Comme nous venons de passer la première moitié de 2021, j’ai décidé de revoir le top 5 des menaces que nous avons détectées durant cette période de 6 mois.
À tous les quarts, nous produisons des rapports de tendance pour certains clients. Pour ce faire, nous creusons dans notre base de données d’incidents pour générer des statistiques. Un de nos client, qui reçoit peu d’alertes parce qu’ils ont une sécurité plus serrée que notre moyenne, voulait que nous mettions en valeur les choses que nous avons détectés chez nos autres clients. Donc, nous avons généré une liste du top 5 des détections avec le plus d’impact que nous avons réalisé depuis le début de l’année 2021. Puisque tout le monde adore les articles de listes, j’ai décidé que je pourrais aussi les mettre en valeur sur le blog. Dans un certain sens, il s’agit à la fois d’une célébration de nos succès et d’un guide pour les petites entreprises sur le type de menace qui les attend.
Commençons par le numéro 5.
Top menace détectée #5: Gamarue (vers se propageant par USB)
Gamarue/Andromeda est un logiciel malveillant qui recrute la machine compromise dans un réseau d’ordinateurs zombi (botnet) opéré par les criminels. Une fois ajouté au botnet, les opérateurs du réseau ont la capacité de se connecter à distance sur la machine, voler des informations confidentielles et charger des logiciels additionnels. Donc, il est très commun pour une infection avec Gamarue de s’aggraver rapidement à mesure que plus de logiciels malveillants sont téléchargés sur la machine via le programme d’affilié de Gamarue/Andromeda, où l’opérateur du botnet reçoit de l’argent à travers des arrangements de paiement-pour-installation.
Une autre raison pour laquelle une infection Gamarue/Andromeda peut devenir plutôt sévère est que certaines versions du logiciel malveillant se propagent via USB. À mesure que les clés USB voyagent autour de l’entreprise, un grand volume de machines peut être infecté. De plus, la clé USB infectée peut persister dans un tiroir en quelque part, où aucun logiciel anti-virus peut la scanner, et générer des réinfections dans le futur.
Dans ce sens, attraper Gamarue avant qu’il cause la catastrophe est une grosse victoire. Toutefois, puisque Gamarue ne se propage pas via le réseau et que nous n’avons pas trouvé de logiciel malveillant additionnel sur la machine victimes, nous l’avons classé comme la menace numéro 5.
Veuillez aussi noter que cette détection est une détection différente de celle décrit dans cette publication. Naturellement, avoir vu Gamarue dans le passé nous a aidé à répondre à cette infection chez un autre client.
Top menace détectée #4: Zusy (trojan bancaire)
Le trojan bancaire Zusy est une branche du trojan bien connu Zeus. La fonctionnalité principale de ce trojan est de s’insérer dans les pages web visitées par la victime pour voler les informations de connexions pour des site web de tierce partis, plus particulièrement des sites bancaires. Puisque le logiciel malveillant peut voir l’information de connexion alors que l’usager la tape, le logiciel malveillant pour capturer l’information même si le site bancaire utilise HTTPS. Les cyber criminels peuvent ensuite utiliser les information de connexion volées pour effectuer des transactions financières frauduleuses.
Attraper cette menace tôt permet à la victime d’identifier rapidement les mots de passe volés, et idéalement les changer avant que l’acteur malicieux puisse effectuer des transferts d’argent. Dans un sens, il est possible de complètement esquiver l’impact.
Puisqu’il y avait une composante financière directe, nous avons classé cette menace assez élevé. Toutes, nous n’avons pas été en mesure de confirmer si la victime avec accès à des comptes vers des tierces parties sensibles. Ainsi, nous avons classé la menace comme menace numéro 4.
