Le rapport annuel de Picus Labs destiné aux équipes de sécurité analyse 10 tactiques, techniques et procédures utilisées par les pirates en 2023. Principal enseignement : le ciblage actif des défenses dans les systèmes compromis pour les désactiver, ce qui permet aux attaques de rester furtives sans être immédiatement détectées.
Deux événements récents ont brutalement rappelé les conséquences d’une cyberattaque réussie. Le spectaculaire vol de 33 millions de données personnelles de tiers payant détenues par deux gestionnaires de mutuelles : Viamedis et Almerys et l’attaque de l’hôpital d’Armentières, entrainant la fermeture du service des urgences. Le dernier rapport annuel 2023 de Picus Labs analyse le top 10 des attaques ATT&CK (en français, les tactiques, techniques et connaissances communes de l’adversaire) et donne des pistes aux équipes de sécurité pour renforcer leurs défenses. Le point commun des attaques de type « Hunter-killer » (chasseur-tueur) est le ciblage systématique des contrôles de sécurité existants, EDR, antivirus, parefeu, etc. Une fois détectés, les processus malveillants tentent de les mettre hors service ce qui potentialise les attaques et les rend persistantes dans les réseaux. Selon le rapport, 70 % des échantillons de codes malveillants analysés utilisent désormais ce type de techniques malveillantes furtives.
Sur le podium des menaces ATT&CK identifiées par Picus Labs figure en tête T1055 avec
32 % de prévalence, à savoir les malwares RedLine, LidShot , Rhadamanthys, DarkGate, RAT, etc. qui sont les armes du groupe APT41 et autres. Il s’agit de processus d’injection. A la deuxième place, avec 28 % des occurrences on trouve T 1059 qui n’est autre que Lockbit 3.0 et ses déclinaisons faisant appel aux processus de commande et d’interprétation de scripts. La troisième position est occupée par T1562 (malwares Aukill, Egregor, etc.) avec 26 % des occurrences. Ce type de malware s’en prend aux défenses, cryptent les informations, cherchent les données d’identification de l’OS.