La Femme (ESET) – Une fois n’est pas coutume, en 2021 il est impossible de faire l’impasse sur les rancongiciels, partie émergée et « bouquet final » d’attaques toujours plus complexes et furtives. Nos chercheurs suivent les groupes d’attaquants opérant ces menaces de très près. Pour combattre les rancongiciels nous souhaitons aider les entreprises à agir en amont, en témoigne notre participation soutenue à Mitre et Att&ck. Ces dernières années nous y avons partagé nombre de marqueurs pour aider la communauté à se protéger.
En marge des rancongiciels, nous suivons les campagnes de cyber-espionnage et des TTPs qui y sont liées. Par exemple, s’introduire dans le serveur de messagerie d’une organisation donne accès à de nombreuses informations et potentiellement un accès administrateur. Notons deux événements majeurs en 2021, à date. Au début du mois de mars 2021, les vulnérabilités affectant MS Exchange (CVE-2021-26855 et suivantes) étaient toujours considérées comme des zéro day et utilisées par au moins 6 groupes d’attaquants. Malgré la réaction rapide de l’éditeur et la mise à disposition de correctifs, l’exploitation des failles s’est intensifiée. Notre télémétrie a relevé plus de 5000 serveurs concernés à travers le monde impactés par cette vulnérabilité RCE (Remote Code Execution) accessible avant toute authentification. Une exploitation réussie permet à l’attaquant d’installer des implants sur les serveurs : webshell, backdoors, RAT, qui outre l’accès complet au serveur permet d’exfiltrer les données qui y transitent. https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/ L’étude de ces attaques montre que l’exploitation de ces vulnérabilités sont opérées massivement par des modes opératoires habituellement tournés vers le cyber-espionnage : Tonto Team, Winnti Group, Calypso ou encore LuckyMouse (APT27).
L’exploitation des vulnérabilités liées aux serveurs et en particulier aux serveurs Exchange sont critiques. En août 2021, une backdoor jusqu’alors inconnue et nommée IISpy, est dévoilée par nos chercheurs. Installée comme une extension native pour IIS (Internet Information Service) effectue de nombreuses modifications sur le serveur pour échapper à la détection et assurer sa persistance. La backdoor possède de multiples fonctions, dont l’exfiltration de fichiers et des données, la rendant parfaite pour l’espionnage des conversations, sur les infrastructures MS Exchange + OWA, dont l’affichage d’Outlook en version web est assuré par IIS.
Pour terminer, nos équipes de cyber Threat intelligence se sont étoffées, nous amenant à multiplier les rapports sur des attaques de cyber-espionnage. Nous avons révélé des campagnes d’espionnage contre des ministères des affaires étrangères, des entreprises de télécommunications(1) ou encore de groupes ethniques spécifiques(2).
À propos d’ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.
Pour plus d’informations : www.eset.com/na/ Blog : www.welivesecurity.com/fr a
