes qui ont été développées avec une grande sophistication et compétence. La défense contre les attaquants APT nécessite l'interaction de logiciels et d'experts.
Afin de découvrir toutes les intentions et toute l'étendue d'une attaque menée par des professionnels, il est important d'évaluer les événements agrégés dans une solution EDR (Endpoint Detection and Response) par un analyste humain. Un incident pertinent est transmis à des spécialistes en criminalistique numérique pour analyse. La gestion des incidents contient les dommages. Il réduit le coût et le temps de restauration de l'état précédent du système ou de l'ensemble de données et prévient les atteintes à la réputation.
Mais l'expertise requise pour une telle analyse est rare et a un prix. Il faut aussi du temps pour former une équipe de spécialistes du risque cyber. Par conséquent, face à des attaquants très déterminés, de nombreuses organisations devraient envisager de faire appel à une aide extérieure sous la forme d'offres de détection et de réponse gérées.
Détection et réponse gérées
Un MDR (Managed Detection and Response) exploité en externe combine des technologies de sécurité éprouvées pour l'analyse de la sécurité de la détection des terminaux et les enquêtes sur le trafic réseau avec les compétences et les connaissances nécessaires d'experts hautement qualifiés. Un tel centre de sécurité informatique supplémentaire externalisé soutient les entreprises qui n'ont pas accès à des technologies avancées - telles que SIEM (Security Information and Event Management), TIP (Threat Intelligence Platform) et SOAR (Security Orchestration Automation and Response) - ou qui n'ont pas suffisamment de personnel pour une défense XNUMXh/XNUMX et XNUMXj/XNUMX contre les cybermenaces critiques pour l'entreprise. La surveillance supplémentaire fournie par des experts permet une détection avancée des incidents de sécurité avec une réponse rapide à l'aide de processus automatisés et pré-approuvés. Cela permet aux analystes externes de prendre rapidement des mesures pour atténuer et prévenir les menaces.
Les offres MDR incluent également la recherche active des menaces jusqu'à la surveillance du dark web et l'investigation pour enquêter sur les indicateurs de menace contextuels et exploitables. Les experts analysent également le facteur de risque des personnes et des employés. Des modèles de menace personnalisés permettent une réponse personnalisée aux incidents. Les cibles d'attaque critiques pour l'entreprise et présentant des risques particuliers pour l'entreprise peuvent être surveillées de manière ciblée. Le centre d'opérations de sécurité (SOC) du fournisseur MDR offre l'expérience d'experts et fournit des rapports en fonction des exigences des clients de différents secteurs.
rétablir le niveau des yeux
Non seulement le paysage des menaces a changé, mais aussi l'organisation, les structures et, finalement, la dotation en personnel des cybercriminels. Leurs modèles sont la division du travail et les modèles commerciaux dans le monde juridique des affaires. Les attaquants externalisent la technologie et le développement. Les fournisseurs de services malveillants continuent de se positionner avec leurs offres pour attaquer les entreprises de toutes tailles et de tous secteurs afin de profiter de la cybercriminalité. Il est temps pour l'économie légale de réfléchir à ses processus de collaboration : les entreprises ont non seulement besoin d'accéder aux technologies de défense, mais aussi à la compétence et à l'expérience d'experts externes pour faire face aux acteurs nuisibles. Vous achetez ce dont vous avez besoin mais vous ne pouvez pas le faire vous-même.
En savoir plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de