La cybercriminalité en 2020: Emotet

Les menaces qui combinent attaques de la chaîne d’approvisionnement et exploitation de vulnérabilités spécifiques sont particulièrement insidieuses – à l’image de la vague d’attaques d’Emotet qui touche de nombreuses entreprises en Suisse depuis l’automne dernier. Ce type d’attaques montre à quel point les cybercriminels professionnels utilisent désormais des stratégies sophistiquées. Depuis sa découverte par Trend Micro en 2014, Emotet fait sans cesse la une des médias car ce logiciel malveillant est considéré comme particulièrement nocif et fait l’objet d’un développement continu. En cinq ans seulement, il est devenu l’une des cybermenaces les plus graves, les attaques pouvant coûter jusqu’à un million de dollars en processus de récupération des systèmes.

Des cybercriminels expérimentés

Selon les experts, le succès des attaques perpétrées contre les PME par les pirates à l’origine d’Emotet s’explique car ils ont engrangé au moins dix ans d’expérience en malwares bancaires et vols de données. D’autre part, leurs tactiques sont spécifiquement adaptées aux PME et ils travaillent probablement avec d’autres groupes tout aussi spécialisés pour tirer le maximum de profit de leurs attaques.

En plus de sa fonction de cheval de Troie bancaire, Emotet récolte aussi des e-mails dans Outlook. Le malware espionne les carnets d’adresses électroniques et les communications mail de ses victimes. D’une part, les adresses sont utilisées pour diffuser Emotet par le biais de spams que les cybercriminels affinent constamment à l’aide des courriers électroniques interceptés. D’autre part, les entreprises concernées signalent également une augmentation des tentatives de phishing et d’arnaques au CEO après l’infection par Emotet. Cela indique que ces données sont également revendues à d’autres criminels spécialisés dans ce type d’escroquerie.

Les manœuvres d’attaque peuvent être complétées par le malware Trickbot, exploité par un autre groupe de hackers. Cheval de Troie qui vole des informations, Trickbot est responsable de la diffusion de données à travers le réseau, en profitant entre autres de la vulnérabilité EternalBlue. Cette dernière permet aux auteurs de ces actes d’espionner davantage le système ciblé pour décider si une attaque manuelle est utile et, le cas échéant, la mener à bien.

C’est finalement au tour du ransomware d’intervenir

Les attaquants collaborent ensuite avec un groupe qui utilise le rançongiciel post-intrusion RYUK. Ce groupe préfère s’attaquer aux entreprises de taille moyenne qui ont déployé des réseaux plats. Pendant plusieurs semaines, les criminels explorent le réseau par des mouvements latéraux pour identifier tous les points faibles, avant de supprimer les sauvegardes et contourner les mesures de sécurité. Ils déploient ensuite leur rançongiciel simultanément dans tous les services critiques. De nombreuses entreprises n’ont alors souvent pas d’autre choix que de payer une rançon. C’est toutefois fortement déconseillé. Même si les victimes répondent aux demandes, il n’est pas garanti qu’elles récupéreront leurs données. Et aussi longtemps que le chantage des criminels fonctionnera, ils continueront.

Mesures de protection

Détecter et contrer à temps des attaques aussi sophistiquées menées par des cybercriminels professionnels est un défi majeur. Afin d’identifier où l’attaque a commencé et comment elle s’est propagée par la suite, il est crucial de corréler les indicateurs provenant séparément des clients, des serveurs et du réseau. Pour obtenir une telle vue d’ensemble, un seul outil n’est généralement pas suffisant. Il convient plutôt d’adopter une stratégie de sécurité globale en associant plusieurs outils.

----------

Nous voulons offrir une protection aussi flexible que possible

Avec Cloud One, le fournisseur japonais Trend Micro souhaite proposer une solution de sécurité informatique à partir du cloud. La plateforme offre une protection flexible et facile à automatiser. Michael Unterschweiger, directeur régional Suisse & Autriche de la société, présente les ­caractéristiques de cette offre ainsi que la future roadmap. Interview: Colin Wallace

Trend Micro fournit des services de sécurité dans le cloud depuis une décennie. Pourquoi «Cloud One» n’arrive que maintenant?

Trend Micro a été l’un des premiers à proposer des solutions de sécurité dans le cloud. Ces dernières années, nous n’avons cessé d’élargir notre offre dans ce domaine – et cela a porté ses fruits: tout récemment, le cabinet d’analystes IDC nous a reconnus dans une étude comme le leader mondial du marché de la sécurité des workloads cloud. L’offre Cloud One arrive maintenant, parce que les infrastructures arrivent à maturation. La plateforme s’adresse aux entreprises qui souhaitent développer et déployer leurs propres applications dans le cloud. Ce type de développement étant maintenant arrivé dans de nombreuses entreprises, nous avons décidé de leur proposer des fonctions et des solutions spécifiques.

Pourquoi les entreprises qui ont déjà adopté de nombreux outils de sécurité devraient-elles passer à cette nouvelle solution?

De nombreuses solutions de sécurité cloud sont rigides et difficiles à gérer et à déployer. De plus, la transparence est souvent insuffisante pour gérer les risques à court terme. Avec Cloud One, nous voulons offrir une protection aussi flexible que possible, facile à automatiser et qui allège la charge des utilisateurs. Peu importe que nos clients aient déjà migré tous les processus complètement vers le cloud ou qu’ils soient encore en train de le faire. Nous leur facilitons par ailleurs le pilotage de leurs solutions: ils bénéficient d’une connexion unique pour tous les services, d’une gestion partagée des utilisateurs et des services cloud, d’une console d’administration centrale et d’un modèle de tarification et de facturation uniforme. Tout cela leur permet de se concentrer sur l’essentiel: développer les meilleures applications possibles, les plus efficaces et les plus sûres.

Vous démarrez Cloud One avec trois services intégrés. Pourquoi des services comme la Container Image Security ne sont-ils pas intégrés dès le début?

Nous offrirons trois services entièrement intégrés durant le premier trimestre 2020: la sécurité des charges de travail, la sécurité du réseau et la protection des applications. Les autres composants seront, dans un premier temps, disponibles sous forme de solutions autonomes et seront ensuite entièrement intégrés dans Cloud One en cours d’année. Pour offrir ces services supplémentaires, nous nous sommes associés à des partenaires particulièrement innovants et performants: d’une part, nous avons conclu un partenariat stratégique avec Snyk, un fournisseur de sécurité open source. Ensemble, nous aidons les développeurs à surmonter les défis posés par les vulnérabilités du code open source. D’autre part, nous avons repris Cloud Conformity en octobre dernier. Ainsi, nous pouvons désormais proposer une gestion de CSPM (Cloud Security Posture Management) et résoudre les problèmes de sécurité souvent négligés causés par la mauvaise configuration des infrastructures cloud.

Comment comptez-vous continuer à élargir votre gamme de produits?

Les cyberattaques devenant de plus en plus sophistiquées, il est important que les entreprises reconnaissent les attaques réussies contre leurs systèmes, y répondent et les neutralisent. Ils ne doivent pas seulement se concentrer sur les terminaux, mais aussi couvrir d’autres vecteurs d’attaque répandus tels que le courrier électronique, les réseaux, les serveurs et les infrastructures cloud (hybrides). Avec notre plateforme XDR, nous rendons cela possible. Dans les mois à venir, nous y intégrerons de plus en plus nos solutions afin de donner à nos clients l’aperçu le plus complet possible de la sécurité de leurs systèmes.