Les cybercriminels recourent aux outils licites pour leurs attaques par ransomwares

Rueil-Malmaison, le 25 mai 2021 - Trend Micro Incorporated (TYO: 4704; TSE: 4704), entreprise japonaise parmi les leaders mondiaux en matière de sécurité du Cloud, publie les résultats d’une nouvelle étude recensant certains des outils licites les plus couramment détournés par les attaquants pour dissimuler leurs attaques par ransomware : « Locked, Loaded and In the Wrong Hands: Legitimate Tools Weaponized for Ransomware in 2021 ».

« Nous avions anticipé que les ransomwares deviendraient plus sophistiqués et ciblés cette année ; cela s'est malheureusement avéré », commente Renaud Bidou, Directeur Technique Europe du Sud chez Trend Micro. « Dans le cadre de leurs tentatives d’intrusions, réalisées en plusieurs étapes, les cyberattaquants s’appuient actuellement sur des outils licites, ce qui leur permet de rester à l'abri des contrôles de sécurité traditionnels. En sensibilisant grâce à des études telles que celle-ci et en fournissant une détection et une réponse avancées via sa nouvelle plate-forme Vision One, Trend Micro continue de soutenir les entreprises mondiales contre des adversaires agiles et déterminés. »

Parmi les outils licites passés en revue dans l’étude, figurent notamment :

• Cobalt Strike : outil de simulation d’attaque utilisé comme cheval de Troie distant (RAT pour Remote Access Trojan) permettant d’effectuer des mouvements latéraux et de mettre en place une backdoor.
• PsExec : destiné à exécuter des processus sur d'autres systèmes, mais utilisé de manière abusive pour l'exécution de commandes arbitraires et les mouvements latéraux.
• Mimikatz : utilisé par les attaquants pour exfiltrer des informations d’authentification.
• Process Hacker : initialement conçu pour la surveillance, le débogage et la détection de malwares, il est souvent utilisé par les cybercriminels pour bloquer le fonctionnement de certains processus et services, dont les antimalwares.
• AdFind : un utilitaire de recherche Active Directory (AD) utilisé de manière abusive pour la découverte d’AD avant un mouvement latéral.
• MegaSync : outil de synchronisation basé sur le Cloud utilisé par les attaquants pour l'exfiltration de données.

Trend Micro a constaté une augmentation de 34% du nombre de nouvelles familles de ransomwares en 2020, les cybercriminels se tournant vers des modèles « as a service » pour s'enrichir plus rapidement. L'utilisation croissante de méthodes par « double extorsion », qui impliquent le vol de données parallèlement au chiffrement habituel des fichiers, représente une nouvelle escalade dangereuse qui expose les organisations à des dommages financiers et liés à la perte de réputation.

Dans le cadre de leur analyse mensuelle des menaces, les experts de Trend Micro Research ont constaté que les attaquants restaient fidèles à certaines pratiques. Bien que la détection de familles de malwares ait connu une légère baisse en mars 2021 (1,1 million au total, soit - 8% par rapport au mois de février), les campagnes de malwares liées à EMOTET, RYUK ou TRICKBOT sont en effet restées actives. La France figure dans le top 5 des pays où le taux de détection de malwares (3,8%) est le plus élevé.

Afin de permettre une détection et une réponse aux menaces encore plus rapide, Trend Micro a lancé récemment sa plateforme Trend Micro Vision One^TM. Corrélant les données des différentes couches (Endpoints, messagerie, serveurs et instances Cloud et réseaux), celle-ci hiérarchise les alertes et offre une visibilité centralisée des risques.