ATELIER ESET : La transformation numérique, une surface d’attaque plus élargie

ESET, leader européen de la sécurité des Endpoints, a participé au Forum DSI International 2021. À cette occasion, l'entreprise a animé un atelier sur les rançongiciels et le cyber-espionnage. Cet atelier a été présenté par Grégory EZRATY, Directeur Support et Services ESET, et Haifa THARI, Technicienne Support Technique ESET. Voici un résumé de l'atelier.

Une fois n’est pas coutume, en 2021 il est impossible de faire l’impasse sur les rancongiciels, partie émergée et « bouquet final » d’attaques toujours plus complexes et furtives. Les chercheurs d'ESET suivent les groupes d’attaquants opérant ces menaces de très près. Pour combattre les rancongiciels ESET souhaite aider les entreprises à agir en amont. 

En marge des rancongiciels, l'entreprise suit également les campagnes de cyber-espionnage et des TTPs qui y sont liées. Par exemple, s’introduire dans le serveur de messagerie d’une organisation donne accès à de nombreuses informations et potentiellement un accès administrateur. On note deux événements majeurs en 2021, à date. Au début du mois de mars 2021, les vulnérabilités affectant MS Exchange (CVE-2021-26855 et suivantes) étaient toujours considérées comme des zéro day et utilisées par au moins 6 groupes d’attaquants. Malgré la réaction rapide de l’éditeur et la mise à disposition de correctifs, l’exploitation des failles s’est intensifiée. La télémétrie d'ESET a relevé plus de 5000 serveurs concernés à travers le monde impactés par cette vulnérabilité RCE (Remote Code Execution) accessible avant toute authentification. Une exploitation réussie permet à l’attaquant d’installer des implants sur les serveurs : webshell, backdoors, RAT, qui outre l’accès complet au serveur permet d’exfiltrer les données qui y transitent. L’étude de ces attaques montre que l’exploitation de ces vulnérabilités sont opérées massivement par des modes opératoires habituellement tournés vers le cyber-espionnage : Tonto Team, Winnti Group, Calypso ou encore LuckyMouse (APT27).

L’exploitation des vulnérabilités liées aux serveurs et en particulier aux serveurs Exchange sont critiques. En août 2021, une backdoor jusqu’alors inconnue et nommée IISpy, est dévoilée. Installée comme une extension native pour IIS (Internet Information Service) effectue de nombreuses modifications sur le serveur pour échapper à la détection et assurer sa persistance. La backdoor possède de multiples fonctions, dont l’exfiltration de fichiers et des données, la rendant parfaite pour l’espionnage des conversations, sur les infrastructures MS Exchange + OWA, dont l’affichage d’Outlook en version web est assuré par IIS.

Pour terminer, les équipes de cyber Threat intelligence se sont étoffées, amenant l'entreprise à multiplier les rapports sur des attaques de cyber-espionnage. 

Source : Communiqué de presse ESET