Upload
others
View
12
Download
0
Embed Size (px)
Citation preview
R a p p o r t
A d v a n c e d
T h r e a t
R e s e a r c h
O c t . 2 0 2 1
RAPPORT
3 Lettre de notre analyste en chef
4 RANSOMWARE
4 Multiplication des ransomwares 6 Exclusion de ransomwares en plein essor
par des forums clandestins8 Secteurs ciblés par les ransomwares : l'écart
entre les renseignements issus de sources publiques et les données télémétriques
9 Principaux modèles et techniques MITRE ATT&CK utilisés par les familles de ransomwares, 2e trim. 2021
10 B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
11 Menaces CLOUD
11 Prévalence des menaces cloud 11 Secteurs ciblés par des menaces cloud dans
le monde, 2e trim. 202112 Nombre total d'incidents liés au cloud par secteur
dans le monde et aux États-Unis, 2e trim. 202113 Incidents liés au cloud par pays, 2e trim. 2021
13 Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
13 Pays et continents, 2e trim. 202113 Secteurs ciblés, 2e trim. 202113 Vecteurs d'attaque, 2e trim. 2021
14 Principales techniques MITRE ATT&CK, 2e trim. 2021
17 Comment se défendre contre ces menaces
18 Ressources
18 Twitter
Rapport Advanced Threat Research, octobre 2021
RAPPORT
2
Sommaire
Rédaction et recherches
Christiaan Beek
Ashley Dolezal
John Fokker
Melissa Gaffney
Tracy Holden
Tim Hux
Phillippe Laulheret
Douglas McKee
Lee Munson
Chris Palm
Tim Polzer
Steve Povolny
Raj Samani
Pankaj Solanki
Leandro Velasco
L'équipe se concentre désormais sur la prévalence, c'est-à-dire la fréquence de détection de chaque menace dans le monde, mais surtout sur les cibles des attaques.
Lettre de notre analyste en chef
Bienvenue dans ce NOUVEAU rapport sur le paysage des menaces, ainsi qu'au sein d'une NOUVELLE entreprise.
De nombreux changements sont intervenus depuis notre dernier rapport sur le paysage des menaces. Nous avons découvert que, malgré un changement de nom, le groupe de ransomwares DarkSide n'a pas disparu et serait lié à BlackMatter ! Par ailleurs, nos observations récentes concernant des pompes à perfusion démontrent l'importance des recherches en matière de sécurité (voir plus loin dans ce rapport).
Mon équipe et moi-même sommes désormais passés sous la direction de McAfee Enterprise, une nouvelle société entièrement vouée à la cybersécurité des entreprises, raison pour laquelle nos travaux ne sont plus publiés sous le label McAfee Labs. Mais ne vous inquiétez pas, vous pouvez continuer à nous suivre via les nouveaux tweets de l'équipe ATR de McAfee Enterprise : @McAfee_ATR.
Les changements survenus ne se limitent évidemment pas à Twitter, et certains se reflètent dans notre nouveau rapport sur le paysage des menaces. Ainsi, nous mettons désormais l'accent sur la prévalence, c'est-à-dire la fréquence de détection de chaque menace dans le monde, mais surtout sur les cibles des attaques. Cette approche s'appuie sur des analyses complémentaires, qui seront détaillées dans le rapport afin d'intégrer les recherches en cours sur les cybercriminels, ainsi que les vulnérabilités actuellement exploitées ou susceptibles de l'être à l'avenir.
Nous espérons que vous apprécierez ce nouveau format et attendons avec impatience vos commentaires sur les points forts et les points faibles de ce rapport. N'hésitez pas également à nous faire part des sujets que vous souhaiteriez voir traités à l'avenir.
Restons en contact.
— Raj Samani
Analyste en chef et Chargé de recherche, McAfee Enterprise
Twitter @Raj_Samani
Rapport Advanced Threat Research, octobre 2021
RAPPORT
3
RANSOMWARE
Multiplication des ransomwares
Au cours des deuxième et troisième trimestres de cette année, les cybercriminels ont déployé de nouvelles menaces et tactiques dans des campagnes ciblant des secteurs de premier plan, de même qu'actualisé leurs méthodes existantes. Si les campagnes de ransomwares n'ont pas connu de fléchissement, leur modèle commercial a en revanche évolué afin d'extraire des données de valeur et d'extorquer des rançons se chiffrant en millions à des entreprises de toutes tailles.
