D’après les infostelleurs marchandant l’accès initial à une approche plus ciblée des attaques de ransomware, les outils, les tactiques et les techniques malveillants des cybercriminels évoluent rapidement.
Les logiciels malveillants évoluent rapidement, tirés par les progrès de l’IA et les changements dans les infrastructures informatiques.
Les professionnels de la sécurité doivent continuellement s’enseigner sur ces tendances à se défendre contre les menaces de plus en plus sophistiquées.
Le jeu traditionnel de chat et de souris entre les attaquants de sécurité et les défenseurs a fait de plus en plus de nouvelles techniques en évolution et des approches moins efficaces qui ne sont pas dénuées de mode.
Voici un aperçu de ce qui se réchauffe dans le monde des logiciels malveillants – et de ce qui se refroidit.
Infostolers marchandissant l’accès initial
Les infostelleurs ont connu une croissance énorme récemment, avec une augmentation de 58% des tentatives d’infection d’une année à l’autre, selon le vendeur de cybersécurité Immersif.
Les logiciels malveillants tels que Lumma Stealer, Stealc et Risepro sont désormais responsables de 75% de toutes les références volées.
Les infostelleurs volent les cookies du navigateur, les références VPN, les jetons MFA (authentification multi-facteurs), les données de portefeuille crypto, etc. Les cybercriminels vendent les données que les infostelleurs saisissent sur les marchés Web sombres, ce qui permet aux attaquants un accès facilement aux systèmes d’entreprise.
«Ce quart de travail marchand de marchandises initiales, permettant aux objectifs de l’État-nation par des transactions simples plutôt que des attaques complexes», explique Ben McCarthy, ingénieur de cybersécurité en tête chez Immersive.
Packages malveillants ciblant les environnements de développeurs
Les acteurs de la menace compromettent systématiquement la chaîne d’approvisionnement des logiciels en intégrant du code malveillant dans des outils de développement légitimes, des bibliothèques et des cadres que les organisations utilisent pour créer des applications.
En 2024, les chercheurs ont trouvé 512 847 packages malveillants – une augmentation de 156% d’une année à l’autre – à travers les écosystèmes de développement de logiciels tels que le NPM, le PYPI et les plateformes d’IA comme HuggingFace.
Les ransomwares deviennent plus ciblés et sophistiqués
Le paysage des ransomwares a considérablement changé depuis que les forces de l’ordre ont réprimé les grands groupes comme Lockbit.
Les acteurs de menace de ransomware modernes tels que RansomHub et Akira favorisent désormais des attaques plus petites et très ciblées, en utilisant le ransomware comme étape finale après une infiltration complète et une exfiltration des données. Cela marque un passage des grèves larges et opportunistes aux campagnes concentrées et à grande valeur.
« Ces approches ciblées montrent une idée croissante des acteurs des acteurs sur les vulnérabilités spécifiques et leur volonté d’investir massivement dans la reconnaissance et le développement d’attaques sur mesure », les commentaires de McCarthy d’Immersif.
Ces groupes utilisent des techniques d’évasion avancées telles que les tactiques de vie (LOTL) et des outils d’administration légitimes pour rester cachés. Ils passent également du chiffrement des fichiers au vol de données et à l’extorsion, menaçant les fuites publiques aux victimes de pression.
«Il y a eu une augmentation notable dans l’utilisation des services basés sur le cloud et des plates-formes de gestion à distance dans le cadre des chaînes d’outils Ransomware», explique Jamie Moles, responsable du marketing technique principal chez Provider Extrahop de détection de réseau et de réponse. «Cela s’aligne sur une tendance plus large: plutôt que de s’appuyer uniquement sur les charges utiles traditionnelles de logiciels malveillants, les adversaires se tournent de plus en plus vers la maltraitance des plateformes de confiance et des techniques de« vie ».
Les soins de santé restent l’objectif supérieur des attaques de ransomwares, tandis que l’infrastructure critique fait face à des menaces croissantes à mesure que les attaquants exploitent l’urgence qui provoque des paiements de rançon rapides.
Des logiciels malveillants adoptant des techniques d’ingénierie sociale
Les cybercriminels adoptent de plus en plus Clickfix en tant que méthode de livraison de logiciels malveillants dans les attaques qui reposent sur des techniques d’ingénierie sociale pour infecter avec succès les dispositifs d’utilisateur final.
ClickFix informe les utilisateurs dans l’exécution du code malveillant – généralement un script PowerShell – sur leurs propres systèmes.
