Les attaques sans fichiers se multiplient et défient les protections

Présentée au printemps dernier, la dernière mouture de la solution de protection du poste de travail en entreprise de Kaspersky dispose d’un module de surveillance comportementale pour protéger, notamment, des attaques sans fichier s’appuyant sur des outils légitimes comme PowerShell. Un hasard ? Assurément pas.

Quelques mois plus tôt, Symantec assurait que de nombreux scripts PowerShell étaient malicieux. Il n’en fallait pas plus pour que Gartner alerte ses clients sur les attaques s’appuyant sur du code injecté directement en mémoire ou utilisant des outils légitimes.

Une récente étude de l’institut Ponemon pour Barkly tend à souligner l’importance de la menace. Pour celle-ci, plus de 18000 professionnels de l’IT et de la cybersécurité ont été interrogés aux Etats-Unis. Ils estiment aujourd’hui que les attaques sans fichier représentent 39 % des attaques, contre 20 % en 2016. Leur part devrait progresser à 35 % l’an prochain. En fait, 54 % des sondés confessent avoir fait l’expérience d’au moins une attaque sur les postes de travail au cours des 12 derniers mois. Et dans 77 % des cas, il s’agissait d’une attaque sans fichier, ou d’un exploit inédit.

Malwarebytes, dans ses prévisions pour l’an prochain, ne dit pas autre chose : l’éditeur s’attend à une nouvelle progression des attaques mettant à profit PowerShell. Mais comme il le relève, ces menaces « peuvent aisément échapper aux moteurs antivirus ». Très critiques à l’égard des logiciels de protection du poste de travail (EPP) concurrentes, l’éditeur assurait récemment que « près de 40 % de toutes les attaques de maliciel nettoyées » par ses outils au premier semestre concernaient des machines équipées de plusieurs solutions de protection. Autrement dit : les autres logiciels installés échouaient dans leur mission. Malwarebytes propose aujourd’hui une carte en temps réel des détections de ce type d’incident.

Mais l’institut Ponemon ne dit en fait pas autre chose : seulement 31 % des sondés pour son étude estiment que leur antivirus existant peut stopper les menaces actuelles ; 53 % considèrent clairement que leurs solutions de protection en place ne protègent pas correctement des attaques. « En conséquence, une majorité de sondés indiquent que leurs entreprises investissent dans de nouvelles technologies », en remplacement ou en complément. Pacifica/Crédit Agricole Assurances a récemment fait ce choix, en misant sur SentinelOne.

Mais de nombreux acteurs s’attachent à protéger contre les attaques dites fileless, à commencer par Barkly, Carbon Black, Palo Alto Networks, ou encore Sophos, mais également Cybereason, Endgame et CrowdStrike, pour n’en citer que quelques-uns.  

Selon l’institut Ponemon, le coût moyen d’une attaque réussie sur les postes de travail s’élève cette année, outre-Atlantique, à 5 M$. Et cette somme trouve majoritairement son origine dans les pertes de productivité – tant de l’IT que des utilisateurs – et des indisponibilités. Ce qui ne manque pas de renvoyer à la question des coûts et délais de restauration des machines compromises par ransomware.