En mai 2021, l'attaque très médiatisée de DarkSide à l'encontre du système d'oléoducs américain Colonial Pipeline a fait les gros titres dans le domaine de la cybersécurité. MVISION Insights a rapidement identifié les premières cibles de DarkSide aux États-Unis, principalement dans les secteurs des services juridiques, de la grande distribution, de la fabrication, du pétrole, du gaz et des produits chimiques.
La fermeture d'une des principales chaînes d'approvisionnement en carburant des États-Unis n'a pas manqué d'attirer l'attention des autorités publiques et des centres d'opérations de sécurité, mais d'autres groupes de ransomwares recourant à des modèles d'affiliation similaires s'avèrent tout aussi inquiétants. Ainsi, les auteurs des ransomwares Ryuk, REvil, Babuk et Cuba ont déployé de manière active des modèles commerciaux favorisant l'implication d'autres acteurs afin d'exploiter des vecteurs d'entrée courants et d'autres outils similaires. Ces groupes, ainsi que d'autres et leurs affiliés, exploitent des vecteurs d'entrée courants et utilisent souvent les mêmes outils pour se déplacer au sein d'un environnement. Peu de temps après l'attaque de DarkSide, le gang REvil lui a volé la vedette en utilisant une charge active Sodinokibi dans le cadre de son attaque par ransomware à l'encontre de Kaseya, un fournisseur international d'infrastructures informatiques. Le tandem REvil/Sodinokibi figure en tête de notre liste des détections de ransomwares au 2e trimestre 2021.
Rapport Advanced Threat Research, octobre 2021
RAPPORT
4
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Détections par famille de ransomwares
1er trim. 2021 2e trim. 2021
REvil/Sodinokibi
RansomeXX
Ryuk
Netwalker
Thanos
MountLocker
WastedLocker
Exorcist
Conti
Maze
Figure 1. Le tandem REvil/Sodinokibi a enregistré le plus grand nombre de détections (73 %) parmi notre top 10 au 2e trimestre 2021.
Tandis que DarkSide et REvil connaissaient un recul après leurs attaques très médiatisées, un héritier de DarkSide a fait son apparition en juillet. Le ransomware BlackMatter s'est d'abord manifesté en Italie, en Inde, au Luxembourg, en Belgique, aux États-Unis, au Brésil, en Thaïlande, au Royaume-Uni, en Finlande et en Irlande sous la forme d'un programme d'affiliation de type Ransomware-as-a-Service (RaaS) incorporant des éléments des ransomwares DarkSide, REvil et LockBit. Compte tenu de la similitude du code du fichier binaire et de la ressemblance de la page publique avec ceux de DarkSide, il est très probable que le ransomware BlackMatter est un prolongement de DarkSide, ce que conteste toutefois BlackMatter.
Rapport Advanced Threat Research, octobre 2021
RAPPORT
5
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Un autre « ancien » ransomware légèrement modifié a été découvert au milieu de l'année 2021. Le ransomware LockBit 2.0 est une version mise à jour de LockBit 2020. Doté de nouvelles fonctionnalités de chiffrement automatique des équipements hébergés dans le domaine, d'exfiltration de données et d'accès aux systèmes via le protocole RDP, il est en outre capable de recruter de nouveaux affiliés depuis l'intérieur de l'entreprise ciblée.
Les développeurs de ransomwares ont également lancé de nouvelles campagnes. Observée pour la première fois en juin 2021 principalement en Inde, en Belgique, en Italie, aux États-Unis, en Turquie, en Thaïlande, au Mexique, en Allemagne, en Colombie et en Ukraine, la famille de ransomwares Hive opère en tant que Ransomware-as-a-Service codé en GO pour compromettre des établissements de soins de santé et des entreprises exploitant des infrastructures critiques.
Notre équipe propose une analyse approfondie des ransomwares, et notamment de la réaction inattendue des forums clandestins, des secteurs ciblés et de l'écart entre les renseignements issus de sources publiques et les données télémétriques.
Exclusion de ransomwares en plein essor par des forums clandestins
Le 2e trimestre 2021 a été animé pour les ransomwares, qui se sont retrouvés parmi les priorités du programme de cybersécurité de l'administration américaine. Mais les forums cybercriminels clandestins historiquement sûrs n'ont pas non plus été épargnés.
