Kaspersky publie les résultats de son rapport mondialIncident Response Analyst pour l’année 2019. Un rapport qui dévoile que l’année dernière, près d’un tiers (30%) des cyberattaques sur lesquelles a enquêté l’équipe Global Emergency Responsede Kaspersky ont impliqué des logiciels administratifs et degestion authentifiés. Ce chiffre est légèrement inférieur en Europe. Cemode opératoire offre aux cyber attaquants l’avantage de pouvoir rester plus longtemps invisibles sur le réseau des entreprises touchées.
Les logiciels de monitoring et de gestion aident les administrateurs informatique et réseau à accomplir leurs tâches quotidiennes, telles que le dépannage et l’assistance technique aux employés. Des logiciels utilisés de façon légitime, mais qui peuvent voirleur utilisationdétournée par des pirates informatiques lors d’attaquesvisant l’infrastructure d’une entreprise. Grâce à ces outils légitimes,les cyber attaquants peuvent contourner les contrôles de sécurité visant à détecter les logiciels malveillants, et ainsi lancer l’exécution de programmessur les différents terminaux et accéder aux informations sensibles de l’entreprise.
L’analyse de Kaspersky des données issues des réponses aux incidents de sécurité a montré qu’au niveau mondial,18 solutions authentifiées ont été utilisées en 2019 par des attaquants à des fins malveillantes. En tête :
- PowerShell,pour25 % des attaques. Un puissant outil administratif qui peut être utilisé à de nombreuses fins (collecte d’informations, exécution de logiciels malveillants…).
- PsExec,dans 22 % des cas. Cette application de console est destinée à lancer des processus sur des terminaux distants.
- SoftPerfect Network Scanner,pour 14% des attaques. Un outil destiné à récupérer des informations sur les environnements réseau.
Un classement qu’on retrouve pour l’Europe, mais avec des proportions différentes : PowerShell and PsExec sont les plus utilisés , suivi de SoftPerfect Network Scanner (dans 37,5% des attaques).
Détecter les attaques menées avec des outils légitimes est difficile pour les entreprises, car les actions effectuées peuvent faire partie de l’activité ordinaire de l’administrateur système. Une difficulté qui permet aux attaquants de rester en place plus longtemps, et donc de collecter plus longtemps les données des utilisateurs, ou d’espionner l’activité de l’entreprise. Parmi les attaques de longue durée, la durée médiane des attaques est ainsi de 122 jours.
Cependant, les experts de Kaspersky notent que, dans certaines situations, les actions malveillantes menées par le biais de logiciels légitimes sont rapidement découvertes. Ils sont en effet souvent utilisés dans les attaques par ransomwares, pour lesquelles les dommages sont clairement visibles. Ainsi, pour les attaques de courte durée, la durée médiane est d’un jour.
Enfin, on trouve un troisième type d’attaques, en termes de durée qui correspond à un entre-deux, avec une durée moyenne de 10 jours. La menace traditionnelle, derrière ces attaques de durée intermédiaire sont les vols financiers.
« Pour éviter de se faire détecter et rester invisible le plus longtemps possible sur le réseau de l’entreprise ciblée, les attaquants utilisent fréquemment des logiciels qui sont normalement développés pour les activitésquotidiennes, comme le traitement des tâches liées à l’administration réseau et les diagnostics système. En effet, grâce à ces outils, les attaquants peuvent recueillir des informations sur le réseau de l’entreprise et effectuer des actions parallèles à celles des administrateurs, comme modifier les paramètres des logiciels et ceux des appareils,ou mettre en place des actions malveillantes (crypter les données des clients par exemple). Utiliser des logiciels authentifiés et légitimes peut également aider les pirates à rester inconnus des analystes sécurité, car souvent l’attaque n’est détectée qu’une fois les dommages causés. S’il n’est pas possible pour l’entreprise d’exclure ces outils de monitoring et de gestion -car ils permettentson bon fonctionnement – la mise en place de systèmes d’authentification et de détection permet de repérer les activités suspectes sur le réseau et les attaques complexes à des stades plus précoces« , commente Pascal Naudin, Head of B2B, Kaspersky, Afrique du Nord, de l’Ouest et Centrale.
Pour détecter et réagir rapidement à de telles attaques, les organisations doivent envisager l’adoption d’une solution EDR (EndpointDetection and Response) accompagnée d’un service MDR (Management Detection and Response). Consulter les évaluations de l’organisation MITRE ATT&CK® – qui évalue différentes solutions, y compris Kaspersky EDR et le service Kaspersky Managed Protection – peut aider les organisations à choisir la solution EDR qui correspond le mieuxà leurs besoins spécifiques. Les résultats de l’évaluation ATT&CK prouvent par ailleurs l’importance d’une solution complète qui combine un produit de sécurité multicouches entièrement automatisé et un service de chasse aux menaces manuel.
Afin de minimiser les risques que des logiciels de gestion soient utilisés pour pénétrer dans l’infrastructure de l’établissement, Kaspersky recommande les mesures suivantes :
- Restreindre l’accès aux outils de gestion provenant d’adresses IP externes. Veiller à ce que les interfaces de contrôle à distance ne soient accessibles qu’à partir d’un nombre limité de terminaux endpoints,
- Appliquer une politique stricte en matière de mots de passe pour tous les systèmes informatiques et mettre en place un systèmed’authentification multi-facteurs,
- Ouvrir les droits administrateurs exclusivement aux collaborateurs qui en ont besoin pour exécuter leurs missions.
Pour en savoir plus sur Kaspersky EDR, visitez la page dédiée. Le rapport Incident ResponseAnalytics 2019 est disponible en intégralité via ce lien.
À propos de Kaspersky
Kaspersky est une société internationale de cybersécurité fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces numériques sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 250 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr