Les attaques basées sur l’identité ont alimenté plus de la moitié des violations de sécurité l’année dernière, selon les recherches de Cisco Talos, fournissant aux attaquants un accès initial et des moyens valides pour le mouvement latéral.
L’abus d’un accès privilégié légitime est en augmentation, ce qui représente la majorité des infractions à la sécurité l’année dernière, avec des identités d’utilisateurs volés à effet de levier par des acteurs malveillants dans diverses parties de la chaîne d’attaque.
Plus efficace et plus difficile à détecter, les violations, y compris les extensions des ransomwares, ont été réalisées en volant divers types d’identifiants, y compris les informations d’identification traditionnelles de connexion, les jetons de session, les clés d’API et les certificats numériques, selon le rapport de revue de Cisco Talos 2024 dans le rapport.
L’équipe de réponse aux incidents de Cisco Talos a observé des compromis d’identité dans plus de 60% des cas qu’ils ont étudiés l’année dernière; Pour les incidents de ransomware, le taux était encore plus élevé, à 70%. Ceci est le résultat du déversement d’identification à partir de dispositifs et de techniques infectés visant à vaincre les implémentations d’authentification multi-facteurs (MFA).
«Difficile à prévenir et encore plus difficile à détecter, les attaques basées sur l’identité se sont révélées très efficaces en 2024, permettant aux adversaires de passer inaperçus pendant de plus longues périodes en utilisant des comptes valides compromis, renonçant à l’utilisation de logiciels malveillants détectables, et parfois conduisant à un accès sans entrée à des réseaux entiers», a écrit l’équipe Talos dans son rapport.
Obtention d’un accès initial avec des comptes valides
Les gangs de ransomware se distinguent pour leur utilisation approfondie des informations d’identification volées comme moyen d’accès initial aux réseaux d’entreprise. Ces groupes achètent souvent cet accès auprès d’acteurs de menace appelés courtiers d’accès initiaux (IAB) dans l’écosystème cybercriminal.
Selon l’accès, les acteurs expérimentés peuvent facturer entre 1 000 $ et 3 000 $ pour l’accès aux entreprises de haut niveau qui peuvent être extorquées entre 1 000 $ et 3 000 $.
Beaucoup de ces informations d’identification sont extraites d’ordinateurs à l’aide de logiciels malveillants dits d’infostaler, de programmes malveillants qui parcourent le système d’exploitation et des applications installées pour les noms d’utilisateur et les mots de passe enregistrés, les jetons de session de navigateur, les certificats SSH et VPN, les clés API, etc.
L’avantage de l’utilisation des informations d’identification volées pour un accès initial est qu’ils nécessitent moins de compétences par rapport à l’exploitation des vulnérabilités dans les applications confrontées à des applications ou à inciter les utilisateurs à installer des logiciels malveillants à partir de liens électroniques ou de pièces jointes – bien que ces méthodes d’accès initiales restent également populaires.
Selon le rapport, 20% des attaques de ransomwares ont impliqué l’exploitation des vulnérabilités connues et 12% reposaient sur des compromis en voiture. Le phishing reste également élevé sur la liste des méthodes d’accès initiales, observées dans près d’un quart de tous les incidents étudiés par l’équipe de réponse aux incidents de Talos l’année dernière.
Les attaquants continuent d’identifier les marques populaires dans leurs messages de phishing, avec Microsoft Outlook, Apple, LinkedIn, Amazon, PayPal, Shein, Prime et Netflix parmi les meilleures marques abusé. Mais davantage de services et de termes spécifiques à l’entreprise sont également fréquemment utilisés, notamment DHL Express, Confluence, SharePoint Online, WordPress, HR Department, DocuSign, Comptes à payable, support et admin.
Les liens malveillants sont de loin la méthode de phishing la plus populaire, utilisée par 58% des e-mails voyous, suivis des pièces jointes malveillantes (25%) et du phishing vocal (17%).