La fermeture forcée de Colonial Pipeline provoquée par DarkSide a permis de prendre la mesure des répercussions d'une attaque de ransomware. Cet arrêt brutal de la chaîne d'approvisionnement a touché une grande partie de la côte est des États-Unis, déclenchant une ruée des consommateurs dans les stations-service. L'attaque et ses répercussions économiques et commerciales ont mis en exergue le pouvoir destructeur du ransomware et ont retenu toute l'attention des autorités chargées de la sécurité.
La réaction politique face aux conséquences de l'attaque de Colonial Pipeline a conduit le groupe de ransomwares DarkSide à mettre brutalement fin à ses activités. Plusieurs autres groupes cybercriminels ont par ailleurs annoncé qu'ils allaient évaluer leurs futures cibles et exclure certains secteurs.
Une semaine plus tard, deux des forums clandestins les plus influents, XSS et Exploit, ont annoncé l'interdiction de toute publicité pour des ransomwares. Pendant des années, ces mêmes forums ont servi de refuge aux cybercriminels et ont contribué à l'essor des ransomwares, donnant ainsi naissance à un commerce florissant de réseaux compromis, de journaux de voleurs de mots de passe et de services de chiffrement, entre autres. La plupart des cybercriminels derrière les principales familles de ransomwares sont des criminels de carrière qui entretiennent souvent des relations étroites avec les administrateurs et les modérateurs de forums. D'après nous, cette décision est donc un moyen pour ces forums de sauver leur peau.
Rapport Advanced Threat Research, octobre 2021
RAPPORT
6
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Bien que les profils fictifs (personas) en ligne associés à des ransomwares aient été interdits, les cybercriminels demeurent actifs sur plusieurs forums sous différents autres profils fictifs.
Figure 2. Message de l'administrateur de XSS signalant l'interdiction
des ransomwares
Au cours de cette même période, le groupe de ransomwares Babuk a lui aussi été confronté à un certain nombre de problèmes, dont la défaillance d'un outil de verrouillage ESXI *nix décrite en détail dans notre article de blog.
À la suite de conflits internes au sein de l'équipe Babuk, le groupe s'est séparé et un nouveau forum dédié aux ransomwares et appelé RAMP a vu le jour, permettant ainsi à de nombreux cybercriminels spécialisés en ransomwares de se regrouper pour réaliser des transactions et partager des TTP. Malgré leur interdiction sur certains forums cybercriminels plus importants, les ransomwares n'ont montré aucun signe de ralentissement et demeurent l'une des cybermenaces les plus dangereuses pour les entreprises, quelle que soit leur taille.
Rapport Advanced Threat Research, octobre 2021
RAPPORT
7
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Secteurs ciblés par les ransomwares : l'écart entre les renseignements issus de sources publiques et les données télémétriquesDe nombreux groupes de ransomwares disposent de portails sur lesquels ils publient les noms de leurs victimes et des échantillons de données collectées afin de contraindre ces victimes à payer la rançon sous peine de divulguer, voire de vendre, les données dérobées. Les sites de fuite de données servent de vitrines en cas d'échec des négociations et ne reflètent pas la totalité des attaques menées par les groupes de ransomwares. Les données concernant les secteurs d'activité et zones géographiques concernés présentent toutefois beaucoup d'intérêt.
Notre équipe surveille bon nombre de ces pages, collecte les noms des familles de ransomwares et met en correspondance la victime avec le secteur d'activité et le pays. Grâce à la collecte et à la compilation de ces données, nous avons pu identifier les familles de ransomwares ciblant les dix principaux secteurs ci-dessous aux États-Unis.
1er trim. 2021 2e trim. 2021
Organismes publics
Télécommunications
Énergie
Médias et communications
Industrie
Enseignement
Comptabilité et juridique
Technologie
Finance
Transports et logistique
Figure 3. Les organismes publics ont été le secteur le plus ciblé par les ransomwares au 2e trimestre 2021, suivis des télécommunications, de l'énergie et des médias/communications.
