Les pirates trouvent des moyens d'échapper aux derniers outils de cybersécurité

(Bloomberg) – Alors que le piratage est devenu plus destructeur et omniprésent, un type d'outil puissant d'entreprises telles que CrowdStrike Holdings Inc. et Microsoft Corp. est devenu une aubaine pour l'industrie de la cybersécurité.

Les plus lus de Bloomberg

La Chine prend le Yuan Global dans une offre pour repousser un dollar armé

Zelenskiy nie que l'Ukraine ait envoyé des drones pour frapper Poutine et le Kremlin

La TD et First Horizon mettent fin à une fusion de 13 milliards de dollars alors que les régulateurs stagnent

PacWest évalue les options stratégiques, y compris une éventuelle vente

Le drame bancaire fait rage ; Apple grimpe en fin de séance : récapitulation des marchés

Appelé logiciel de détection et de réponse aux terminaux, il est conçu pour détecter les premiers signes d'activité malveillante sur les ordinateurs portables, les serveurs et d'autres appareils - les "points de terminaison" d'un réseau informatique - et les bloquer avant que des intrus ne puissent voler des données ou verrouiller les machines.

Mais les experts disent que les pirates ont développé des solutions de contournement pour certaines formes de technologie, leur permettant de contourner des produits qui sont devenus la référence en matière de protection des systèmes critiques.

Par exemple, au cours des deux dernières années, Mandiant, qui fait partie de la division Google Cloud d'Alphabet Inc., a enquêté sur 84 violations où EDR ou d'autres logiciels de sécurité des terminaux ont été falsifiés ou désactivés, a déclaré Tyler McLellan, analyste principal des menaces chez l'entreprise.

Les résultats représentent la dernière évolution d'un jeu du chat et de la souris qui se joue depuis des décennies, alors que les pirates adaptent leurs techniques pour surmonter les dernières protections de cybersécurité, selon Mark Curphey, qui a occupé des postes de direction chez McAfee et Microsoft et est maintenant un spécialiste de la cybersécurité. entrepreneur au Royaume-Uni.

"Le piratage des outils de protection de la sécurité n'a rien de nouveau", a-t-il déclaré, ajoutant que "le prix, en cas de succès, est l'accès à tous les systèmes qui les utilisent, par définition des systèmes qui méritent d'être protégés".

Les enquêteurs de plusieurs entreprises de cybersécurité ont déclaré que le nombre d'attaques où l'EDR est désactivé ou contourné est faible mais croissant, et que les pirates deviennent plus ingénieux pour trouver des moyens de contourner les protections plus solides qu'il offre.

En décembre, Microsoft a révélé dans un article de blog que des pirates avaient trompé l'entreprise pour qu'elle applique son sceau d'authenticité aux logiciels malveillants, qui a ensuite été utilisé pour désactiver l'EDR de l'entreprise et d'autres outils de sécurité sur les réseaux victimes. Microsoft a suspendu les comptes de développeurs tiers impliqués dans la ruse et a déclaré que la société "travaillait sur des solutions à long terme pour lutter contre ces pratiques trompeuses et prévenir les impacts futurs sur les clients".

En février, Arctic Wolf Networks a détaillé un cas sur lequel il avait enquêté à la fin de l'année dernière, où des pirates du groupe de rançongiciels Lorenz avaient initialement été bloqués par l'EDR de la victime. Les pirates se sont regroupés et ont déployé un outil d'investigation numérique gratuit qui leur a permis d'accéder directement à la mémoire des ordinateurs et de déployer leur ransomware avec succès, en contournant l'EDR, a indiqué la société. Arctic Wolf n'a pas identifié la victime ni l'EDR concerné.