Mouvement latéral: tirer parti de l’accès privilégié pour agir à la vue
Une fois situés sur le réseau d’entreprise, les informations d’identification compromises permettent également aux attaquants d’étendre l’accès à d’autres systèmes internes avec une probabilité réduite d’être découverte ou déclenchée de détection de logiciels malveillants.
Selon Talos, près de la moitié des attaques d’identité étudiées ont ciblé Active Directory, avec 20% supplémentaires ciblant les applications cloud. Le vidage des informations d’identification stockés dans les magasins d’identification du système d’exploitation est une technique très populaire, comme en témoignent l’outil de décharge d’identification open-source Mimikatz étant le meilleur lolbin (vivant binaire-terre) observé par Talos IR lors de ses enquêtes.
Psexec, le deuxième lolbin le plus populaire, peut être utilisé pour exécuter des processus et ouvrir des coquilles de commande sur d’autres systèmes Windows à distance en utilisant des informations d’identification valides telles que celles extraites par Mimikatz. Les outils gratuits populaires maltraités dans les attaques incluent également des clients de bureau à distance tels que RDPCLIP, AnyDesk, SplashTop et RDP. Ceux-ci sont tous parfaits pour les mouvements latéraux, car ils ne sont pas par nature malveillants, mais des outils plutôt courants utilisés par les administrateurs système.
«Bien que la majorité des acteurs ciblent les informations d’identification dans la mémoire LSASS et Active Directory, nous avons également vu une variété d’autres techniques dans cette catégorie de menace, y compris les tentatives d’extraction des informations d’identification de la base de données du gestionnaire de compte de sécurité (SAM), tente d’accéder Variété de différents matériaux d’identification – que les adversaires peuvent obtenir avec l’accès du système à un hôte », a observé l’équipe Talos.
L’éducation, l’administration publique, la fabrication et les entités de santé ont connu le plus grand nombre d’attaques de ransomwares l’année dernière. Les organisations de ces secteurs ont tendance à avoir une segmentation du réseau plus faible et de grandes surfaces d’attaque en termes de nombre d’appareils et de serveurs, offrant aux attaquants plus d’occasions d’effectuer un mouvement latéral une fois qu’ils ont accédé à des identités valides.
«En août 2024, un client Cisco du secteur manufacturier a rapporté que plusieurs solutions de détection et de réponse (EDR) avaient été inattendues à partir de serveurs hébergés dans le centre de données géré de l’organisation, y compris deux contrôleurs de domaine, indiquant potentiellement que les acteurs de la menace avaient un accès complet au domaine Active Directory», a écrit les équipes TALOS. «Dans cette enquête, Talos IR a observé des preuves suggérant que l’acteur avait compromis le répertoire actif en préparation pour le déploiement de ransomwares. L’adversaire à levier Adexlorer, un utilitaire qui fait partie de la suite des outils administratifs sysinternaux, pour parcourir les différents domaines de l’environnement et déverser la base de données active.»
En tant que solution d’authentification et d’autorisation la plus utilisée dans l’entreprise IT, Active Directory (AD) est une mine d’or pour les attaquants. Il est essentiel pour les organisations de suivre les meilleures pratiques de l’industrie lors de la configuration et de la conception de politiques de sécurité pour Active Directory.
Accéder aux actifs cloud dans des environnements hybrides
L’infrastructure de la plupart des organisations s’étend au cloud, les services reliant Azure Active Directory aux installations d’annonces locales. Pour cette raison, les attaquants sont devenus appropriés à sauter des environnements cloud dans les réseaux locaux ou l’inverse, en étendant les types de références que les administrateurs doivent protéger en ajoutant des clés API et des jetons de session au mélange.
