Nozomi Networks - Les cybermenaces au premier semestre 2020
Le paysage des menaces OT/IoT pour le premier semestre 2020 a vu une augmentation des menaces pour les réseaux OT et IoT, notamment les attaques de botnet IoT, de ransomware et de COVID-19. Ces types d'attaques sont en phase avec les tendances informatiques et socio-économiques mondiales. La croissance rapide des appareils IoT, la pandémie mondiale de COVID-19 et l'augmentation et la sophistication des cybercriminels en sont les principaux moteurs. Cet article de blog offre un aperçu des menaces les plus actives observées par les experts de Nozomi Networks au cours des derniers mois, ainsi qu'un aperçu des tactiques et techniques et des recommandations pour la protection des réseaux critiques.
Quelles sont les menaces qui ont massivement augmenté au cours du premier semestre de l'année ?
Les menaces liées aux logiciels malveillants IoT sont de plus en plus nombreuses et feront partie intégrante du paysage des menaces dans un avenir prévisible. Plusieurs facteurs contribuent à cette croissance sans précédent :
- La croissance exponentielle du nombre d'appareils IoT.
- L'utilisation non sécurisée de dispositifs IdO directement accessibles via Internet.
- Un manque de mises à jour de sécurité pour les appareils IdO, ce qui les rend vulnérables aux attaques fréquentes de nombreux acteurs de la menace.
- Le manque de compréhension de la situation en matière de sécurité des appareils IoT.
L'un des botnets les plus intéressants est Dark Nexus, qui a été découvert en avril 2020. Les exploitants de Dark Nexus publient fréquemment de nouvelles mises à jour, comme pour les logiciels commerciaux. En outre, les exploitants de Dark Nexus vendent ouvertement leurs services d'atténuation des DDoS sur Internet. D'un point de vue technique, Dark Nexus se distingue des botnets concurrents par un mécanisme sophistiqué qui permet de profiler les processus en cours sur l'appareil infecté. L'objectif de ce mécanisme est d'identifier les processus susceptibles d'entraver le bon fonctionnement du maliciel. Si Dark Nexus n'a initialement infecté que quelques milliers d'appareils, ce nombre peut rapidement augmenter. Il est donc urgent de garder un œil sur Dark Nexus.
Les ransomwares jouent-ils encore un rôle ?
Les attaques de ransomware qui visent une multitude de verticales du secteur sont toujours à l'ordre du jour. Ce qui a changé, ce sont les cibles. Les gangs de ransomware ont déplacé leur attention vers des cibles plus grandes, plus critiques et avec des poches plus profondes, y compris, entre autres, les fabricants, les entreprises d'énergie et les communautés locales. Les opérateurs de ransomware chiffrent généralement les fichiers et demandent aux victimes de payer une rançon. Désormais, ils font également fuiter des données d'entreprises et menacent de les publier sur Internet afin d'exercer une pression encore plus forte.
Comment la pandémie COVID-19 est-elle exploitée pour la cybercriminalité ?
La pandémie mondiale COVID-19 offre aux cybercriminels encore plus de vecteurs et de possibilités d'exploitation. La surface d'attaque de la plupart des entreprises a considérablement augmenté avec le passage rapide à une politique de "bureau à domicile". Certaines entreprises disposent d'une infrastructure permettant le travail à distance, comme les VPN et les ordinateurs portables de travail. Cependant, de nombreuses autres entreprises ne sont pas préparées et doivent trouver rapidement des solutions, ce qui a ouvert la porte aux risques de sécurité. En outre, le climat de peur et d'incertitude créé par COVID-19 rend les employés plus vulnérables aux attaques d'ingénierie sociale. Dans la première phase de l'attaque, les cybercriminels ont surtout utilisé des e-mails de phishing pour inciter les utilisateurs à divulguer des informations personnelles ou à exécuter des logiciels malveillants.
La famille de logiciels malveillants Chinoxy Backdoor en est un exemple. Elle intègre un document contenant des informations sur la prise en charge de COVID-19 dans un fichier .rtf qui exploite CVE-2017-11882. L'exploit est utilisé pour placer sur la machine des fichiers binaires malveillants qui utilisent HTTP sur le port 443 pour la communication C&C. Lorsque les cybercriminels accèdent aux systèmes et dérobent des données réseau, ils laissent toujours une trace. C'est une bonne nouvelle, car cette trace peut être identifiée, à condition que les entreprises aient une vision claire de ce qui se passe dans leurs réseaux OT/IoT.
Quels sont les autres défis en matière de sécurité informatique ?
Les vulnérabilités découvertes dans les systèmes ICS offrent aux attaquants la possibilité de manipuler les données, ce qui peut avoir des répercussions sur les processus physiques et être extrêmement dangereux pour la production industrielle. Il est donc important de tenir compte des tendances en matière de menaces liées aux vulnérabilités lors de l'évaluation des risques de sécurité. Le nombre de vulnérabilités découvertes par l'ICS-CERT au cours du premier semestre 2020 a considérablement augmenté par rapport à 2019. Une approche raisonnable pour l'industrie consiste à réduire l'exposition en s'attaquant d'abord aux vulnérabilités faciles à limiter. Au fil du temps, de plus en plus de vulnérabilités peuvent être atténuées. Les validations d'entrée inappropriées et les vulnérabilités de débordement de mémoire tampon sont en tête de liste des vulnérabilités en 2020. Alors que la première entre dans la catégorie des vulnérabilités faciles à limiter, la seconde est plus difficile à corriger. Les débordements de mémoire tampon nécessitent des mises à jour de micrologiciels de la part des fabricants, le remplacement des anciens appareils et d'autres mesures correctives. Malheureusement, ce groupe continuera probablement à représenter un pourcentage important des vulnérabilités découvertes dans les années à venir.
Quelles sont les cybermenaces prévues pour le second semestre ?
Nous nous attendons à ce que les attaques de botnets IoT, de ransomwares et de malwares COVID-19 continuent à augmenter, même si elles s'adapteront au cours du second semestre. Face à des menaces de plus en plus nombreuses et en constante évolution, il est important de garantir une cyber-résilience élevée et une capacité de réaction rapide. Les failles de sécurité liées aux personnes, aux processus et à la technologie peuvent avoir un impact important, en particulier sur l'informatique et l'OT dans les organisations où les systèmes informatiques, OT et IoT sont de plus en plus interconnectés. Toutefois, avec la bonne technologie et en se concentrant sur les meilleures pratiques, il est possible d'accroître la visibilité et la résilience opérationnelle.
Traduit de l'anglais avec DeepL
Original d'Alessandro Di Pinto, responsable de la recherche en sécurité chez Nozomi Networks.
Correction et édition par Victor Rossner