Rapport Advanced Threat Research, octobre 2021
RAPPORT
8
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Les données télémétriques recueillies par nos capteurs aux États-Unis ont permis de mettre en correspondance l'activité observée des ransomwares avec les données concernant les secteurs cibles fournies par Open Source Intelligence (OSINT) :
Secteurs cibles selon les données télémétriques
Secteurs cibles selon OSINT
Organismes publics Fabrication
Finance Vente au détail
Enseignement Santé
Télécommunications Construction
Énergie Transports
Médias Enseignement
Industrie Entreprises
Immobilier Juridique
Juridique Finance
Technologie IT
Tableau 1. Plus l'écart entre les deux secteurs est important, plus leur protection est efficace. Plus la différence est réduite, plus le secteur doit être attentif au risque de ransomware.
Qu'est-ce que la différence ? Et l'écart ? Les données télémétriques nous permettent d'observer l'activité des ransomwares détectée et bloquée dans le secteur où nous avons des clients. La première place occupée par les organismes publics dans les données télémétriques montre que de nombreuses tentatives ont ciblé ce secteur sans toutefois parvenir à leurs fins. En ce qui concerne les secteurs signalés par OSINT, nous constatons que les secteurs qui ont de gros besoins en matière de capacités informatiques pour prendre en charge les services stratégiques figurent en bonne place sur la liste des cibles des groupes de ransomwares.
Principaux modèles et techniques MITRE ATT&CK utilisés par les familles de ransomwares, 2e trim. 2021
Modèle/technique d'attaque1. Chiffrement de données à des fins d'impact
2. Découverte de fichiers et de répertoires
3. Dissimulation de fichiers/d'informations
4. Injection de processus
5. Élucidation/décodage de fichiers/d'informations
6. Découverte de processus
7. Prévention de la restauration du système
8. PowerShell
9. Découverte d'informations système
10. Modification du registre
Tableau 2. Le chiffrement de données à des fins d'impact a été le modèle d'attaque le plus souvent détecté au 2e trimestre 2021.
Rapport Advanced Threat Research, octobre 2021
RAPPORT
9
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
Le secteur médical est confronté à des problèmes de sécurité uniques. Les attaques potentielles à l'encontre de centres médicaux peuvent représenter une menace bien plus importante qu'une attaque de ransomware à l'échelle d'un système. Notre équipe, en partenariat avec Culinda, a identifié un ensemble de vulnérabilités dans la pompe Infusomat Space et la SpaceStation de B. Braun.
Nos recherches nous ont permis de mettre au jour cinq vulnérabilités non encore signalées dans le système médical, à savoir :
1. CVE-2021-33886 : utilisation d'une chaîne de format contrôlée de l'extérieur (CVSS 7.7)
2. CVE-2021-33885 : vérification insuffisante de l'authenticité des données (CVSS 9.7)
3. CVE-2021-33882 : absence d'authentification d'une fonction critique (CVSS 8.2)
4. CVE-2021-33883 : transmission en texte clair d'informations sensibles (CVSS 7.1)
5. CVE-2021-33884 : chargement sans restriction de fichiers de type dangereux (CVSS 5.8)
Ensemble, ces vulnérabilités peuvent être utilisées par un cybercriminel pour modifier la configuration d'une pompe tandis que celle-ci est en veille, avec pour conséquence l'administration au patient d'une dose de médicament inattendue lors de l'utilisation suivante, sans aucune authentification.
Peu après avoir été informé des conclusions initiales de nos recherches, B. Braun est intervenu et a entrepris de mettre en place les mesures correctives recommandées dans notre rapport en collaboration avec notre équipe.
Ces conclusions présentent une vue d'ensemble et quelques détails techniques concernant la chaîne d'attaque la plus critique, ainsi que des solutions aux défis uniques auxquels fait face le secteur médical. Un récapitulatif est disponible sur notre blog.
Rapport Advanced Threat Research, octobre 2021
RAPPORT
10
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Menaces CLOUD
Prévalence des menaces cloud
Les problèmes engendrés par la nécessité d'adapter la sécurité du cloud à un effectif plus flexible du fait de la pandémie, à charge de travail égale ou supérieure, ont offert aux cybercriminels encore plus de possibilités d'exploitations et de cibles potentielles au 2e trimestre 2021.
Les recherches sur les menaces cloud menées par notre équipe montrent que les services financiers ont été la principale cible des campagnes au cours de ce trimestre.
