2024-05-08 00:30:22
SAN FRANCISCO — Lors d’une session RSA 2024 mardi, Alex Stamos de SentinelOne a averti que les acteurs des ransomwares exploitaient davantage d’outils logiciels commerciaux plutôt que de logiciels malveillants en raison du succès des produits de détection et de réponse des points finaux.
Stamos, directeur de la confiance chez SentinelOne, a présenté une session intitulée « Global Threat Aperçu » au cours de laquelle il a discuté des conflits géopolitiques, de la course aux cyber-armes, des réglementations politiques, de l’IA générative et de l’évolution continue des ransomwares. En plus de tactiques d’extorsion plus effrontées et d’une diminution du déploiement de ransomwares, SentinelOne a également observé que les acteurs malveillants utilisent de plus en plus des techniques de vie hors de la terre (LOTL) pour éviter d’être détectés.
“Si vous avez des ordinateurs, si vous avez de l’argent, alors vous allez être attaqué par un ransomware”, a déclaré Stamos lors de la session. “D’un point de vue technologique, ces acteurs ont changé leur modèle. Je pense que cela est dû en grande partie au succès de l’EDR.”
SentinelOne a observé que les auteurs de ransomwares utilisent désormais moins de logiciels malveillants personnalisés et exploitent davantage de logiciels commerciaux et d’outils de gestion des employés à distance lors des attaques pour éviter les outils de détection et rester cachés à l’intérieur des réseaux. L’utilisation de tactiques LOTL est une tendance croissante dans le paysage des menaces. Les agences américaines et Microsoft ont souligné le risque LOTL pour les organisations d’infrastructures critiques lors d’une autre session de la conférence RSA 2024 lundi autour de l’acteur de menace d’État-nation chinois que Microsoft suit sous le nom de Volt Typhoon.
Au cours de la séance de mardi, Stamos a souligné l’ampleur du problème des attaques de ransomwares. Lors d’une enquête de réponse à un incident, Stamos a observé que les attaquants avaient implanté 12 portes dérobées différentes au sein de l’organisation victime. Onze de ces portes dérobées étaient des outils commerciaux que les attaquants achetaient ou utilisaient des offres d’essai gratuit de 30 jours.
Stamos a souligné que les attaquants ont adapté leurs tactiques car il est plus difficile pour les entreprises de détecter les outils commerciaux que les logiciels malveillants personnalisés, plus susceptibles de déclencher des alertes d’activité suspecte dans les produits EDR.
La course aux cyber-armes en cours a également contribué à l’évolution des ransomwares, a déclaré Stamos, à mesure que les exploits zero-day et les « cyber-armes » sont devenus plus courants.
“La course aux cyber-armes au plus haut niveau rend le monde entier plus dangereux parce que ces armes tombent du ciel et que de temps en temps, tout le monde prend un ransomware ou n’importe quel acteur qui n’a pas d’argent pour l’inventer lui-même”, il a dit.
Un autre problème qu’il a abordé était l’expansion de la surface d’attaque. Stamos a souligné que la plupart des entreprises disposent de surfaces d’attaque complexes, difficiles à comprendre et à naviguer. Il a déclaré que les acteurs de la menace s’attaquent à tout système vulnérable qu’ils trouvent, puis décident s’il s’agit d’une victime qui mérite d’être attaquée.
Malgré l’expansion des surfaces d’attaque, Stamos a déclaré que Microsoft était le vecteur populaire et a cité Microsoft Exchange comme la principale cible de 2023. “Voici un conseil : n’utilisez jamais un produit Microsoft que Microsoft lui-même n’utilise plus. C’est un mauvais signe. Microsoft Exchange entrerait très clairement dans cette catégorie de produit que vous ne devriez pas utiliser vous-même”, a-t-il déclaré.
Il a ajouté que les attaquants sont de plus en plus efficaces pour cibler la chaîne de destruction uniquement pour atteindre Microsoft. Et dans certains cas, les entreprises sont extrêmement vulnérables car de nombreuses mesures d’atténuation échappent à leur contrôle.
“Nous avons découvert la semaine dernière qu’il existait un point de terminaison de l’API Microsoft graph qui n’avait aucune limite de débit, donc les gens pulvérisaient des mots de passe sans qu’aucune sorte d’alerte ne vous parvienne. Vous n’auriez jamais pu arrêter cela. “
Brian Reed, évangéliste en matière de cybersécurité chez Proofpoint, a déclaré à TechTarget Editorial que les attaquants ciblent constamment Microsoft parce que leurs produits sont très largement déployés dans le paysage. Cependant, il a déclaré qu’il était contre-productif de nommer et de faire honte à Microsoft, car cela pourrait conduire l’entreprise à être encore moins transparente sur les incidents de sécurité et les vulnérabilités.
Les outils GenAI fonctionnent
Stamos a déclaré que l’IA générative peut aider les entreprises à se défendre contre ces menaces évolutives. Par exemple, les outils d’IA peuvent contribuer à remédier à la pénurie de main-d’œuvre et à empêcher les entreprises de fonctionner 24 heures sur 24 et à l’échelle mondiale. Il a souligné que, dans l’ensemble, l’IA générative a été plus importante pour les défenseurs que pour les attaquants.
“C’est un gros avantage. Cela peut rendre le SOC [Security Operations Center] analystes, travailleurs individuels plus efficaces. Cependant, les méchants vont y arriver”, a-t-il déclaré.
Il a averti que chaque entreprise est une cible pour les attaquants, mais que celles qui opèrent en Chine devraient être particulièrement préoccupées. Stamos a ajouté que la Chine est devenue meilleure que n’importe quel autre pays dans l’art de combiner sécurité humaine et cybersécurité pour mener des attaques réussies.
Concernant les recommandations d’atténuation, Stamos a conseillé aux entreprises de regrouper toutes leurs données au même endroit et de surveiller les activités suspectes dans les journaux corrélés.
« Du point de vue de la sécurité de l’entreprise, pour toute organisation de taille raisonnable, il faut assumer une violation. »
Arielle Waldman est une journaliste basée à Boston qui couvre l’actualité de la sécurité des entreprises.
#SentinelOne #les #acteurs #ransomware #sadaptent #lEDR
1715119466
