A quelle(s) sauce(s) les hackers vont-ils prochainement manger les entreprises ? C’est une question qui permet de se préparer aux attaques à venir, comme celles des malwares sur les réseaux satellitaires que Fortinet évoque dans ses prévisions, synthétisées ici.
Un ransomware de plus en plus nuisible
le crimeware devrait s’étendre et le ransomware restera une préoccupation majeure à l’avenir. Les auteurs d’attaques par ransomware n’hésitent pas à associer ce malware à des attaques de type DDoS (distributed denial-of-service) pour tenter de submerger les équipes IT et les empêcher d’agir en temps réel pour juguler l’impact d’une attaque en cours. Le choix d’un malware avec un compte à rebours, capable de supprimer des données, voire de détruire un système, crée un sentiment d’urgence qui devrait inciter les entreprises à régler la rançon exigée par les cybercriminels. Les malware de suppression de données, appelés wiper malware, ont fait un retour visible, en ciblant les Jeux Olympiques de Tokyo notamment. Compte tenu de la convergence entre les méthodes d’attaque des cybercriminels et les menaces APT, ce n’est qu’une question de temps avant que des fonctions de suppression de données ne soient ajoutées aux toolkits des ransomware. Une vraie problématique pour les environnements edge émergents, les infrastructures critiques et les chaînes collaboratives.
Les cybercriminels tirent parti de l’IA pour optimiser les usurpations d’identité
L’intelligence artificielle (IA) est déjà utilisée par les lignes de défense, notamment pour détecter des comportements suspects généralement associés à des botnets. Les cybercriminels utilisent également l’IA pour contourner les algorithmes complexes qui permettent de détecter les activités suspectes. Dans le futur, les tentatives d’usurpation devraient évoluer : l’IA sera utilisée pour simuler des activités humaines ou pour optimiser les techniques d’ingénierie sociale. De plus, ces usurpations seront de plus en plus simples à réaliser grâce à la disponibilité d’applications sophistiquées. On peut donc s’attendre à des usurpations en temps réel sur les applications voix et vidéo, capables de déjouer les analyses biométriques : un défi pour les formes d’authentification sécurisée de type empreinte vocale ou reconnaissance faciale.
Davantage d’attaques sur les systèmes moins ciblés de la chaîne collaborative
Au sein de nombreuses infrastructures, Linux équipe des systèmes back-end. Cet OS, jusqu’à récemment, n’était pas vraiment une cible pour les attaques. Cependant, de nouveaux malware ciblent WSL (Windows Subsystem for Linux) de Microsoft, qui est une couche de compatibilité permettant d’installer des exécutables Linux sur Windows 10, Windows 11 et Windows Server 2019. De plus, des botnets existent pour les plateformes Linux. La surface d’attaque s’étend ainsi vers le cœur de réseau et renchérit le nombre de menaces contre lesquelles lutter. Ceci impacte les dispositifs OT et les infrastructures utilisant des plateformes Linux.
La cybercriminalité s’en prend aux liaisons spatiales
FortiGuard Labs s’attend à des menaces ciblant les réseaux satellitaires au cours de l’année prochaine, puisque l’accès à Internet par satellite est un domaine en expansion. Les cibles principales seront les entreprises utilisant des liaisons satellitaires à faible latence dans le cadre de leurs activités : jeux en ligne, fourniture de services critiques sur des sites distants (bureaux sur le terrain, pipelines, croisières, avions, etc.). La surface d’attaque potentielle s’étendra puisque les entreprises ajouteront des réseaux satellitaires pour connecter leurs systèmes autrefois hors ligne (dispositifs OT par exemple) à leurs réseaux. Il est probable que ceci ouvre la voie à des attaques et menaces comme le ransomware.
Gare aux portefeuilles numériques !
Le détournement de transferts bancaires est devenu complexe pour les cybercriminels, puisque les institutions bancaires chiffrent les transactions et utilisent l’authentification multifactorielle. Les portefeuilles numériques, en revanche, sont moins sécurisés. Ceux des individus ne sont peut-être pas très garnis, mais on note que les entreprises sont plus nombreuses à opter pour ce moyen de paiement pour leurs transactions en ligne. On peut donc s’attendre à de nouveaux malware qui s’en prendront spécifiquement aux identifiants de connexion pour ainsi siphonner les portefeuilles numériques.
L’e-sport est également une cible
L’e-sport regroupe des compétitions multi-joueurs en ligne, avec souvent des joueurs et des équipes professionnels. Ce secteur florissant, qui devrait peser 1 milliard de $cette année, est une cible séduisante pour les cybercriminels et leurs attaques DDoS, ransomware, détournements de données financières et transactionnelles et attaques d’ingénierie sociale. En effet, cette activité nécessite une connectivité constante et utilise souvent des réseaux résidentiels à la sécurité aléatoire, ou un accès wi-fi ouvert. Compte tenu de la nature interactive du jeu, l’e-sport est également la cible d’attaques par ingénierie sociale. La croissance soutenue de l’e-sport et des jeux en ligne en font des cibles privilégiées pour des attaques d’envergure en 2022.
Les cybercriminels capitalisent sur les ressources légitimes présentes sur les edges
Une nouvelle menace se propage au niveau des edges réseau : le « Living off the land » (LotL), à savoir la capacité d’un malware à tirer parti d’outils, de fonctions et de ressources présents au sein des environnements compromis, pour permettre aux attaques et aux exfiltrations de données d’apparaître comme des activités système légitimes qui n’attirent pas l’attention. Les attaques Hafnium sur les serveurs Microsoft Exchange ont adopté cette technique pour s’établir durablement au sein des contrôleurs de domaines. Les attaques LotL s’avèrent efficaces puisqu’elles utilisent des outils légitimes pour mener leurs activités malveillantes. L’association du LotL et des chevaux de troie EAT (Edge-Access Trojans) pourrait aboutir à de nouvelles attaques prospérant au niveau de l’edge et tirant parti de dispositifs edge plus puissants, dotés de fonctions natives et de privilèges plus élevés. Les malware edge pourraient surveiller les activités et données au niveau des edges, détourner des données et même prendre des systèmes critiques, applications et informations critiques en otage, tout en évitant de se faire détecter.
Le Dark Web favorise l’évolutivité des attaques sur des infrastructures critiques
Les cybercriminels savent qu’ils peuvent monétiser leurs malware sous forme de services en ligne. Pour se distinguer d’outils similaires, ils auront tendance à inclure les attaques sur les systèmes OT dans leur service, d’autant plus que la convergence de l’OT et de l’IT est une réalité au niveau de l’edge. La prise en otage de tels systèmes critiques peut s’avérer particulièrement lucrative, mais avec de lourdes conséquences sur les vies et la sécurité des individus. Les réseaux étant toujours plus interconnectés, tous les points d’accès sont des cibles potentielles vers le réseau IT. Traditionnellement, les attaques sur les systèmes OT étaient l’apanage de cybercriminels expérimentés, mais ce savoir-faire est de plus en plus intégré aux kits d’attaque disponibles à l’achat sur le Dark Web, ce qui les met à disposition de davantage d’assaillants.