Menaces cloud les plus fréquentes au 2e trimestre 20211. Utilisation excessive à partir d'un emplacement anormal
2. Exfiltration de données par un utilisateur interne
3. Utilisation abusive d'accès avec privilèges
4. Exfiltration de données à haut risque
5. Exfiltration d'accès avec privilèges
6. Implantation, extension, exfiltration
7. Activités suspectes humainement impossibles
8. Exfiltration de données par un utilisateur à privilèges
Tableau 3. Définition de l'utilisation excessive à partir d'un emplacement anormal : l'utilisateur a téléchargé un très gros volume de données ou y a accédé sur un court laps de temps. Il s'agit d'un problème grave, car 1) les utilisateurs de l'entreprise n'avaient jamais accédé à un tel volume de données auparavant, et 2) le volume de données est important, même pour un grand groupe d'utilisateurs. Les menaces liées à l'utilisation excessive à partir d'un emplacement anormal figurent en tête des menaces cloud observées dans le monde, suivies de l'exfiltration de données par un utilisateur interne et de l'utilisation abusive d'accès avec privilèges. L'utilisation excessive à partir d'un emplacement anormal représente 62 % des menaces enregistrées.
Secteurs ciblés par des menaces cloud dans le monde, 2e trim. 2021
Entreprises1. Services financiers
2. Santé
3. Fabrication
4. Vente au détail
5. Services professionnels
6. Transports et hébergement
7. Logiciels et Internet
8. Technologie
9. Ordinateurs et électronique
10. Organismes à but non lucratif
Tableau 4. Les services financiers ont été le secteur le plus ciblé par les incidents liés au cloud signalés, suivis des secteurs de la santé, de la fabrication, de la vente au détail et des services professionnels. Les services financiers ont été ciblés par 33 % des incidents liés au cloud signalés dans les dix principaux secteurs, suivis des secteurs de la santé et de la fabrication (8 %).
Rapport Advanced Threat Research, octobre 2021
RAPPORT
11
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Nombre total d'incidents liés au cloud par secteur dans le monde et aux États-Unis, 2e trim. 2021
Secteur ciblé par des menaces cloud Pays1. Services financiers États-Unis
2. Services financiers Singapour
3. Santé États-Unis
4. Vente au détail États-Unis
5. Services professionnels États-Unis
6. Services financiers Chine
7. Fabrication États-Unis
8. Services financiers France
9. Vente au détail Canada
10. Services financiers Australie
Tableau 5. Au niveau mondial, les services financiers ont été ciblés par 50 % des dix principaux incidents liés au cloud survenus au 2e trimestre 2021, avec notamment des incidents aux États-Unis, à Singapour, en Chine, en France, au Canada et en Australie. Les États-Unis ont été la cible de 34 % des incidents liés au cloud enregistrés dans les dix principaux pays.
Secteur ciblé par des menaces cloud aux États-Unis1. Services financiers
2. Santé
3. Vente au détail
4. Services professionnels
5. Fabrication
6. Médias et divertissement
7. Transports et hébergement
8. Organismes publics
9. Logiciels et Internet
10. Services de formation
Tableau 6. Les services financiers ont été le secteur le plus touché par des incidents liés au cloud aux États-Unis au 2e trimestre 2021. Les incidents ciblant les services financiers représentaient 29 % de l'ensemble des incidents liés au cloud signalés dans les dix principaux secteurs.
Rapport Advanced Threat Research, octobre 2021
RAPPORT
12
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Incidents liés au cloud par pays, 2e trim. 2021
Pays1. États-Unis
2. Inde
3. Australie
4. Canada
5. Brésil
6. Japon
7. Mexique
8. Grande-Bretagne
9. Singapour
10. Allemagne
Tableau 7. Les pays les plus touchés par des incidents liés au cloud sont les États-Unis, suivis de l'Inde, de l'Australie, du Canada et du Brésil. Les États-Unis ont été ciblés par 52 % des incidents liés au cloud enregistrés dans les dix principaux pays.
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Pays et continents : 2e trim. 2021
Des hausses notables du nombre d'incidents rendus publics par pays et continent ont été observées au 2e trimestre 2021 :
� Les États-Unis ont enregistré le plus grand nombre d'incidents signalés au 2e trimestre 2021.
� L'Europe a connu l'augmentation la plus importante (52 %) du nombre d'incidents signalés au cours du 2e trimestre.
