La série de cyberattaques sur les infrastructures critiques - KRITIS - ne semble pas s'arrêter. Début février, une attaque de piratage a attrapé la société suisse Swissport et perturbé les opérations aériennes en Suisse, suivie de l'attaque par ransomware du parc de stockage Oiltanking en Allemagne, des attaques contre SEA-Invest en Belgique et Evos aux Pays-Bas. Quelques commentaires d'experts.
« Les cyber-attaquants ciblent souvent leurs attaques là où ils peuvent perturber le plus les activités. De cette façon, la victime pourrait être plus disposée à payer une rançon pour remettre ses systèmes en ligne. Pour cette raison, les infrastructures critiques, les hôpitaux, les centres de transport et les réseaux électriques des villes figurent souvent dans les nouvelles des attaques de ransomwares. Les attaquants trouveront toujours des moyens de créer des situations de pression qui leur profitent.
Les attaquants trouvent toujours de nouvelles façons
Les ransomwares ne sont pas une nouvelle menace, mais les tactiques utilisées par les attaquants pour pénétrer dans l'infrastructure de l'entreprise et geler ou voler les ressources évoluent rapidement. Il y a des années, les attaquants utilisaient des tactiques de force brute pour trouver une petite vulnérabilité dans une entreprise, puis l'exploitaient pour prendre le contrôle de l'infrastructure. Aujourd'hui, il existe des moyens beaucoup plus furtifs pour les cybercriminels de s'introduire dans l'infrastructure. Le plus souvent, ils trouvent comment compromettre le compte d'un employé pour se connecter avec des informations d'identification légitimes qui n'éveillent pas les soupçons.
Les informations d'identification sont souvent volées par le biais d'attaques de phishing sur des appareils mobiles. Sur les smartphones et les tablettes, les attaquants ont d'innombrables possibilités de s'engager dans l'ingénierie sociale via SMS, des plateformes de chat tierces et des applications de médias sociaux. En plus de protéger le point de terminaison, les organisations doivent également être en mesure de sécuriser dynamiquement l'accès et les actions au sein des applications cloud et privées. C'est là qu'interviennent les solutions Zero Trust Network Access (ZTNA) et Cloud Access Security Broker (CASB). En comprenant les interactions entre les utilisateurs, les appareils, les réseaux et les données, les organisations peuvent repérer les principaux indicateurs de compromis qui indiquent un ransomware ou une exfiltration massive de données. Sécuriser ensemble les appareils mobiles, le cloud et les applications personnelles des employés aide les entreprises à créer une posture de sécurité solide basée sur une philosophie Zero Trust.
Hendrik Schless, Senior Manager of Security Solutions chez le fournisseur de sécurité Lookout
Les rançongiciels de modèle économique restent rentables
« Le ransomware est le modèle commercial dominant parmi les groupes qui mènent des cyberattaques à des fins lucratives. Ce que nous constatons avec la récente vague d'attaques, c'est qu'une application limitée de la loi ne résoudra pas le problème et ne le fera certainement pas du jour au lendemain. Mais Swissport semble avoir contenu l'attaque avec un minimum de dommages à sa capacité opérationnelle, ce qui témoigne du fait que le ransomware n'est pas un pari tout ou rien - "l'attaque de ransomware réussie mais limitée" est un terme que nous connaissons bien. espérons que nous verrons plus.
Détecter et supprimer les attaquants du réseau devient une tâche opérationnelle quotidienne dans de nombreuses organisations. Bien que l'attaque n'ait pas été stoppée avant le cryptage, Swissport semble l'avoir rapidement contenue et réussi à limiter les dégâts. Le plus important, en particulier pour les infrastructures critiques, sont des processus de sauvegarde rapides et fonctionnels, comme Swissport l'a démontré de manière impressionnante.
Fabian Gentinetta de l'expert en cybersécurité Vectra IA
Les dommages causés par les ransomwares peuvent être immenses
"Nous avons vu les dommages que les attaques de ransomwares peuvent causer lorsque les entreprises sont en panne, ce qui à son tour a un impact sur la chaîne d'approvisionnement et sur la vie des citoyens. Les récentes attaques contre Oiltanking en Allemagne, SEA-Invest en Belgique et Evos aux Pays-Bas, et Swissport sont inquiétantes, mais parler d'attaques coordonnées par les États-nations est prématuré. Le scénario le plus probable est que les attaquants travaillent avec une base de données contenant des cibles similaires et font mouche grâce à leurs efforts.
Bien que cela puisse prendre des mois pour démêler les détails d'une attaque, les premiers rapports suggèrent que BlackCat, considéré comme une nouvelle marque BlackMatter, pourrait être responsable des attaques contre l'industrie du carburant à travers l'Europe. Dans un autre cas cette semaine, KP Foods a également été victime d'un rançongiciel, Conti étant responsable des pannes. Ce que nous savons de ces deux groupes de pirates, c'est qu'ils exploitent un modèle commercial de ransomware en tant que service (RaaS). Cela signifie qu'il s'agit de crime organisé avec des bases de données de victimes et de nombreux partenaires. Ceux-ci ne sont pas liés à un groupe spécifique de rançongiciels, mais travaillent souvent avec plusieurs groupes et utilisent de puissants bots pour automatiser la propagation des logiciels malveillants.
Les bots amplifient l'effet
Du point de vue de la victime, peu importe qui est responsable, d'autant plus que cela ne sera probablement connu que dans quelques mois. La question importante, cependant, est de savoir comment les attaques ont eu lieu. Dans la plupart des cas, comme dans le cas de BlackMatter et Conti, il s'agit d'une vulnérabilité connue qui permet au logiciel malveillant de pénétrer dans l'infrastructure et de chiffrer les systèmes. BlackMatter est connu pour cibler les logiciels de bureau à distance et exploiter des informations d'identification précédemment compromises, tandis que Conti est connu pour exploiter des vulnérabilités telles que Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-1675, CVE-2021-34527) et EternalBlue (CVE -2017-0143, CVE-2017-0148). Une autre voie d'attaque consiste à exploiter les mauvaises configurations dans Active Directory, et Conti et BlackMatter sont connus pour utiliser cette tactique.
Les organisations doivent être conscientes que les principes de sécurité de base peuvent largement bloquer la voie d'une attaque de ransomware. Les équipes de sécurité doivent déployer des solutions qui offrent une visibilité, une sécurité et un contrôle appropriés sur le cloud et l'infrastructure convergée. J'en appelle aux entreprises : Identifiez les systèmes critiques dont elles dépendent pour fonctionner. Identifiez toutes les vulnérabilités affectant ces systèmes, puis prenez des mesures pour corriger ou corriger le risque. Faites également attention aux privilèges excessifs dans Active Directory qui permettent aux attaquants d'élever leurs privilèges et d'infiltrer davantage l'infrastructure ! Si ces mesures de base ne sont pas prises, l'entreprise est vulnérable et risque d'être perturbée par quiconque attaque.
Bernard Montel, directeur technique EMEA et stratège sécurité Tenable