Ransomware : des identifiants compromis aux avant-postes de près de 40 % des attaques
Mandiant indique que, pour près de 40 % des cyberattaques sur lesquelles ses équipes sont intervenues en 2023, et pour lesquelles le vecteur d’accès initial a été identifié, des identifiants légitimes avaient été compromis, notamment par infostealers.
Il est peut-être temps de revenir aux fondamentaux de la gestion des identités et des accès, et tout particulièrement pour les systèmes permettant d’accéder, à distance, à des ressources informationnelles des entreprises. C’est en tout cas ce que suggèrent les constatations des équipes de Mandiant, faites lors de leurs interventions auprès de victimes de cyberattaque avec rançongiciel l’an dernier.
Car « dans près de 40 % des incidents pour lesquels le vecteur d’accès initial a été identifié », les assaillants ont détourné des « identifiants légitimes compromis » pour s’introduire dans l’environnement de leur victime, « soit en utilisant des identifiants volés soit avec des attaques en force brute ». Et dans la majorité des cas, le point d’entrée a été un VPN.
Surtout, « environ un quart des incidents analysés avec un vecteur d’infection initial impliquait l’utilisation d’identifiants volés ». Plus précisément, il apparaît « plausible » que ces identifiants aient été obtenus auprès de tiers, « y compris à partir de logs d’infostealers ». Et Mandiant de souligner que les cybercriminels « ont exprimé un fort intérêt » pour ces maliciels dérobeurs. Une demi-surprise compte tenu de leur profusion.
Toutefois, l’absence d’authentification forte (MFA) ou d’authentification sur la couche réseau pour les services RDP semble également avoir facilité le recours à la force brute : elle apparaît impliquée dans environ 14 % des incidents considérés, contre 8 % en 2022.
Mais les vulnérabilités affectant des systèmes directement exposés sur Internet n’ont pas manqué de rencontrer un succès certain auprès des cybercriminels : en 2023, elles comptent pour près de 30 % des incidents étudiés, contre 24 % en 2022, mais plus de 50 % en 2021.
Sans surprise, on trouve, en première place sur le podium des vulnérabilités exploitées pour conduire des cyberattaques débouchant sur le déclenchement de ransomware l’an dernier, la CVE-2023-4966 dite CitrixBleed. Elle a notamment été utilisée pour des attaques s’achevant avec le déclenchement de rançongiciels tels qu’Agenda (Qilin), Alphv, ou encore LockBit.
Mandiant souligne en outre qu’environ 14 % des incidents pour lesquels le vecteur d’accès initial a été identifié, les assaillants ont eu recours à des emails piégés, du smishing ou encore du phishing vocal. Et de relever l’importance du maliciel Qakbot dans l’arsenal de Black Basta.