L’e-mail, vecteur de référence d’attaques marquées par la patience

Les attaquants continuent d’avoir beaucoup de temps pour se promener dans le système d’information de leurs victimes. Selon les observations faites par les équipes de CrowdStrike lors de leurs interventions en réponse à incident, les cyberdélinquants restent en moyenne 95 jours tapis au sein du SI de leurs victimes, contre 85 jours en 2018. Pour la majorité des cas, il faut compter sur une présence malveillante persistante entre une semaine et trois mois.

Alors certes, sur 2019, 79 % des organisations concernées par ces observations ont découvert l’intrusion toutes seules, contre 75 % l’année précédente, et 68 % en 2017. Mais manifestement, les découvertes ne se sont pas pour autant faites plus rapidement.

Et cela apparaît d’autant plus préoccupant que, si les assaillants ont du temps devant eux, ils n’en adoptent pas moins des techniques leur permettant d’accélérer leur avancée dans l’environnement visé : CrowdStrike indique ainsi observer un recours croissant à l’automatisation pour la reconnaissance de l’architecture, tout particulièrement en visant l’infrastructure Active Directory avec des outils tels que BloodHound. Accessible à tous, ce dernier permet en particulier « d’identifier aisément des chemins d’attaque complexes qu’il serait autrement impossible d’identifier rapidement ».

Sans surprise, c’est principalement pour des incidents perturbant l’activité que sont intervenues l’an dernier les équipes de CrowdStrike – et cela recouvre désormais les attaques par ransomware. Ce choix de reclassification de ces incidents est simple : « l’impact de la perturbation de l’activité peut souvent dépasser la perte engendrée par le paiement d’une rançon ».

Dans ce rapport, le vol de données s’inscrit en seconde position, à 25 % des cas. Il sera intéressant d’observer l’évolution des choix de classification des incidents de CrowdStrike cette année, si la tendance au vol et à la menace de divulgation de données par les opérateurs de rançongiciels se confirme.

Toujours sans trop de surprise, notamment compte de l’activité des opérateurs d’Emotet et de son efficacité redoutable, l’e-mail s’impose comme vecteur d’infection initiale, représentant 35 % des cas. La compromission d’identifiants a quant à elle reculé de 4 points par rapport à 2018, à 16 %. Pour CrowdStrike, l’authentification à facteurs multiples (MFA) « pourrait en être un contributeur clé ». Mais ce chiffre recouvre également les opérations dites de credential stuffing visant les services RDP exposés directement sur Internet.

A cela s’ajoutent également les compromissions de partenaires d’entreprises victimes, ces attaques furtives s’appuyant sur la chaîne logistique. Le sujet avait d’ailleurs été évoqué en ouverture de l’édition 2019 du Forum International de la Cybersécurité.

S’il apparaît essentiel de pouvoir détecter au plus vite les intrusions, le rapport de CrowdStrike souligne l’importance d’aller au-delà des simples systèmes de détection de maliciels. Le terme d’attaques fileless est utilisé de longue date pour évoquer cette menace, mais les chiffres sont parlants : dans 51 % des incidents sur lesquels sont intervenues l’an passé les équipes de CrowdStrike, les assaillants se sont passés de malware, à un moment ou l’autre, utilisant notamment des outils présents en interne, comme Powershell et WMI. Et même, dans 29 % des cas, aucun maliciel n’a été utilisé.

En page 16 de son rapport, CrowdStrike se livre à un exercice que d’aucuns pourraient souhaiter plus répandu : plutôt que faire la promotion de sa plateforme Falcon, il dresse un tableau de 11 méthodes de prévention méritant d’être mises en œuvre contre les 5 principales techniques employées par les assaillants. Il s’appuie pour cela sur le framework Att&ck du Mitre, en tâchant d’aller à l’essentiel. Et d’ajouter à cela des recommandations sur les délais de rétention des différents types de journaux d’activité utiles à la détection des incidents et à leur investigation.