«Les acteurs qualifiés ont créé des outils disponibles gratuitement sur le Web ouvert, facile à déployer et conçu pour cibler spécifiquement les environnements cloud», ont révélé les chercheurs de Talos. «Certains exemples incluent RoadTools et AAainternals, des cadres accessibles au public conçus pour énumérer les environnements Microsoft Entra ID. Ces outils peuvent collecter des données sur les utilisateurs, les groupes, les applications, les directeurs de service et les appareils et exécuter des commandes.»
Ceux-ci sont souvent associés à des techniques conçues pour exploiter le manque de MFA ou du MFA à tort incorrect. Par exemple, les attaques de pulvérisation push, également connues sous le nom de bombardement MFA ou de fatigue du MFA, comptent sur le bombardement de l’utilisateur avec des notifications push MFA sur leur téléphone jusqu’à ce qu’elles soient ennuyées et approuvent la connexion en pensant que c’est probablement le système.
D’autres techniques impliquent de tromper les victimes pour inscrire un nouvel appareil approuvé par l’AMF sous leurs comptes, ou d’utiliser un kit de phishing qui proxy demande en temps réel sur le site Web légitime et demande à la victime de fournir le code MFA eux-mêmes.
Dans un exemple, Talos IR a enquêté, les attaquants ont compromis une université avec plus de 100 000 utilisateurs en trompant un administrateur système pour cliquer sur un lien d’authentification qui a ajouté l’appareil de l’attaquant à la liste approuvée par l’Université MFA. Les attaquants avaient déjà le nom d’utilisateur et le mot de passe de l’administrateur, probablement à partir d’une violation distincte ou d’un IAB.
Avec l’accès au compte de l’administrateur, les attaquants ont envoyé des e-mails de phishing très crédibles à d’autres utilisateurs de l’organisation. L’un des plus gros pièges dans cette affaire était que l’université comptait plus de 50 comptes avec des privilèges administratifs, qui étaient tous des entrepreneurs externes, augmentant considérablement les chances que l’on pourrait être compromis.
Avec la montée en puissance des chatbots Gen AI et des modèles de gros langues de plus en plus sophistiqués ces dernières années, les attaques de phishing deviennent de plus en plus variées, sophistiquées et plus difficiles à repérer, ce qui signifie que les attaques basées sur l’identité sont encore plus susceptibles de se produire. Selon Talos, l’ingénierie sociale a été l’utilisation la plus observée de l’IA pour les groupes de cyberespionnage parrainés par le cybercriminé et l’État l’année dernière.
Atténuations
« Nous observons fréquemment des comptes (c.-à-d. L’utilisateur, l’administrateur et le service) avec des privilèges excessifs ou incorrects, des comptes avec des mots de passe faibles ou par défaut, des architectures de réseau plat et un MFA manquant ou mal configuré », a déclaré l’équipe TALOS. «Nos recommandations pour atténuer les compromis Active Directory sont conformes aux stratégies de CISA pour atténuer les 17 techniques les plus courantes utilisées par les adversaires et les acteurs malveillants pour compromettre Active Directory.»
Étant donné qu’un nombre croissant d’attaques contre les organisations s’appuient sur des techniques basées sur l’identité, l’équipe TALOS conseille fortement d’activer le MFA pour les comptes et les services qui ne l’ont pas configuré. Par exemple, les comptes VPN d’entreprise manquent souvent de cette protection supplémentaire, basée sur les observations de Talos. Mais l’ajout de MFA ne suffit pas s’il n’est pas correctement configuré et que l’activité du compte n’est pas surveillée pour un comportement suspect.
L’éducation des utilisateurs sur les attaques d’épuisement du MFA et l’application des seuils d’invite MFA plus strictes par IP ou appareil sont également recommandés, ainsi que pour permettre des facteurs de sécurité plus élevés tels que l’authentification des défis-réponse où les utilisateurs sont également présentés avec des questions de sécurité auxquelles ils doivent répondre. Les organisations devraient également surveiller en permanence les nouvelles inscriptions de l’appareil MFA et appliquer des politiques plus strictes pour ces inscriptions si possible.
