McAfee Labs est l'une des principales références à l'échelle mondiale en matière d'études et de cyberveille sur les menaces, et les orientations stratégiques que cette équipe propose dans le domaine de la cybersécurité font autorité. Grâce à des données recueillies à partir de millions de sondes sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseaux), McAfee Labs fournit une cyberveille en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques. En 2016, McAfee Labs, dans son rapport de prédiction des menaces, a réussi à prédire beaucoup de vulnérabilités qui ont été réalisées dans l’année. Sur la base des observations de cette année, McAfee Labs espère viser le même taux de réussite.
Diminution des attaques Ransomwares au second semestre 2017 :
L’une des prédictions annoncées par McAfee Labs pour l’année 2017 concerne les Ransomwares, point sur lequel nous allons nous intéresser dans cet article, étant donné leur prolifération ces derniers trimestres.
Le concept de Ransomware a d'abord été démontré au début des années 1990. Il s’agit d’un logiciel malveillant prenant en otage des données personnelles en les chiffrant puis en demandant à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.
L'introduction du Bitcoin et son utilisation pour la toute première fois en 2013 par CryptoLocker, une famille de Ransomware, ont ouvert la porte au versement anonyme de rançons, protégeant ainsi les pirates informatiques. Issus du monde des chevaux de Troie bancaires, les créateurs pionniers du Ransomware, dont CryptoLocker et CryptoWall, avaient une parfaite maîtrise des opérations cybercriminelles. Ils ont tiré les leçons de leurs premières tentatives et s'adaptent rapidement en modifiant leur infrastructure ou leur code au premier signe de ralentissement de leurs activités. Ces groupes continueront à exploiter le Ransomware et à rechercher des solutions nouvelles pour se faire de l'argent. À l'heure actuelle, nous observons de nombreux groupes plus petits et moins sophistiqués attirés par les revenus générés par les groupes organisés. Selon le rapport de la Cyber Threat Alliance consacré à CryptoWall version 3, une seule famille de Ransomware peut générer plus de 325 millions de dollars de revenus. Nous avons donc assisté à une multiplication des familles et des attaques de Ransomware. Les criminels isolés veulent eux aussi leur part du gâteau et s'inscrivent en tant qu'affiliés ou s'appuient sur le code publié.
Les prévisions en cybersécurité McAfee Labs :
Selon McAfee Labs, les logiciels de demande de rançon (Ransomware) constitueront toujours une menace majeure jusqu'au 2ème semestre 2017. Ils maintiendront le secteur de la sécurité en alerte tout au long du premier semestre de l'année, quelle que soit leur nature : Ransomware-as-a-service, Ransomware sur mesure en vente sur les marchés clandestins, ou encore dérivés créatifs issus des Ransomwares dont le code source est libre. Les répercussions sur l'ensemble des secteurs et régions obligeront le secteur de la sécurité à prendre des mesures décisives. McAfee Labs pense toutefois que des initiatives telles que le projet « No More Ransom! », le développement et le déploiement de technologies de lutte contre le Ransomware et les efforts continus des forces de l'ordre auront pour effet de réduire le nombre et l'efficacité des attaques Ransomwares d'ici la fin de l'année 2017.
Migration des Ransomwares vers l’IoT et le mobile :
Au cours du Black Hat USA 2016, l'équipe avancée de recherche sur les menaces de sécurité d'Intel a réalisé une démonstration de conceptions de Ransomwares proof-of-concepts visant les dispositifs IoT (Internet of Things), y compris celui qui cible le système informatique d’un véhicule automobile, permettant au Ransomware de contrôler les freins et de démarrer uniquement si la rançon est payée.
