Etude Trend Micro Research : Cloud comme on-premise, tous les serveurs d’entreprise sont susceptibles d’être compromis et détournés par les cybercriminels.

Comprendre l'infrastructure qui se cache derrière les attaques cybercriminelles ciblant les serveurs permet de mieux détecter et stopper ces dernières.

Rueil-Malmaison, 24 septembre 2020 - Trend Micro Incorporated (TYO : 4704; TSE : 4704), spécialiste de la sécurité Cloud, publie ce jour le deuxième volet de son étude sur le marché des services d’hébergements souterrains. On y découvre que les serveurs compromis des administrations, qu’ils soient on-premise ou Cloud, sont détournés et loués dans le cadre d'un mécanisme sophistiqué de monétisation criminelle. Les résultats de l’étude alertent notamment sur l'activité d'extraction de crypto-monnaie.

Le cryptomining n’engendre pas de perturbations ou de pertes financières à lui seul. Toutefois, les logiciels de mining sont généralement déployés pour monétiser les serveurs inactifs compromis et les cybercriminels planifient des stratagèmes de plus grande ampleur pour générer des revenus additionnels. Cela inclut l'exfiltration de données critiques ou représentant une valeur marchande, la vente d'accès aux serveurs pour la réalisation d'autres types d’abus ou la préparation d'attaques ciblées par ransomware. Par conséquent, tous les serveurs contenant des cryptominers doivent être signalés pour déclencher à la fois une correction et une enquête immédiates.

« Hébergement dédié à toute épreuve aux services d'anonymisation, fourniture de noms de domaine, mise à disposition d’actifs légitimes compromis,… les réseaux clandestins disposent d'un éventail sophistiqué d'offres d'infrastructures permettant de prendre en charge des méthodes de monétisation de tous types », déclare Robert McArdle, Director of Forward-looking Threat Research (FTR), Trend Micro. « Notre objectif est de sensibiliser et de mieux aider à comprendre l'infrastructure cybercriminelle pour aider les forces de l'ordre, les entreprises et les chercheurs à bloquer les voies d’accès de la cybercriminalité et à augmenter les coûts pour hackers souhaitant les utiliser. »

L’étude Trend Micro Research répertorie les principaux services d'hébergement clandestins disponibles aujourd'hui et fournit des détails techniques sur leur fonctionnement, ainsi que sur la façon dont les cybercriminels les utilisent pour gérer leurs activités. Elle propose notamment une description détaillée du cycle de vie spécifique d'un serveur attaqué, de la compromission initiale à l'attaque finale.

Ne bénéficiant pas du même niveau de protection que les serveurs on-premise, les serveurs Cloud sont particulièrement exposés aux attaques et sont souvent détournés pour servir d’infrastructures d'hébergement clandestines.

« Qu’ils soient on-premise ou dans le Cloud, les actifs d'entreprise compromis peuvent tous être infiltrés et détournés. Or les serveurs les plus exposés sont bien sûr les plus susceptibles d’être exploités ! », poursuit Robert McArdle.

Les cybercriminels peuvent chercher à exploiter les vulnérabilités des systèmes d’exploitation, à utiliser des attaques par force brute pour obtenir les informations d'identification, et à déployer des malwares via des attaques de phishing. Ils peuvent même cibler des logiciels de gestion d'infrastructure afin d’obtenir les clés d’API Cloud, ce qui leur permet alors de créer de nouvelles instances de machines virtuelles ou de fournir des ressources additionnelles.

Une fois compromises, ces ressources de serveur Cloud sont susceptibles d’être vendues sur des forums clandestins, des places de marché illégales, voire même sur certains réseaux sociaux pour lancer des attaques.

Parmi les autres tendances émergentes couvertes par l’étude en matière de services d'infrastructure clandestine : l'abus des services de téléphonie et d'infrastructure par satellite ; l'informatique « parasite » proposée en location, y compris les accès distants RDP et VNC cachés.

Pour lire ce second volet de l’étude dans son intégralité : https://www.trendmicro.com/vinfo/fr/security/news/cybercrime-and-digital-threats/commodified-cybercrime-infrastructure-exploring-the-underground-services-market-for-cybercriminals