Top menace détectée #3: attaque de harponnage interne (compte compromis utilisé pour mouvement latéral)
Il y a toujours quelqu’un qui clique (ou ouvre les documents) dans les courriels d’hameçonnage. Toutefois, même si un programme de sensibilisation peut descendre ce nombre à autour de 1-3 % des usagers pour de l’hameçonnage générique, vous pouvez généralement avoir un taux de clic autour de 10-30% si vous cibler votre appât. Dans cette attaque, nous avons appris que l’attaquant avait compromis un compte interne pour envoyer des courriels extrêmement ciblés à d’autres personnes dans la compagnie. Naturellement, puisque les courriels provenaient d’un compte compromis, la provenance semblait être d’une personne de confiance. De plus, les attaquants avaient hébergé leur campagne d’hameçonnage dans un document OneNote résidant sur OneDrive (voir ici), donc le site web apparaissait légitime. À cause de cela, nous avons pu voir qu’un bon nombre de personnes avaient visité la page appât.
Cette attaque était clairement une tentative de profiter d’un compte compromis pour effectuer un mouvement latéral afin d’obtenir plus d’accès. Ainsi, il s’agissait assurément d’une attaque précurseur à un gros retour d’investissement pour l’attaquant, via une compromission de courriel d’affaire ou une attaque par rançongiciel par exemple. Les attaquants n’investissent pas le temps et l’énergie pour mettre en place ces attaques ciblés s’ils ne s’attendent pas à un bon retour. En attrapant cette menace, nous n’avons pas seulement réussi à prévenir l’attaque avec un gros retour, mais nous avons aussi réussi à défaire l’accès initial que les attaquants avaient développé.
Top menace détectée #2: Razy (trojan voleur de portefeuilles de cryptomonnaie)
Le trojan Razy est un autre logiciel malveillant visant à voler les informations de connexion des victimes. Toutefois, le trojan Razy est spécialisé dans le vol d’informations de connexion de portefeuilles de cryptomonnaies. À ce point-ci, les lecteurs avisés pourraient se demander pourquoi une infection avec un impact si restreint se classe si haut dans la liste. Comme pour la plupart des choses en cyber sécurité, cela dépend du contexte d’affaires.
Dans ce cas, la victime était une compagnie qui prenait avantage de notre période de démonstration de valeur gratuite. Leur ligne d’affaire principale était de miner des cryptomonnaies et la personne affectée était d’administrateur qui installait les mineurs logiciels sur toutes leurs machines. L’individu en question avait téléchargé une version réempaquetée (lire piratée) de Autodesk pour lire quelques documents et l’avait désinstallé par la suite. Naturellement, le trojan était resté sur la machine.
Compte tenu de la nature de la compagnie, cette compromission aurait bien pu mener à des pertes significatives pour l’entreprise. Comme pour les autres attaques avec vol d’informations de connexion, détecter celle-ci dès que la compromission a eu lieu (et avant que l’attaquant n’aie la chance de récolter des informations de connexion et les utiliser pour voler des cryptomonnaies) mitige une bonne partie des impacts.
Top menace détectée #1: Emotet (précurseur à rançongiciel)
Les lecteurs de ce blog ne devraient pas être surpris que la menace la plus importante que nous avons détecté chez nos clients est le trojan Emotet, qui est souvent le précurseur à une attaque de rançongiciel Ryuk/Coni. Vous pouvez trouver tous les détails dans cette publication.
Pour plusieurs propriétaires de petites entreprises, une attaque de rançongiciel est une menace existentielle. Voilà pourquoi il est si important d’attraper les logiciels malveillants agissant comme précurseurs, comme Emotet dans le cas du groupe Ryuk/Conti. Dans ce cas-ci, répondre rapidement a fait la différence entre réimager une machine vs des pertes potentielles de l’ordre de 100,000$ en coûts directs, sans compter les coûts indirects comme les dommages à la réputation de l’entreprise.
Conclusion
En faisant cette liste, je voulais souligner les raisons pour lesquelles on devrait célébrer nos « grosses prises » au niveau de la surveillance. Ainsi, j’ai tenté de démontrer l’impact d’affaire de chacune de ces menaces et expliquer comment, en les détectant, nous avons réellement aidé nos clients. Au même moment, en regardant cette liste avec la perspective d’un propriétaire de compagnie, vous pouvez obtenir une meilleure compréhension des types de menaces qui courent et de quels effets elles peuvent avoir sur votre entreprise (notez que toutes ces menaces ont été découvertes par notre surveillance de sécurité après avoir contourné l’anti-virus).