Clickfix est une menace croissante qui tire parti de la fatigue croissante des utilisateurs pour devoir sauter dans les cerceaux en ligne pour «prouver que vous êtes humain».
En détournant la confiance dans les processus CAPTCHA familiers, les acteurs de la menace font que les utilisateurs participent activement à leur propre compromis – copier et coller des commandes malveillantes dans leurs systèmes sous le couvert d’une vérification simple.
«Au cours de la dernière année, nous avons vu cette technique gagner une traction sérieuse sur les sites de phishing, des pages Web compromises et des campagnes d’ingénierie sociale», explique Jim Walter, chercheur principal à Sentinellabs. «C’est simple, efficace et de plus en plus courant.»
Les CISO doivent se méfier de la menace car elle contourne de nombreuses méthodes de détection traditionnelles en s’appuyant sur le comportement humain plutôt que sur les vulnérabilités du système.
«La sensibilisation, le durcissement des politiques d’exécution des points finaux et le déploiement d’outils de détection comportementale sont essentiels pour contrer cette vague de livraison de logiciels malveillants», conseille Walter.
Malware ciblant les utilisateurs de MacOS Enterprise
Certains fournisseurs de sécurité signalent une forte augmentation des campagnes de logiciels malveillants ciblant les utilisateurs de MacOS dans l’entreprise.
Par exemple, l’infosaler atomique se propage à travers de fausses versions d’applications d’entreprise bien connues, pas seulement les jeux craqués habituels ou les outils de consommation qui ont longtemps été un mal de tête de sécurité.
Bien que les ransomwares et les infosteaux restent à l’avant-garde des menaces actives, il y a eu une baisse de l’utilisation des logiciels malveillants et des techniques de piratage de matières premières plus anciennes.
Mécanismes de détection d’échange de logiciels malmorphes
PolymorphicMalware modifie automatiquement son code chaque fois qu’il reproduit ou infecte un nouveau système, ce qui rend difficile les méthodes de détection basées sur la signature pour l’identifier.
Ce type de logiciels malveillants est difficile pour les logiciels antivirus de détecter et pour les chercheurs en sécurité à analyser.
Alex Hinchliffe, chercheur principal des menaces à l’unité 42, le bras de l’intelligence de la menace et de la réponse aux incidents chez Palo Alto Networks, a déclaré: «Les mécanismes de détection très basiques ou spécifiques, tels que les scanners à base de hachage, sont contrecarrés par le polymorphisme, mais il vaut la peine de noter une nouvelle imprimée divine unique. Les outils de compresseur, de packer et de protecteur disponibles dans le commerce, qui peuvent être appliqués à un programme compilé, et le «même» programme produira encore plus de variations et de permutations de la même empreinte digitale. »
Les logiciels malveillants polymorphes utilisent également souvent le cryptage pour masquer sa charge utile, compliquant davantage la détection et l’analyse.
Techniques de logiciels malveillants dépréciés
Certaines tendances notables reflètent un «ralentissement» concernant les deux types de logiciels malveillants et les techniques de piratage qui sont tombées hors de la mode, principalement parce que leur efficacité a diminué en raison des progrès des défenses et des pratiques de sécurité.
Par exemple, les acteurs de la menace s’appuient davantage sur des outils d’administration légitimes (tels que Sysinternals Suite et des binaires vivant et lolbins) pour l’évasion et la persistance de la défense, et moins sur des exécutables malveillants.
«Sur le front de l’outil de piratage, nous avons observé une diminution de l’utilisation de suites à outils plus complètes comme la grève de Cobalt et le ruban», explique Lindsey Welch, écrivain technique chez Huntress du fournisseur de détection et de réponse gérée. «Cependant, les acteurs de la menace continuent d’utiliser des outils spécialisés comme Mimikatz et CrackMapexec pour des fonctionnalités comme le reniflement de mot de passe, le dumping de la mémoire, l’escalade des privilèges et le mouvement latéral.»
D’autres techniques autrefois populaires qui ont chuté incluent:
- Vers de réseaucomme Conficker, car les réseaux modernes comportent désormais une segmentation, des correctifs automatisés et de fortes défenses de point final, qui limitent toutes la propagation des vers
- Botnets traditionnels
- Exploiter les kitsqui étaient autrefois une méthode répandue pour fournir des logiciels malveillants par le biais d’attaques Web en scannant les systèmes d’utilisateurs pour des vulnérabilités connues dans des logiciels comme Adobe Flash, Java ou Internet Explorer, puis exploiter ces faiblesses pour installer des logiciels malveillants
- Macros de bureau
- Malware basé sur l’USB
