Étude : selon CrowdStrike, la cyberextorsion se joue de plus en plus sans ransomware
Selon l’édition 2023 du « Global Threat Report » de CrowdStrike, le nombre d’acteurs misant uniquement sur le vol de données, sans déclenchement de ransomware, a progressé de 20 % l’an passé.
Selon un nouveau rapport de CrowdStrike, un nombre croissant d’acteurs de la menace cyber délaissent les rançongiciels au profit de cyberattaques sans malware : le vol de données et la menace de leur divulgation, voire de leur revente, leur suffisent.
L’éditeur vient de publier l’édition 2023 de « Global Threat Report », qui compile chaque année le fruit des recherches de CrowdStrike relatives à la cybercriminalité, ou « eCrime », de l’année précédente. Les principaux sujets abordés dans cette dernière édition comprennent notamment les tentatives de cyberextorsion sans ransomware, les attaques liées au cloud et les conflits géopolitiques en cours.
L’extorsion sans chiffrement
L’éditeur a ainsi observé une augmentation de 20 % du nombre d’attaquants s’appuyant sur le seul vol de données pour tenter d’extorquer de l’argent à leurs victimes sans ransomware. CrowdStrike prend notamment l’exemple Lapsus$, qu’il surnomme « Slippy Spider ».
Lapsus$ a attiré l’attention début 2022 avec ses attaques contre Microsoft, Nvidia, Samsung ou encore Ubisoft. Il s’agissait principalement de vol de code source, et l’on ignore si des demandes de rançon formulées par Lapsus$ ont été satisfaites. Mais le cas n’est pas isolé.
Karakurt, un groupe identifié en juin 2021, mais son existence ne s’est confirmée qu’ultérieurement, notamment à l’occasion de la montée en puissance de ses activités au troisième trimestre de cette même année. Sa spécificité ? Comme les groupes Hotarus et Lapsus$, notamment, il ne pratique pas le chiffrement des données, mais se contente d’en voler chez sa victime et de menacer de les vendre ou les divulguer, si la rançon demandée n’est pas versée. Il a été associé à Conti.
À cela s’ajoute RansomHouse, qui affirme ne pas déployer de ransomware et se contenter de voler les données. Le groupe a notamment revendiqué un important vol de données à AMD fin juin 2022. Plus tard, dans le courant de l’été, MBDA était visé par une revendication comparable, cette fois-ci du groupe Arvin.
Adam Meyers, vice-président senior de CrowdStrike en charge du renseignement, estime que cette évolution témoigne de la capacité d’adaptation des cybercriminels. Selon l’éditeur, l’activité malveillante sans maliciel représentait 71 % de ses détections de menaces en 2022, contre 62 % en 2021.
Une évolution prévue
« C’était en partie lié à l’abus prolifique par les adversaires d’identifiants valides, pour faciliter l’accès et la persistance dans les environnements des victimes », peut-on lire dans le rapport. « Un autre facteur contributif a été le rythme auquel les nouvelles vulnérabilités ont été divulguées et la vitesse à laquelle les adversaires ont pu rendre opérationnels les exploits ».
Le passage à l’extorsion sans chiffrement n’est pas une surprise et était déjà anticipé au premier semestre 2021. Car les avantages ne manquent pas.
L’absence de logiciel malveillant susceptible de tomber entre les mains d’analystes, de chercheurs, voire de simples journalistes, permet aux cybercriminels d’augmenter la furtivité de leurs opérations et leurs chances de moisson de crypto-brouzoufs avec les entreprises. Des entreprises pour qui payer n’est pas tant de retrouver l’accès à ses données – ni d’en éviter la fuite –, que d’empêcher l’ébruitement de l’incident. Durant la gestion de la crise, côté victime, le contrôle des traces s’avère d’ailleurs essentiel.
En l’absence de chiffrement, l’activité peut continuer comme si de rien n’était. Pas de pertes d’exploitation, et pas d’effet visible par les clients et partenaires. Les attaquants n’ont plus qu’à utiliser les leviers de l’image et du cadre réglementaire.
Mieux encore, les attaquants peuvent là profiter du silence de leur victime initiale, pour aller s’intéresser à ses partenaires, ou encore se ménager de nouvelles portes d’entrée, puis revenir plus tard à la charge et faire passer à la caisse une seconde fois une victime qui n’aura pas pris la peine nettoyer en profondeur son système d’information, afin de ne pas susciter la suspicion.
Pour autant, les franchises de ransomware en mode service (RaaS) n’ont pas dit leur dernier mot, et l’activité persistante, à niveau toujours élevé, souligne que la menace est loin d’avoir disparu.
Le cloud, une cible de choix
Autre tendance majeure : la cybercriminalité contre les environnements cloud. Selon CrowdStrike, les cas d’exploitation du cloud ont augmenté de 95 % au cours de l’année 2022, et le nombre des attaques contre les environnements cloud a presque triplé. En substance : les cybercriminels ont de plus en plus recours à des services cloud pour conduire leurs attaques, et s’en prennent de plus en plus aux environnements cloud. La cyberattaque contre le centre hospitalier Sud-Francilien, fin août 2022, en constitue un exemple : elle avait notamment impliqué une machine virtuelle Windows 10 ou Server 2016, hébergée dans l’environnement cloud EC2 d’AWS.
« Cette croissance indique une tendance plus large de la cybercriminalité et des acteurs d’État-nation qui adoptent des connaissances et des compétences techniques, pour exploiter de plus en plus les environnements cloud », peut-on lire dans le rapport.
CrowdStrike a dressé une liste des tactiques, techniques et procédures les plus populaires utilisées par les acteurs malveillants du cloud. Ils utilisent principalement des comptes légitimes pour obtenir un accès initial aux environnements cloud, d’autres techniques impliquant des réinitialisations de mots de passe ou le déploiement de webshells. Pour le déplacement latéral, des protocoles tels que SMB, SSH et RDP sont couramment utilisés.
« En combinant la protection des traitements avec l’identité et les données, les organisations seront en mesure de construire une image plus complète du risque d’entreprise. »
Adam MeyersVP senior de CrowdStrike, en charge du renseignement
L’un des points les plus remarquables concerne l’impact. Le rapport affirme que la destruction, et non le détournement de ressources, est la technique axée sur l’impact, la plus courante en 2022. La destruction, selon CrowdStrike, recouvre « les acteurs supprimant l’accès aux comptes, mettant fin aux services, détruisant les données et supprimant les ressources ».
Interrogé sur une solution potentielle à l’augmentation des menaces dans le cloud, Adam Meyers estime que les organisations ont besoin d’une « protection unifiée sur les hôtes, les traitements, l’identité et les données », à l’instar de plateformes de protection applicative dites Cloud-Native (CNAPP).
« En combinant la protection des traitements avec l’identité et les données, les organisations seront en mesure de construire une image plus complète du risque d’entreprise », juge-t-il. « En plus de cela, l’arrêt des brèches dans le cloud nécessite à la fois des capacités avec et sans agent, pour se protéger contre les erreurs de configuration, le plan de contrôle et les attaques basées sur l’identité, combinées à une sécurité d’exécution protégeant les traitements en cloud. Une solution CNAPP solide qui unifie la gestion de la posture et des droits d’infrastructure avec la protection contre les brèches pour les traitements cloud, dans une plateforme unique, permet aux organisations d’obtenir une protection de bout en bout, de l’hôte au cloud ».
