Le rapport 2023 Cloud Threat Landscape Report dIBM X-Force indique que les identifiants vols sont les produits les plus vendus sur les marchs criminels du dark web, reprsentant prs de 90 % des biens et services en vente. Des informations didentification valides sont le vecteur daccs initial le plus courant dans les atteintes la scurit du cloud, dans 36 % de tous les cas auxquels lquipe X-Force IR a rpondu au cours dune priode de 13 mois.
Les acteurs de la menace qui cherchent pntrer un rseau ou s’enfoncer plus profondment dans l’environnement d’une victime le font souvent en utilisant des informations d’identification lgitimes, soit dcouvertes au cours d’une attaque, soit recueillies avant de cibler une victime spcifique. Dans les cas o l’infrastructure en cloud fait partie de la surface d’attaque, ces identifiants peuvent tre utiliss pour accder des ressources spcifiques au cloud sans veiller les soupons.
Dans de nombreux cas, les criminels n’ont mme pas besoin de dbourser 10 dollars. X-Force a galement dcouvert des identifiants en clair sur les terminaux des utilisateurs dans un tiers (33 %) de tous les incidents lis au cloud computing auxquels elle a rpondu. Le rapport annuel est bas sur les renseignements sur les menaces de X-Force, les tests de pntration, les missions de rponse aux incidents et lanalyse du dark web (certains fournis par Cybersixgill), tous collects et compils entre juin 2022 et juin 2023.
En particulier, il y avait une frquence leve d’identifiants de comptes de service stocks sur des terminaux, et beaucoup d’entre eux taient surprivilgis. Les utilisateurs ayant de grands privilges peuvent tre dfinis comme ceux qui ont plus d’autorisations qu’ils n’en ont besoin pour effectuer leur travail ou leur tche. Les informations d’identification compromises ont t l’origine de plus d’un tiers des incidents lis au cloud observs par l’quipe X-Force, ce qui suggre que les entreprises doivent trouver un quilibre entre les besoins d’accs des utilisateurs et les risques de scurit.
C’est un chiffre terriblement lev par rapport ce que le secteur devrait savoir ce stade sur la conservation des secrets et des mots de passe en particulier , a dclar Chris Caridi, analyste des cybermenaces chez IBM X-Force, auteur du rapport 2023 Cloud Threat Landscape Report (rapport sur les menaces lies au cloud).
la lumire de ces autres statistiques, il n’est peut-tre pas trop surprenant que des informations d’identification valides soient le vecteur d’accs initial le plus courant dans les atteintes la scurit du cloud, dans 36 % de tous les cas auxquels l’quipe X-Force IR a rpondu au cours d’une priode de 13 mois.
Il illustre la faon dont les organisations sont devenues meilleures dans certains domaines comme la scurit des points d’accs. En rponse, les cybercriminels ont trouv un point d’entre diffrent et plus efficace pour pntrer dans les environnements informatiques des entreprises : le cloud.
Selon John Dwyer, responsable de la recherche chez X-Force, en 2020, les courtiers d’accs initiaux vendaient principalement des accs via des terminaux compromis.
Au cours des trois dernires annes, nous avons constat une augmentation des investissements dans la scurit des terminaux , a dclar Dwyer. Nos clients se sont amliors dans la dtection des portes drobes, qui sont directement lies aux attaques bases sur l’extorsion. Il est donc intressant de constater que l’cosystme criminel se tourne vers les informations d’identification comme vecteur d’accs pour poursuivre ces oprations criminelles.
La migration rapide vers l’informatique dmatrialise en 2020 est galement en jeu, car les entreprises se sont empresses de s’adapter au travail domicile induit par la pandmie. Si les entreprises ont rapidement adopt l’infrastructure en cloud, nous n’avons pas vu le mme type d’adoption avec une posture de scurit spcifique au cloud , a dclar Dwyer. Les cybercriminels sont trs attentifs l’endroit o ils peuvent accder, et c’est souvent par le biais de l’informatique en cloud en raison de son expansion rapide et de sa complexit.
Cela souligne galement la ncessit d’une meilleure gestion de l’identit et de l’accs dans le cloud, ce que d’autres analystes et chercheurs en scurit ont not, soulignant la prolifration des services en cloud et les autorisations qui y sont attaches.