Il s’agit à ce propos d’une autre prédiction 2017 de McAfee Labs : le Ransomware migrera facilement vers l’IoT, car il s'est avéré être un moyen relativement facile pour les criminels de faire de l'argent, notamment dans les secteurs de la distribution d'énergie et de la santé. En effet, il est plus facile et rapide de perturber le fonctionnement d'un ou plusieurs équipements IoT et leur plan de contrôle ou leur point d'agrégation dans le cloud, puis de les prendre en otage pour obtenir de l'argent, que de compromettre silencieusement un grand nombre d'objets connectés afin d'en drainer les données. Même si les Ransomwares représenteront une menace réelle pour les entreprises dotées d'équipements et de connexions IoT, elles redouteront surtout le cyber activisme. Le raisonnement de McAfee Labs est le suivant : dans la mesure où les motivations de la plupart des cybercriminels sont financières, il n'est pas dans leur intérêt d'endommager ou de perturber gravement une entreprise. En revanche, les cyber activistes cherchent souvent à faire passer leur message par le biais d'actions retentissantes. Qu'il s'agisse de modifier les résultats d'un scrutin, d'ouvrir les vannes d'un barrage ou de désactiver les systèmes de sécurité d'une usine de produits chimiques, les conséquences pourraient être catastrophiques. Au cours des deux à quatre prochaines années, McAfee Labs pense que les cyber activistes tenteront d'exploiter l'Internet des Objets, mais très peu d'attaques aboutiront (et peut-être même aucune). L'un des défis à relever lors de la prévision des menaces est de lier les motivations potentielles aux opportunités réelles. Par exemple, nous ne savons pas encore à quel fin les cybercriminels compromettent les équipements médicaux qui collectent les informations des patients, mais le fait est que ce type d'attaque existe et que des données médicales sont exfiltrées. Le phénomène va probablement se poursuivre au cours des deux à quatre prochaines années et nous découvrirons alors pourquoi les pirates volent les données médicales. Faits plus inquiétants, les équipements médicaux qui surveillent et contrôlent des systèmes humains, tels que les stimulateurs cardiaques, les pompes à insuline et les stimulateurs nerveux, sont de plus en plus souvent connectés à Internet. Des cybercriminels sans scrupules utiliseront ces équipements médicaux comme nouveaux vecteurs d'attaque de Ransomware contre les hôpitaux. Les établissements de soins de santé constituent des cibles idéales pour les attaques de logiciels de demande de rançon, notamment parce qu'ils ont besoin d'un accès instantané à l'information. Un stimulateur cardiaque illustre parfaitement la nécessité d'un accès immédiat aux informations. Par conséquent, lorsque ces équipements seront connectés à Internet, les cybercriminels tenteront d'y déceler des vulnérabilités et pourront extorquer des sommes considérables s'ils y parviennent. Après une attaque récente contre un hôpital californien, certains membres de la communauté des pirates informatiques ont qualifié les attaquants de « pirates totalement stupides (comme s'ils ne pouvaient pas pirater autre chose !) », ajoutant que « si quelqu'un meurt ou est blessé à cause de cela, c'est scandaleux ». Certains pirates ont tout de même un certain sens moral, même si certains auront du mal à le croire. Et si certaines attaques IoT sont attrayantes financièrement, certains s'abstiendront au vu des risques parfois mortels qu'elles impliquent pour les patients, ce qui devrait limiter le nombre et la gravité des attaques.
Les attaques Ransomwares :
Outre les IoT, McAfee Labs prévoit pour 2017 la suite de la croissance des logiciels malveillants mobiles incluant, entre autres, les Ransomwares. L'équipe de chercheurs McAfee Labs spécialisée dans les plates-formes mobiles a répertorié un grand nombre d'échantillons de Ransomware ciblant les terminaux mobiles, en particulier aux 2èmes et 3èmes trimestres 2016. Ces échantillons vont des petites preuves de concept qui verrouillent les écrans aux logiciels malveillants cryptographiques de grande envergure qui compromettent la mémoire externe. Parmi les familles de Ransomware, les plus en vue aux 2èmes et 3èmes trimestres, citons Android/Jisut. Ce Ransomware modifie le code PIN d'un dispositif mobile et demande le paiement via Bitcoins ou carte prépayée. Comme le contenu des équipements mobiles est généralement sauvegardé dans le cloud, les demandes directes de rançons pour les déverrouiller rencontrent souvent un succès mitigé. Dès lors, les cyberpirates combineront le verrouillage des équipements mobiles et d'autres formes d'attaques, telles que le vol d'identifiants. Par exemple, durant l’année 2016, McAfee Labs a observé une évolution dans certaines familles telles que Android/Svpeng (identifiée par le secteur de la sécurité comme du Ransomware pour mobiles), qui ciblent désormais les identifiants bancaires dans le but de vider les comptes de leurs victimes. McAfee Labs pense que les chevaux de Troie bancaires feront leur réapparition, en 2017 et qu'ils émaneront d'auteurs de Ransomware. Ces logiciels malveillants combineront verrouillage des équipements mobiles et autres fonctionnalités du Ransomware avec des attaques man-in-the-middle traditionnelles. Leur objectif : dérober des facteurs d'authentification primaires et secondaires, de façon à permettre aux pirates d'accéder aux comptes bancaires et aux cartes de crédit.