Secteurs ciblés, 2e trim. 2021
Des augmentations notables des incidents rendus publics par secteur ont été observées au 2e trimestre 2021 :
� Une augmentation de la fréquence des attaques a été constatée dans plusieurs secteurs.
� Les augmentations les plus significatives concernent les organismes publics (64 %) et les divertissements (60 %).
Vecteurs d'attaque, 2e trim. 2021
Des augmentations notables des incidents rendus publics par vecteur ont été constatées au 2e trimestre 2021 :
� Le malware a été la technique la plus souvent utilisée dans les incidents signalés au 2e trimestre 2021.
� Le spam est le vecteur qui a connu la plus forte hausse (250 %) entre les 1er et 2e trimestres 2021, suivi du script malveillant (125 %) et du malware (47 %).
Rapport Advanced Threat Research, octobre 2021
RAPPORT
13
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Principales techniques MITRE ATT&CK, 2e trim. 2021
Tactiques
Techniques (cinq principales techniques par tactique) Commentaires
Accès initial Pièce jointe de spearphishing
Le spearphishing (lien et pièce jointe) figure au nombre des trois principales techniques d'accès, avec l'exploitation d'applications publiques.
Exploitation d'applications publiques
Lien de spearphishing
Comptes valides
Services distants externes
Exécution Commande Shell Windows Au cours de ce trimestre, nous avons observé plusieurs attaques impliquant PowerShell ou la commande Shell Windows pour exécuter un malware en mémoire ou utiliser des outils à double usage/non malveillants afin de faciliter les tentatives d'exploitation du réseau. Les scripts de ligne de commande sont souvent incorporés à des cadres Pentesting, comme Cobalt Strike, pour simplifier l'exécution.
PowerShell
Fichier malveillant
Infrastructure de gestion Windows (WMI)
Modules partagés
Persistance Clés d'exécution du Registre/dossier de démarrage
Tâche planifiée
Service Windows
Comptes valides
Chargement latéral de fichiers DLL
Élévation de privilèges
Clés d'exécution du Registre/dossier de démarrage
Injection de processus L'injection de processus demeure l'une des principales techniques d'élévation de privilèges.
Tâche planifiée
Service Windows
Injection de fichiers Portable Executable
Contournement de la protection
Élucidation/décodage de fichiers/d'informations
Dissimulation de fichiers/d'informations
Modification du registre
Vérifications du système
Suppression de fichiers
Rapport Advanced Threat Research, octobre 2021
RAPPORT
14
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Tactiques
Techniques (cinq principales techniques par tactique) Commentaires
Accès aux identifiants
Enregistrement de frappe L'enregistrement de frappe et la collecte d'identifiants à partir de navigateurs web sont des fonctionnalités courantes de la plupart des chevaux de Troie d'accès à distance.
Identifiants à partir de navigateurs web
Vidage des identifiants du système d'exploitation
Cette technique est la fonctionnalité de base de l'outil de collecte d'identifiants Mimikatz, observé par l'équipe ATR dans de nombreuses campagnes analysées au cours du 2e trimestre.
Capture des entrées
Mémoire LSASS
Découverte Découverte d'informations système
Découverte de fichiers et de répertoires
Découverte de processus
Vérifications du système
Interrogation du Registre
Mouvement latéral
Protocole RDP (Remote Desktop Protocol)
Exploitation de services distants
Copie de fichiers distants
Partages d'administration SMB/Windows
SSH
Collecte Capture d'écran Plusieurs campagnes faisant intervenir un cheval de Troie à distance ont été lancées au 2e trimestre. La capture d'écran a été déployée par de nombreux variants du malware RAT.
Enregistrement de frappe
Données du système local
Données du Presse-papiers
Données collectées dans les archives
Commande et contrôle
Protocoles web
Transfert d'outils d'infiltration
Port non standard
Service web
Protocole non destiné à la couche Applications
Rapport Advanced Threat Research, octobre 2021
RAPPORT
15
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Tactiques
Techniques (cinq principales techniques par tactique) Commentaires
Exfiltration Exfiltration sur un canal de commande et contrôle
Exfiltration via un protocole alternatif
Exfiltration vers un stockage dans le cloud
Les cybercriminels spécialisés en ransomwares ont continué à exfiltrer les données de leurs victimes vers différents fournisseurs de services de stockage dans le cloud, principalement à l'aide de programmes tels que RClone et MegaSync.
