Tendance Cyber n°2 : les 3 attaques en vogue dont il faut se méfier

Tendance Cyber n°2 : les 3 attaques en vogue dont il faut se méfier

Parmi la multitude de techniques de cyberattaques existantes, pour la plupart multi-vectorielles, en voici 3 dont il faut particulièrement se méfier : le ransomware (rançongiciel), les Distributed Denial of Service attacks (DDoS – attaques par déni de service distribuées) et les Supply Chain attacks (attaques de chaîne d’approvisionnement). Zoom sur chacune d’entre elles pour apprendre à les éviter et à les détecter.

 

Le ransomware

Le ransomware ou rançongiciel, a la particularité de prendre en otage des données personnelles et de prétendre pouvoir les restituer en contrepartie d’une rançon (généralement en cryptomonnaie). Le ransomware surfe sur 3 tendances actuellement.



Ce type d’attaque est tout d’abord de plus en plus ciblé et structuré, en lien avec la professionnalisation de la menace. Ce ciblage plus vertical et construit se dessine en raison du fait que certaines organisations soient plus enclines à verser une rançon que d’autres. C’est le cas des hôpitaux, des collectivités locales, ou encore de l’entreprise Colonial Pipeline. Le risque financier, économique, social et parfois même le risque de sûreté quant à la vie humaine ne leur laissent en réalité pas le choix. Le taux d’organismes qui choisissent de payer les rançons a de ce fait explosé ces dernières années :

Près de 65 % des entreprises choisissant aujourd’hui de payer, au moins en partie, la rançon demandée.

Le ransomware est également une attaque soumise à la règle des offres « as a service », devenant ainsi accessible à tous, la complexité de mise en œuvre étant sous-traitée par l’opérateur du service.

Enfin, il est important de citer le concept de double peine, nouvelle « idée » développée par les hackers. Non seulement ces derniers vont crypter les données, mais avant cela, ils vont les dérober. Rien n’assure donc qu’une fois les données éventuellement récupérées auprès des hackers, celles-ci ne soient pas conservées d’une manière ou d’une autre par ces derniers pour de potentielles futures attaques, voire pour une seconde extorsion contre la menace de dévoiler des données confidentielles ou sensibles. La menace de la double peine reste ainsi constante. Plusieurs groupes, tels que LockBit, Conti ou ALPHV ont été particulièrement actifs ces derniers mois sur ce terrain.

 

Les attaques DDoS

Les attaques DDoS correspondent quant à elles à la saturation d’un serveur par des milliers de machines, notamment rendue possible par l’utilisation des Botnets, ces réseaux de machines compromises.



La tendance associée réside dans le fait que le ticket d’entrée pour réaliser ces attaques se soit considérablement réduit, en raison de la transformation du DDoS en DDoS as a service. Ces services permettent à des organisations tierces de mener des attaques, moyennant finance, avec des infrastructures mutualisées.

De plus en plus fréquentes depuis quelques années, les attaques DDoS ont vu la courbe d’évolution du record de leur puissance se multiplier par 4 en 8 ans.

Une évolution exponentielle qui s’explique également par la généralisation des attaques par réflexion.

Grâce à cette méthode, la taille des Botnets devient moins essentielle. De plus, les attaques étant menées par rebond sur des serveurs non compromis, elles sont vues par la cible comme un trafic. Cette tendance et les attaques associées vont continuer à s’accélérer et seuls les grands acteurs du web auront à terme la résilience nécessaire pour y faire face. Microsoft a d’ailleurs essuyé une attaque record à 3,47 térabits par seconde, battant les records précédents. Plus étonnant encore, Andorre a subi des coupures générales d’internet en janvier 2022, privant ses 80 000 abonnés d’accès internet en raison d’attaques DDoS qui se sont étalées sur plusieurs jours. Le motif probable de cette attaque : empêcher des joueurs de participer à une compétition de Minecraft…

Plus récemment, le conflit ukrainien a mis en avant l’usage des attaques DDoS pour déstabiliser les infrastructures IT adverses. Rapides à mettre en place et ne nécessitant pas d’accès à privilèges parfois longs à obtenir, les attaques DDoS sont des armes tactiques faciles à déployer dans un conflit armé.

 

Les Supply Chain attacks

Les Supply Chain attacks sont le dernier exemple d’attaques « célèbres » en cybersécurité : Leur principe ? Passer par l’un des fournisseurs de la cible pour attaquer la cible elle-même. Le risque lié à ce type d’attaque augmente.

Aujourd’hui, plus de 60 % des attaques s’appuyant sur la Supply Chain réussissent (contre 44 % en 2020).

Il y a 2 façons de procéder, qui correspondent à 2 modes d’attaque :

Le premier consiste à attaquer le réseau par rebond sur un réseau de fournisseurs. L’exemple le plus emblématique est celui de Target, un retailer nord-américain : en 2013, des hackers se sont introduits dans le système d’information de Target en utilisant les accès du fournisseur à sa climatisation obtenus suite à une campagne de phishing. Ces accès, qui ont normalement un usage purement technique lié à la gestion des groupes de climatisation, n’étaient pas considérés comme sensibles mais constituaient pourtant un lien avec le réseau de l’entreprise dont les hackers ont su tirer parti.

Ce type de menace est notamment pris très au sérieux par les grands industriels, dont les réseaux sont systématiquement connectés à ceux de leurs sous-traitants et fournisseurs pour permettre le partage de données, gage d’efficacité et de performance.

Le deuxième mode de supply chain attacks s’appuie sur une chaîne de production logicielle pour infecter un programme légitime (l’exemple précédemment cité de SolarWinds en est une illustration, avec un logiciel piraté et distribué à des tiers).

La nouveauté spécifique à ce mode d’attaque, c’est le ciblage de composants open source qui rend sa diffusion potentiellement plus large et plus rapide. Contrairement aux idées reçues, l’open source, par ses codes ouverts vérifiables, ne garantit pas qu’ils soient correctement relus et vérifiés, et donc sécurisés. Face à la quantité de logiciels existants et aux milliards de lignes de codes associées, une relecture exhaustive et parfaite est inatteignable, et des failles (volontaires ou non) peuvent aisément se glisser à l’intérieur. Certains groupes de hackers en profitent donc pour ajouter des failles pour servir leur action. Une tendance très récente mais qui va assurément s’accélérer.

En effet, les attaques de type Supply Chain se sont également multipliées ces derniers mois sur des frameworks open source. Elles ciblent parfois le cœur du logiciel comme pour PHP (CVE-2021-29472) afin d’y créer une porte dérobée. Elles peuvent aussi cibler des modules périphériques comme Python, qui a subi une attaque automatisée créant 3 500 packages avec une orthographe proche de paquets légitimes typosquatting, pour induire les développeurs à télécharger sans s’en rendre compte un malware dans le but de miner à leur insu des crypto-monnaies. Plus récemment, c’est Npm qui a été la cible de typosquatting ciblant spécifiquement les utilisateurs de Microsoft Azure, avec plus de 200 packages malveillants volant des données utilisateurs et réseaux, dans le but possible de préparer une attaque de plus grande ampleur.

 


En savoir plus : les nouveaux challenges du RSSI face à la menace cyber