Lutte de McAfee face aux Ransomwares : L'industrie de la sécurité a commencé à développer des outils et des fonctionnalités pour aider les entreprises à lutter contre le Ransomware. McAfee, de son côté, met le point sur l’importance de traiter les attaques avancées telles que les Ransomwares à partir des Endpoints, en complément d’un filtrage web et réseau efficace.
Niveau Endpoint, McAfee VirusScan Enterprise ou McAfee Endpoint Security assure, grâce à l’utilisation de leur base de connaissances McAfee GTI (McAfee Global Threat Intelligence), la reconnaissance de plus de 8 millions de signatures de Ransomwares uniques. De plus, la classification des comportements basée sur l'apprentissage automatique permet de bloquer les logiciels malveillants de type « zero day » avant qu'ils ne s'exécutent et d’interrompre directement l'exécution des menaces qui avaient précédemment échappé à la détection.
McAfee Host Intrusion Prevention, à installer sur un terminal ou un serveur, prend en charge le monitoring de la création, la lecture, l’écriture, l’exécution, la suppression et la modification de fichiers. Un simple antivirus ne suffisant plus à parer des attaques toujours plus rapides et complexes, l’outil offre des niveaux inédits de protection contre les menaces connues ou inconnues de type « zero day », en associant un pare-feu dynamique avec un système de préventions des intrusions (IPS) basé à la fois sur les signatures et les comportements. Pour cela, il faut définir sur quel chemin / type de fichier l’on souhaite ou non générer une alerte et quels exécutables l’on souhaite inclure (sources malveillantes connues) ou exclure (faux positifs). Les règles ayant le potentiel d'être intrusives, il est conseillé de passer par une phase d'observation pendant une certaine période avant leur mise en place définitive.
McAfee Network Security Platform est un système de prévention des intrusions (IPS) sur le réseau (contrairement à McAfee Host Intrusion Prevention sur un terminal ou un serveur) qui, de même, ne se contente pas de mettre en correspondance les signatures, mais fait appel à des technologies sans signatures multiniveau pour se protéger contre des menaces inédites, en isolant les comportements typiques des menaces.
Advanced Threat Protection est la Sandbox de McAfee. Elle permet la détection de logiciels malveillants comme les Ransomwares en se basant sur des signatures, sur la réputation (GTI) et permet l’analyse et l’émulation en temps réel.
Côté web, McAfee Web Gateway, le proxy de McAfee, est capable de détecter de nombreux logiciels malveillants grâce à l’intégration de son module Anti-Malware. L’appel à McAfee GTI rend également possible le blocage d’accès vers des URL ou des fichiers susceptibles de contenir des logiciels Ransomwares. Enfin, la Web Gateway peut s’intégrer avec la Sandbox McAfee précédemment décrite de manière à réaliser des analyses approfondies pour permettre une protection renforcée.
McAfee Threat Intelligence Exchange (TIE), tirant parti de la couche d'échanges de données McAfee Data Exchange Layer (DXL), combine plusieurs sources d'informations et partage instantanément les renseignements obtenus avec toutes les solutions de sécurité connectées, y compris celles d'autres éditeurs partenaires. Il assure une détection adaptative des menaces dans les fichiers inconnus, ce qui se traduit par un délai de protection et des coûts réduits.