Exfiltration automatisée
Exfiltration via un protocole non-C2 de dissimulation/non chiffré
Impact Chiffrement de données à des fins d'impact
Le chiffrement des données à des fins d'impact est une fois encore la technique la plus utilisée dans les campagnes et menaces analysées par l'équipe ATR. Au cours de ce trimestre, plusieurs familles de ransomwares ont lancé un outil de verrouillage basé sur Linux qui cible des serveurs ESXi, renforçant ainsi l'utilisation de cette technique.
Prévention de la restauration du système
La prévention de la restauration du système est une technique souvent utilisée par des groupes de ransomwares avant la distribution de la charge active finale. En supprimant tous les clichés instantanés des volumes, ce script empêche les victimes de restaurer les fichiers après l'attaque.
Piratage de ressources
Arrêt de service
Arrêt/redémarrage système
Tableau 8. Remarques sur les principales techniques MITRE ATT&CK utilisées par les groupes criminels/APT au 2e trimestre 2021.
Rapport Advanced Threat Research, octobre 2021
RAPPORT
16
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Comment se défendre contre ces menaces
Au cours du 2e trimestre 2021, l'équipe ATR a observé et documenté de nombreux types de menaces différents. Nous disposons heureusement de l'expertise et des solutions nécessaires pour vous protéger vous et votre entreprise.
Découvrez comment la configuration d'ENS 10.7, la protection contre les manipulations et la restauration peuvent vous protéger contre le ransomware Cuba ou parcourez les articles de fond de notre blog destinés aux équipes de sécurité.
Mettez à niveau vos connaissances en matière de blocage des fenêtres pop-up gênantes depuis votre navigateur et découvrez comment nous protégeons nos clients des sites malveillants grâce à McAfee WebAdvisor et McAfee Web Control.
Découvrez comment les escrocs se font passer pour Windows Defender pour envoyer des applications Windows malveillantes en mode Push, ainsi que nos conseils de sécurité pour prévenir cette menace. Vos clients seront ravis d'apprendre que le composant cloud de Real Protect leur offre une protection proactive grâce à l'apprentissage automatique, tandis que McAfee WebAdvisor et McAfee Web Control les protègent contre les sites malveillants connus.
Découvrez les meilleures pratiques pour surveiller votre réseau et le protéger contre DarkSide, l'un des ransomwares les plus actifs ce trimestre. Cet article de blog propose en outre de nombreuses informations sur la couverture et la protection, notamment sur les plateformes de protection des terminaux, MVISION Insights, MVISION EDR et McAfee ENS.
Enfin, découvrez pourquoi les machines virtuelles présentent autant d'intérêt pour les cybercriminels et pourquoi les utilisateurs VMware affectés doivent appliquer des patchs sans perdre de temps. Si vous n'avez pas la possibilité d'installer immédiatement des patchs, nous vous donnons quelques conseils pratiques et vous rappelons que McAfee Network Security Platform propose des signatures pour les CVE en question.
Rapport Advanced Threat Research, octobre 2021
RAPPORT
17
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources
Ressources
Pour suivre l'évolution des menaces et des recherches, consultez les ressources suivantes de notre équipe :
Tableau de bord MVISION Insights — Découvrez un aperçu de la seule solution proactive permettant de garder une longueur d'avance sur les menaces émergentes.
Centre sur les menaces de McAfee — Menaces actuelles les plus dévastatrices identifiées par notre équipe de recherche sur les menaces.
Raj Samani
Christiaan Beek
John Fokker
Steve Povolny
Douglas McKee
Rapport Advanced Threat Research, octobre 2021
RAPPORT
18
11-13 Cours Valmy - La Défense 792800 Puteaux, France+33 1 4762 5600www.mcafee.com/fr
McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, LLC ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Copyright © 2021 McAfee, LLC. 4788_1021OCTOBRE 2021
Lettre de notre analyste en chef
RANSOMWARE
B. Braun : des vulnérabilités identifiées dans une pompe à perfusion utilisée dans le monde entier
MENACES CLOUD
Menaces à l'encontre des pays, des continents et des secteurs d'activité et vecteurs d'attaque
Principales techniques MITRE ATT&CK, 2e trim. 2021
Comment se défendre contre ces menaces
Ressources