Nombre total de vulnrabilits lies au cloud recenses par X-force
Conformment aux observations de l’quipe X-Force, la Cybersecurity and Infrastructure Security Agency (CISA) et le FBI ont publi un avis commun au dbut de l’anne 2023 en rponse une campagne de ranongiciels en cours, baptise ESXiArgs. Les acteurs de cette campagne de ranongiciels exploitaient les vulnrabilits des serveurs VMware ESXi (CVE-2021-219747) pour accder aux serveurs ESXi, y dployer des ranongiciels et y chiffrer des fichiers, rendant ainsi les machines virtuelles (VM) potentiellement inutilisables.
CVE, abrviation de Common Vulnerabilities and Exposures (vulnrabilits et expositions communes), est une liste de failles de scurit informatique divulgues publiquement. Lorsqu’on parle d’un CVE, il s’agit d’une faille de scurit laquelle a t attribu un numro d’identification CVE. Les avis de scurit publis par les fournisseurs et les chercheurs mentionnent presque toujours au moins un numro d’identification CVE. Les CVE aident les professionnels de l’informatique coordonner leurs efforts pour tablir des priorits et remdier ces vulnrabilits afin de rendre les systmes informatiques plus srs.
Dans le cadre de son analyse de cette anne, l’quipe X-Force a class ces nouveaux CVE en fonction de leur impact potentiel s’ils sont exploits avec succs. Les chercheurs ont observ que l’obtention d’informations, l’obtention d’un accs et l’obtention de privilges sont les trois principaux impacts des CVE dcouverts au cours de la priode couverte par le rapport. Les cybercriminels utilisent souvent l’exploitation d’un CVE comme vecteur d’accs initial. Une fois qu’ils ont russi, ils peuvent profiter de cet accs pour faciliter leur objectif final, qui peut impliquer le dploiement de cryptomineurs, de ranongiciels et d’autres types de logiciels malveillants.
Impact du CVE
Les ingnieurs de X-Force ont observ que les acteurs de la menace utilisent largement les services d’hbergement de fichiers bass sur le cloud, tels que Dropbox, Microsoft OneDrive ou Google Drive, pour distribuer des logiciels malveillants d’apparence lgitime, notamment :
- Le trojan bancaire Grandoreiro utilisant Microsoft Azure ;
- La porte drobe RokRAT utilisant OneDrive ;
- ITG18, galement connu sous le nom de malware Yellow Garuda, utilisant OneDrive, Dropbox et Google Drive – La porte drobe Marlin utilisant OneDrive ;
- Le malware Graphite utilisant OneDrive ;
- Le malware gnrique utilisant OneDrive.
Cette anne, les chercheurs de X-Force ont constat une forte augmentation de l’utilisation des dfinitions de ressources personnalises (CRD). Un nombre croissant d’organisations sont plus capables et dsireuses de crer des ressources personnalises dans leurs clusters Kubernetes. Elles le font souvent sans processus normal de dveloppement d’applications incluant la scurit, car elles utilisent des API (interfaces de programmation d’applications) internes. Ce processus permet de crer de nouvelles capacits dans les clusters Kubernetes. Certains CRD sont des solutions prtes l’emploi qui bnficient d’un soutien important, tandis que d’autres sont des composants moindre effort fabriqus en interne ou bnficiant d’un soutien minimal de la part de la communaut. L’exploitabilit de ces CRD peut tre exceptionnellement facile ou exceptionnellement difficile.
Bien que les environnements en cloud aient t la cible de tentatives d’extorsion de donnes, l’essentiel de l’activit des menaces au cours de la priode analyse semble se concentrer sur l’utilisation d’un accs compromis aux ressources en nuage pour le cryptomining. Comme dans le rapport de l’anne dernire, l’quipe de X-Force a observ en 2023 le dploiement du cryptomineur XMRig sur des machines Linux et des instances en cloud. XMRig est utilis comme charge utile principale pour miner la cryptomonnaie Monero.