Il est également intéressant de mentionner de nouvelles technologies innovantes en capacités de détection désormais disponibles chez McAfee, que sont Dynamic Application Containment (DAC) et Real Protect (machine learning). DAC est une nouvelle technologie permettant de limiter le cas du « patient 0 » lors d’une attaque. Elle intervient en réaction. Elle est basée sur des règles comportementales et est utilisée uniquement sur les applications qui n’auraient aucune réputation pour éviter les faux positifs. Cette technologie permet ainsi de bloquer les opérations malveillantes et ainsi d’avoir un « patient 0 » le temps qu’une Sandbox confirme ou que le fichier soit reconnu comme malveillant. Il existe plus de 40 règles pouvant être activées en mode signalement et/ou blocage. En voici quelques exemples :
- Allocation de mémoire à un autre processus
- Arrêt d’un autre processus
- Création d’un thread dans un autre processus
- Création de fichiers sur n’importe quel emplacement réseau
- Ecriture sur la mémoire d’un autre processus
- Lecture des fichiers fréquemment ciblés par les logiciels malveillants de type ransomware
- Etc.
Real Protect (machine learning) permet la classification des comportements basée sur l'apprentissage automatique pour bloquer les logiciels malveillants « zero day » avant qu'ils ne s'exécutent. Cette technologie permet d’interrompre directement l'exécution des menaces qui avaient précédemment échappé à la détection. En proposant une analyse comportementale statique et dynamique, Real Protect permet de proposer une protection plus efficace qu'une approche mononiveau. Enfin, McAfee met à disposition des sites web de réputation, comme McAfee SiteAdvisor Enterprise ou Endpoint Security Web Protection, dans le but d’empêcher ou d’avertir les utilisateurs d’accéder à des sites Web susceptibles d’accueillir des logiciels malveillants comme les Ransomwares.
Conclusion
McAfee est donc capable de dresser le portrait d’une année de menaces dans le domaine de la cybersécurité et de proposer une vision de l’avenir en s’appuyant à la fois sur le constat du passé mais aussi sur des estimations valables et convaincantes. A cela, le constructeur entend bien proposer des solutions adéquates, allant de la protection Endpoint (VirusScan Enterprise, Endpoint Security, Host Intrusion Prevention) jusqu’à la protection réseau (Network Security Platform) et web (Web Gateway), en s’appuyant sur une base de connaissances forte (GTI, signatures) et une analyse comportementale crédible contre les attaques de type « zero day » (Advanced Threat Protection), le tout communicant ensemble grâce au partage d’informations (DXL, TIE) pour une détection plus rapide et pouvant être administré depuis des consoles de management centralisé (ePolicy Orchestrator). Au final, le rapport de prédictions des menaces 2017 de McAfee Labs, toujours dans l’exemple des Ransomwares, met en avant davantage d’interrogations que de conclusions. Qu'en est-il des devises virtuelles qui ont ouvert la voie à la croissance des rançons ? Bitcoin survivra-t-il ou les acteurs du Ransomware vont-ils s'en écarter et chercher de nouvelles méthodes de paiement d’autant que l'utilisation de services de mélange (mixers) de Bitcoins ne suffit pas à empêcher l'analyse des liens des transactions ? A ce titre, McAfee Labs prévoit que les méthodes de paiement des Ransomwares vont s’orienter vers de nouvelles monnaies virtuelles telles que Monero et Zerocoin / Zerocash. Les prédictions des menaces 2017 par McAfee Labs se révéleront-elles vraies ? Les attaques Ransomwares vont-elles vraiment diminuer au second semestre 2017 ? Les attaques Ransomwares vont-elles facilement migrer vers l’IoT et le mobile dans les prochaines années ? Les constructeurs tels que McAfee seront-ils capables de toujours faire face aux menaces de plus en plus sophistiquées comme les Ransomwares et s’adapteront-ils à leur migration, si c’est le cas, vers de nouveaux milieux tels que l’IoT et le mobile ? Réponses dans les prochains trimestres.