Les cyberattaques durant le confinement ont permis un travail de récolte de données (campagnes de phishing, spear phishing, etc.) et d’infection initiale dans les réseaux d’entreprise (par le biais de malwares, keylogger, etc.) qui pourrait donner lieu à des attaques sophistiquées très prochainement. Les cyberattaquants pourraient tout à fait, par exemple, attendre le retour au bureau des télétravailleurs pour activer des ransomwares dormants, installés plusieurs semaines plus tôt.
- Sébastien Gest, Tech Évangéliste chez Vade Secure, spécialiste français de la sécurité des emails, incite les entreprises à anticiper ce retour au bureau massif, et une possible nouvelle phase dans les attaques initiées durant le confinement :« Les attaquants ont largement utilisé les failles créées par le télétravail pendant le confinement. Mais nous avons vu finalement assez peu de réelles attaques sophistiquées, ce qui nous laisse présager un retour de bâton dans les prochains mois. Pourquoi ?Les attaques de ransomware de ces derniers mois (durant la phase du covid19) ont plutôt ciblé les hôpitaux. Nous avons vu beaucoup d’activité de phishing – l’email étant resté le principal vecteur d’attaque – mais pas uniquement. En effet, la plupart des ransomwares que nous avons observés furent insérés directement par les hackers, comme ponyfinal analysé par Microsoft. Pour les hackers il est en effet bien plus intéressant de placer des « mouchards » sous la forme d’adware, ou des keylogger, ayant la capacité d’aspirer les accès utilisateurs de nombreux logiciels. Ce sont ces accès qui vont permettre par la suite soit d’utiliser les machines comme machine zombie, soit d’accéder au système d’information de l’entreprise.
Pendant le confinement, les attaquants ont réalisé un important travail préparatoire. Ces attaques – phishing, spear phishing, vol d’identifiants/mot de passe, injection de malware, keylogger, etc. sont généralement les prémices d’attaques plus sophistiquées, et il est donc clair qu’il faut nous attendre à voir apparaître des attaques évoluées, résultant de ce travail de préparation. A titre d’exemple, rappelons-nous que la campagne de NotPetya en 2017 a nécessité une longue période de préparation.
Les types de menaces que nous pourrions ainsi voir rapidement surgir, pourraient être des ransomwares (as-a-service) déclenchés à distance pour asphyxier le système d’informations d’entreprises en bonne santé financière, ou encore de la Fraude au président, très facile à mettre en œuvre grâce au grand volume d’informations collectées pendant la période de confinement… Certains attaquants pourraient également se montrer plus patients et attendre le retour des télétravailleurs au bureau, pour attaquer l’entreprise en l’infiltrant plus en profondeur. L’utilisateur dont on a compromis les identifiants ou compromis les outils de travail à distance (à l’aide de malwares par exemple) de retour au bureau, permettra à l’attaquant de poursuivre plus facilement son infiltration au cœur du réseau de l’entreprise, pour mener des attaques encore plus dangereuses. »
Source: Global Security Mag par Sebastien Gest