Pourquoi les acteurs de la menace choisissent-ils de miner dans le cloud
- Les acteurs de la menace l’origine de l’activit de cryptomining sont probablement attirs par les plateformes du cloud pour les raisons suivantes :
- L’activit de cryptomining est trs gourmande en ressources et donc coteuse. En profitant d’une infrastructure compromise, les acteurs de la menace peuvent transfrer le cot la victime ;
- Les acteurs peuvent s’attendre ce que les ressources en cloud fassent l’objet d’une surveillance moins approfondie et moins vigilante que les ressources sur site, ce qui permet aux logiciels malveillants de minage de fonctionner plus longtemps avant d’tre dtects et supprims ;
- Des vulnrabilits trs mdiatises dans l’infrastructure Internet, telles que la vulnrabilit Log4j, ont permis aux acteurs de la menace de tenter de scanner, d’exploiter et de dployer des cryptomineurs de manire opportuniste et grande chelle.
Chaos RAT
L’quipe X-Force a galement observ le dploiement de l’outil d’administration distance Chaos (Trojan.Linux.CHAOSRAT) en tant qu’outil d’accs distance (RAT). Les fonctions du RAT Chaos comprennent le tlchargement, le chargement et la suppression de fichiers en mode reverse shell, des captures d’cran, la collecte d’informations sur le systme d’exploitation, l’arrt et le redmarrage de l’hte, ainsi que l’ouverture d’URL. Ce RAT tmoigne de la sophistication et de l’volution des acteurs de la menace bass sur le cloud.
KeyBot
Les chercheurs de X-Force ont observ et analys KeyBot, un scanner crit en Python qui est utilis pour analyser une liste de domaines la recherche de cls associes divers services, y compris des applications bases sur le cloud. Cette souche particulire de logiciels malveillants a t observe sur des serveurs d’Amazon Web Services (AWS). Les actions effectues sur le systme comprenaient des fichiers abandonns, des mcanismes de persistance, des dtails d’excution de processus et des communications rseau.
Recommandations et bonnes pratiques
Il n’est cependant pas trop tard, et les entreprises peuvent prendre certaines mesures pour amliorer leur scurit dans le cloud. X-Force consacre une section entire de son rapport aux recommandations et aux meilleures pratiques.
Il s’agit notamment de surveiller votre environnement en cloud et d’tre en mesure de dtecter les anomalies et autres comportements tranges susceptibles d’indiquer une compromission. Les entreprises doivent comprendre toute l’tendue de leur surface d’attaque, ce qui inclut la chasse l’infrastructure informatique fantme et la fermeture de tous les droits inactifs.
Nous avons vu dans le rapport que l’un des principaux points d’accs est le RDP expos , a dclar Dwyer. Tout le monde dans le domaine de la scurit sait que cela ne devrait pas tre le cas. Nous devons donc procder de manire proactive ces dcouvertes d’accs nos comptes cloud, comme la dcouverte de la surface d’attaque, la surveillance des nouveaux services et des comptes, puis comprendre que ces voies sont associes des expositions.
Le rapport suggre galement de mettre en uvre une segmentation du rseau afin de restreindre l’accs aux ressources sensibles et d’empcher les mouvements latraux en cas d’intrusion.
Dployer un hte bastion pour isoler les zones du rseau priv du cloud des rseaux externes, moins fiables ou non fiables, y compris Internet. Cette activit rduit la surface d’attaque du nuage et minimise le risque d’accs non autoris aux ressources du nuage. Les pare-feu et les quilibreurs de charge peuvent tre utiles pour filtrer le trafic au niveau des portes d’entre de l’environnement en nuage.
Mettre en uvre une solution d’orchestration, d’automatisation et de rponse en matire de scurit (SOAR) pour aider lorganisation avec l’IA et automatiser l’IR et l’analyse des logiciels malveillants lorsque cela est possible. Ce processus peut contribuer rduire le temps de rponse et le cot moyen global des violations associes aux environnements en cloud.
Source : IBM
Et vous ?
Les rsultats de ce rapport d’tude sont-ils pertinents ?
Quelles sont les mesures de scurit que les entreprises peuvent prendre pour protger les informations didentification de leurs clients ?
Quels sont les autres vecteurs dattaque courants dans le cloud computing ?
Selon vous, comment les entreprises peuvent-elles dtecter et prvenir lutilisation dinformations didentification voles ?
Voir aussi :