Les pirates informatiques parrainés par des États et les groupes de ransomware diversifient leurs tactiques pour infliger plus de dommages, selon un rapport Accenture

Le rapport 2020 d’Accenture sur le paysage des cybermenaces se penche sur la prolifération des menaces et leur impact

PARIS, le 29 mars 2021 – Soutenus par des États, certains des cyberattaquants les plus habiles du monde et certains groupes cybercriminels de ransomware notoires déploient un arsenal de nouveaux outils open source. Leur objectif : exploiter activement les systèmes de messagerie électronique des entreprises et se livrer à des extorsions en ligne pour intimider leurs victimes et les pousser à payer des rançons. C’est ce que nous apprend le rapport 2020 sur le paysage des cybermenaces publié par Accenture (NYSE : ACN).

S’appuyant sur l’expertise des équipes de cybersurveillance, Accenture Cyber Threat Intelligence (CTI), et publié chaque année par Accenture Security, le rapport analyse les tactiques, les techniques et les procédures (TTP) qu’emploient certains des cyberattaquants les plus ingénieux et se penche sur les possibles évolutions des cyberincidents au cours de l’année qui vient. Il est étayé par les contributions et les études des équipes de Context Information Securityet de Deja vu Security, respectivement acquises par Accenture en mars 2020 et juin 2019. Ces acquisitions viennent compléter différentes autres acquisitions effectuées en 2020, telles que la division Cyber Security Services de Symantec ou encore Revolutionary Security, reflétant l’engagement sans cesse renouvelé d’Accenture à étendre ses services de cybersécurité pour ses clients.


« Avec les changements radicaux qu’a induits la pandémie de COVID-19 dans nos méthodes de travail et nos modes de vie, un très grand nombre de cyberattaquants ont changé de tactique pour exploiter de nouvelles vulnérabilités », analyse Michael Bittan, Directeur Exécutif d’Accenture Security. « Ce que les entreprises et les organisations doivent principalement retenir de notre étude, c’est qu’avec l’explosion des possibilités qui s’offrent à eux et les résultats de leurs campagnes, les cybercriminels risquent de s’enhardir. Dans un tel contexte, les entreprises et les organisations doivent redoubler d’efforts pour mettre en place les contrôles adaptés et capitaliser sur des services de Cyber Threat Intelligence fiables, qui leur permettront de cerner et de repousser les menaces les plus complexes. »

Les attaquants chevronnés dissimulent leur identité grâce à des outils disponibles sur le marché
Tout au long de l’année 2020, les analystes d’Accenture CTI ont observé que des groupes suspectés d’être parrainés par des États et des organisations criminelles utilisaient des outils en vente libre (y compris des outils « living off the land », des infrastructures d’hébergement partagé et du code public malveillant exploitant une faille de sécurité), qu’ils associaient à des outils de tests d’intrusion open source pour perpétrer des cyberattaques sans laisser de traces – le tout, à une échelle sans précédent.

Par exemple, Accenture piste les activités et les modèles qu’utilise un groupe de cybercriminels basé en Iran. Actif depuis 2014 au moins, le groupe est connu pour ses cyberattaques contre l’industrie pétrolière et gazière ou contre d’autres secteurs comme les télécommunications et le transport, que ce soit aux États-Unis, en Israël, en Europe, en Arabie saoudite, en Australie ou dans d’autres pays. Les analystes d’Accenture CTI ont observé que certains cybercriminels utilisent aussi bien des fonctions Windows légitimes que des outils librement disponibles, tels que le dumping des informations d’identification. Cette technique consiste à voler les informations d’identification d’un utilisateur (noms d’utilisateur et mots de passe, par exemple) pour permettre à l’attaquant de réaffecter des privilèges ou de s’introduire dans le réseau. L’objectif : compromettre d’autres comptes et d’autres systèmes, tout en se présentant comme un utilisateur autorisé.

Selon le rapport, il est fort probable que des acteurs malveillants tels que les groupes parrainés par des États et les organisations criminelles, continuent d’exploiter des outils en vente libre et des outils de tests d’intrusion dans un avenir proche, étant donné leur facilité d’utilisation, leur efficacité et leur rentabilité.


De nouvelles tactiques sophistiquées ciblent la continuité des activités
Le rapport se penche sur un groupe largement connu et analyse son attaque agressive de systèmes exploitant Microsoft Exchange et Outlook Web Access. Une fois ces systèmes compromis, ils sont utilisés comme têtes de pont pour s’introduire dans l’environnement de la victime et ainsi masquer du trafic, relayer des commandes, compromettre la messagerie électronique, voler des données et collecter des informations d’identification qui serviront au cyberespionnage. Opérant depuis la Russie, ce groupe, est actif depuis plus de 10 ans. Il est associé à de nombreuses cyberattaques ciblant des organismes publics, des sociétés spécialisées dans l’étude de la politique étrangère et des think tanks du monde entier.

Le ransomware alimente un nouveau business model, à la fois rentable et évolutif
Au cours de l’année passée, le ransomware s’est rapidement transformé en un business model très lucratif. Les cybercriminels font passer l’extorsion en ligne à la vitesse supérieure : ils menacent leurs victimes de publier les données volées ou de les vendre, ou encore de les exposer publiquement sur des sites web dédiés (pratique du « name and shame »). Les criminels qui se cachent derrière des ransomwares tels que Maze, Sodinokibi (aussi connu sous le nom de REvil) and DoppelPaymer sont les pionniers de cette tactique qui a le vent en poupe.

Citons aussi le tristement célèbre LockBit, ce ransomware apparu début 2020 et qui, en plus d’emprunter la tactique d’extorsion, s’est fait connaître par sa fonctionnalité d’autopropagation, qui infecte rapidement les autres ordinateurs du réseau d’entreprise. Les motivations de LockBit sont, elles aussi, financières. Les analystes d’Accenture CTI ont suivi les cybercriminels qui en sont à l’origine sur des forums du dark web, où ils font la promotion de leurs mises à jour régulières et des améliorations apportées à leur ransomware, tout en recrutant de nouveaux membres, en leur promettant une partie de la rançon.

Le succès de ces méthodes d’extorsion par « hack-and-leak », qui ciblent notamment les grandes entreprises, fait craindre qu’elles ne continuent de proliférer tout au long de l’année 2020 et qu’elles ne préfigurent les futures tendances du piratage en 2021. Et pour cause. Les analystes d’Accenture CTI ont pu observer les campagnes de recrutement que mènent les cybercriminels à l’origine de Sodinokibi sur un célèbre forum du dark web.

Lire l’intégralité du rapport 2020 sur le paysage des cybermenaces ici.




Contacts presse:

Camille Garcia
camille.garcia@accenture.com

Velislava Lefevre
velislava.lefevre@accenture.com