Et en avril, le groupe Sophos a divulgué un nouveau malware que la société basée au Royaume-Uni a découvert et qui a été utilisé pour désactiver les outils EDR de Microsoft, de Sophos lui-même et de plusieurs autres sociétés avant de déployer les rançongiciels Lockbit et Medusa Locker. "Le contournement EDR et la désactivation des logiciels de sécurité sont clairement une tactique à la hausse", a déclaré Christopher Budd, directeur principal de la recherche sur les menaces. "En raison de la nature de ce type d'attaque, il est particulièrement difficile à détecter car il cible les outils mêmes qui détectent et préviennent les cyberattaques."

Le marché de l'EDR et d'autres nouvelles technologies de sécurité des terminaux a augmenté de 27 % pour atteindre 8,6 milliards de dollars dans le monde l'année dernière, mené par CrowdStrike et Microsoft, selon IDC.

Adam Meyers, vice-président senior du renseignement de CrowdStrike, a déclaré que le nombre croissant d'attaques contre les logiciels EDR montre que les pirates "ont évolué". De nombreuses attaques que CrowdStrike a suivies – contre ses produits et ceux proposés par des concurrents – impliquent des erreurs de configuration des systèmes clients ou des vulnérabilités profondes dans le logiciel ou le micrologiciel, signes que les pirates doivent travailler plus dur pour pénétrer dans les réseaux cibles, a-t-il déclaré.

"C'est une course vers le bas de la pile", a déclaré Meyers. "Nous essayons d'aller de plus en plus bas et de plus en plus près du matériel, et plus vous vous rapprochez du matériel, plus une attaque est difficile à arrêter."

Un représentant de Microsoft a refusé de commenter cette histoire.

Il y a dix ans, les fabricants de logiciels antivirus étaient les principaux fournisseurs de produits de sécurité pour PC et autres terminaux. Selon des experts en cybersécurité, leur popularité a décliné à mesure que des attaques de plus en plus avancées ont révélé les faiblesses de technologies qui reposaient sur des analystes créant manuellement des "signatures" numériques de nouvelles souches de logiciels malveillants pour les bloquer.

La montée en puissance des ransomwares et d'autres attaques destructrices a stimulé la demande d'EDR et de technologies similaires qui visent à détecter et à bloquer les infections plus tôt. Les outils recherchent davantage de signaux d'activité malveillante et automatisent de nombreuses tâches chronophages d'enquête et de correction des violations.

Un incident précédemment non signalé que Bloomberg News a découvert s'est produit en octobre, lorsque le CSIS Security Group, basé à Copenhague, au Danemark, a enquêté sur la violation d'une entreprise de fabrication européenne.

Selon Jan Kaastrup, directeur de l'innovation, les pirates ont exploité une faiblesse jusque-là inconnue de l'EDR de Microsoft et ont emballé le logiciel malveillant de manière à ce qu'il soit détecté par l'outil de sécurité, ce qui a alerté l'équipe informatique de la victime que l'attaque avait été bloquée. pour le SCRS qui a supervisé l'enquête. Mais les pirates n'ont pas été arrêtés et ont pu parcourir le réseau pendant trois semaines, a-t-il déclaré. La brèche n'a été découverte que lorsque la victime a repéré des données quittant son réseau d'entreprise et a contacté la société de sécurité danoise. Kaastrup a refusé d'identifier la victime mais a autorisé Bloomberg à examiner une copie anonymisée du rapport d'incident. La société a signalé le problème à Microsoft, qui a refusé de commenter Bloomberg à ce sujet.

La leçon à tirer des incidents récents, a-t-il déclaré, est simple : la technologie ne peut pas faire grand-chose contre des pirates informatiques déterminés.

"Les logiciels de sécurité ne peuvent pas être autonomes - vous avez besoin d'yeux à l'écran combinés à la technologie", a-t-il déclaré. EDR "est bien meilleur qu'un logiciel antivirus. Vous en avez donc certainement besoin. Ce n'est tout simplement pas la solution miracle que certains pensent que c'est."

Nouvelles

Les pirates trouvent des moyens d'échapper aux derniers outils de cybersécurité