Infostealers : cette menace encore bien trop ignorée
Introduction
Début décembre 2022, le ministère de l’Enseignement supérieur et de la Recherche active la cellule opérationnelle de crise cyber (COCC) embarquant notamment l’Agence nationale de la sécurité des systèmes d’information (Anssi) et le CERT-Renater. La raison ? Depuis plusieurs mois, les détections de compromissions d’ordinateurs personnels et postes de travail par des logiciels malveillants dérobeurs de données (des infostealers) se multiplient.
Ces détections sont souvent annonciatrices de cyberattaques avec rançongiciel à venir. Alors, face à la menace des intrusions à renfort d’identifiants compromis, il a été demandé aux recteurs d’académies et directeurs d’établissements d’enseignement supérieur et de recherche, notamment, d’assurer durant les vacances scolaires de Noël une permanence des équipes informatiques « afin de prendre en compte et traiter », en moins de deux heures, tout signalement transmis par les services du haut fonctionnaire de défense et de sécurité du ministère de l’Éducation nationale, de l’Enseignement supérieur et de la Recherche.
Depuis, la situation ne s’est pas améliorée. Les observations des équipes de Sekoia.io, début septembre 2023, laissent peu de place au doute : « la prévalence des infostealers continue de croître en 2023 en raison de leur capacité à voler des informations sensibles et de leur relative facilité d’utilisation par les cybercriminels ».
Le secret du succès ? Notamment une distribution très efficace par le biais de fausses publicités alléchantes – le malvertising – concernant des logiciels prisés du grand public… comme des professionnels en entreprise.
Mais il faut aussi compter avec la capacité des infostealers à passer au travers des filets des systèmes de protection de postes de travail (EPP), voire même des systèmes de détection et de réponse aux menaces (EDR), ou presque.
Ce guide présente ce qu’est cette menace, comment elle se répand et à quelle vitesse, les difficultés de la protection et les mesures impératives à prendre.
1Diffusion-
Une menace répandue qui passe facilement inaperçue
Infostealers : une menace encore largement (trop) furtive
À leur exécution, certains logiciels malveillants dérobeurs de données d’identification listent les antivirus installés sur les ordinateurs qu’ils pillent, pointant ceux qui ne les bloquent pas. Comment l’expliquer ? Des éditeurs nous y ont aidés. Lire la suite
AceCryptor : l’un des secrets du succès des infostealers
Si les logiciels malveillants dérobeurs de données d’identification, les infostealers, continuent d’échapper largement à la détection, ce pourrait bien être aussi grâce à l’utilisation de maliciels camoufleurs, à commencer par le très répandu AceCryptor. Lire la suite
Infostealers : l’explosion invisible
La menace que représentent les logiciels malveillants dérobeurs de données d'identification explose, sans que cela ne soit pleinement visible. Les chiffres hebdomadaires du CERT de Renater aident toutefois à mettre en lumière l’ampleur du phénomène. Lire la suite
Infostealers : la menace ne promet pas de reculer
Toujours plus discrète que les cyberattaques avec rançongiciel, la menace des maliciels dérobeurs ne faiblit pas. Panorama en collaboration avec Sekoia.io et les données de Hudson Rock. Lire la suite
Menaces cyber : le grand retour du malvertising
Des acteurs malveillants utilisent de plus en plus des publicités Google pour attirer les internautes vers des maliciels voleurs de données, des infostealers. Une menace aux conséquences potentielles considérables, y compris pour les entreprises. Lire la suite
2Protection-
Aucune parade absolue
Vol d’identifiants : quand s’efface la frontière entre personnel et professionnel
Les maliciels dérobeurs, ou infostealers, ne font pas la différence entre identifiants personnels et professionnels. Mais les courtiers en accès initiaux ne manqueront pas de chercher à valoriser les seconds. Lire la suite
Cybersécurité : pourquoi la cavalerie arrive encore trop souvent après la bataille
Le délai continue d’être trop long entre la détection de la menace et la propagation de l’information à son sujet, laissant aux assaillants une fenêtre d’opportunité courte, mais béante. Et la volonté du gouvernement français n’y changera rien. Lire la suite
L’authentification à facteurs multiples : indispensable, mais pas infaillible
La faiblesse des mots de passe les plus robustes contre le détournement de comptes n’est plus à démontrer, surtout face à la menace des infostealers. La MFA s’impose, mais pas n’importe comment. Lire la suite
Maliciel dérobeur : macOS n’est pas à l’abri
Proposé à la location depuis le 9 avril, l’infostealer Atomic MacOS Stealer (Amos) menace les portefeuilles de cryptomonnaies, mais également les mots de passe stockés dans les navigateurs Web et le trousseau. Lire la suite
3Terrain-
Entre cybercriminalité et hacktivisme géopolitique
Cyberattaques : l’enseignement supérieur en état d’alerte durant les fêtes
[Exclusif] Toulouse INP, Grenoble INP, et l’IUT Paris – Rives de Seine n'étaient pas des cas isolés. Des efforts de vigilance ont été demandés durant les vacances scolaires de Noël afin de prévenir d’autres cyberattaques. Lire la suite
Cyberattaque contre le CHRU Brest : ce qu’il s’est passé
Le centre hospitalier a évité le pire. Récit, avec Jean-Sylvain Chavanne, RSSI du CHRU de Brest, de la réponse à une cyberattaque découverte alors qu’elle n’en était qu’à ses prémices. Lire la suite
Guerre en Ukraine : le collectif pro-russe Killnet s’associe à un infostealer
Jusqu’ici, le collectif Killnet conduisait principalement des cyberattaques en déni de service distribué. L’accès à un maliciel dérobeur pourrait donner une toute nouvelle dimension à ses activités. Lire la suite