A.I.R : Votre partenaire informatique et administratif sur l’Île de Ré
Dans le monde, plus de 3 000 cyberattaques rapportées dans la presse et/ou revendiquées sur des vitrines de franchises de ransomware ont été relevées, en date du 7 septembre 2023, pour l’année entamée. C’est déjà plus que pour l’ensemble de 2022. En France, elles étaient déjà 140 connues publiquement au 1er septembre – probablement seulement un dixième, environ, de la réalité.
Vous trouvez que c’est beaucoup ? Vous avez raison. Mais c’est vraisemblablement très peu, par rapport aux opportunités à disposition des cybercriminels.
Pour lancer leurs attaques, ils disposent, grosso modo, de quatre principaux vecteurs d’acquisition d’accès initiaux : les identifiants collectés dans le cadre d’opérations de phishing ; ceux obtenus par l’exécution d’un maliciel dérobeur, un infostealer ; une tête de pont, comme un cheval de Troie, installée par exemple via une pièce jointe malicieuse ; ou encore l’exploitation d’une vulnérabilité non corrigée sur un système exposé directement sur Internet, de préférence permettant l’accès à distance à des ressources d’un système d’information.
Pour les vulnérabilités, 2023 a été riche en opportunités. Des affidés de franchises telles que LockBit, Alphv/BlackCat ou encore le groupe Cl0p, pour ne citer qu’eux, s’en sont donnés à cœur joie. Côté têtes de pont, QakBot, avant la vaste opération lancée contre lui à la fin du mois d’août, ce n’était rien moins que 26 000 machines injectées en France, entre septembre 2022 et le 15 juin 2023.
Sur le front des infostealers, ce n’est guère mieux : près de 6 700 cas de compromission de PC connectés au seul réseau Renater entre le 1er janvier et le 7 septembre ! Les chiffres d’Hudson Rock sont encore plus effarants : plus de 25 400 PC affichant une adresse IP française, entre le 1er janvier et le 14 septembre, dont plus de 2 600 machines professionnelles.
En somme, le potentiel de nuisance n’est pas pleinement exploité. Pourquoi ? Assurément pas parce que les défenses sont trop robustes pour l’empêcher ou le détecter. Il est bien plus vraisemblable que les cybercriminels manquent de bras.
De fait, la monétisation d’un accès initial passe par sa vente à une franchise de rançongiciel ou des affidés qui se chargeront de lancer l’offensive. Mais cette vente ne survient que si l’accès est dûment qualifié et que l’organisation concernée s’avère alléchante.
Cette étape de qualification demande des recherches, du temps. Les courtiers en accès initiaux n’ont certes que ça à faire, mais encore faut-il qu’ils aient le temps de traiter tous les accès à leur disposition. Et qu’ils arrivent ensuite à séduire, comme tout bon commercial.
Vient ensuite la question des effectifs disponibles pour lancer les attaques : pourquoi un groupe ou un attaquant achèterait-il plus d’accès qu’il n’est en mesure d’en exploiter ? Conti a plus ou moins réussi à attirer et faire monter en compétences des nouvelles recrues pour renforcer ses effectifs. Mais probablement pas suffisamment pour faire croître significativement l’écosystème cybercriminel.
Certaines opérations peuvent s’industrialiser, comme Cl0p en a fait la démonstration avec les campagnes GoAnywhere, PaperCut ou encore MOVEit, mais ce n’est pas le cas de la plupart des cyberattaques avec extorsion. Loin de là.
Certains fins observateurs sont ainsi formels : « il y a tellement d’accès initiaux dans la nature qu’il n’y a pas assez de personnes pour les utiliser ». L’un des symptômes de la situation ? Des milliers de logs d’infostealers sont distribués gratuitement, chaque mois, sur des canaux Telegram spécialisés.
Clairement, de nombreuses victimes potentielles s’ignorent. Avec un peu de chance, les accès initiaux disponibles les concernant seront désuets – changements de mots de passe, déploiement de l’authentification à facteurs multiples (MFA), etc. – avant que quiconque ne s’y intéresse.
Face à cela, il est urgent d’améliorer une défense qui, dans toutes ses composantes, n’est manifestement pas au niveau. Un cybercriminel bien connu nous l’a d’ailleurs confié : « les attaques sérieuses ne peuvent être menées que par un très petit nombre de personnes ».
Nous ne spammons pas ! Consultez notre politique de confidentialité pour plus d’informations.
Vérifiez votre boite de réception ou votre répertoire d’indésirables pour confirmer votre abonnement.
Oui, ajoutez-moi à votre liste de diffusion.
Δ
Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.