Maria Patricia Revilla Dacuno, Researcher, Tactical Defense Unit (Unité tactique de défense)

#1 : Plusieurs événements survenus en 2020 vont influencer l’évolution des ransomwares en 2021.

Cette année, comme nous avons pu l’observer, les ransomwares Ragnar Locker et Maze ont utilisé des machines virtuelles exécutant VirtualBox d’Oracle pour déployer leur attaque sans être détectés par les solutions de protection des endpoints (EPP). Les solutions EPP protègent l’hôte immédiat mais pas les images des machines virtuelles : le ransomware est donc invisible pour l’EPP. Il est probable qu’à l’avenir, d’autres familles de ransomwares adoptent la même technique et que les cybercriminels cherchent à développer d’autres techniques d’évasion permettant de contourner différents types de technologies EPP.

En 2020, Emotet – famille de malwares ayant acquis une certaine notoriété en distribuant Trickbot (qui distribue à son tour le ransomware Ryuk) – a utilisé des tactiques d’ingénierie sociale optimisées dans ses campagnes de spams. Par ailleurs, comme l’ont constaté les chercheurs, Emotet utilise désormais un nouveau module capable de subtiliser les pièces jointes des e-mails, en plus de voler leur contenu. Les pièces jointes et informations volées sont réutilisées dans des documents malveillants afin d’en accroître la crédibilité. Ces nouvelles techniques de vol de contenus utilisées par Emotet laissent penser que les hackers pourraient bien chercher à créer d’autres stratégies leur permettant de personnaliser davantage leurs attaques. Autre point important : les campagnes de spams d’Emotet ont commencé à utiliser des archives protégées par un mot de passe pour empêcher les produits de sécurité de scanner les documents malveillants. Ces évolutions traduisent les efforts des hackers pour rendre les attaques Emotet toujours plus efficaces. Il est essentiel de se préparer à faire face à ces nouvelles formes d’attaques.

Cette année, Buer et BazarLoader, deux nouveaux loaders permettant le déploiement du ransomware Ryuk, ont fait leur apparition. Ces deux nouveaux loaders utilisent le stockage cloud comme Google Docs pour distribuer des charges utiles (contrairement à Emotet qui se sert de sites corrompus). La notoriété d’Emotet a sans doute incité les cyber criminels à élaborer ces nouvelles offres « loader-as-a-service ». Ces nouveaux types de loaders ont pu être créés pour contourner les outils de détection ou bien pour réaliser des attaques à moindre coût. Quelle qu’en soit la raison, il est probable que nous observions une augmentation du nombre de services destinés à la diffusion des ransomwares.

#2 : En 2020, le spam a présenté plusieurs tendances notables : l’utilisation de la pandémie comme appât, le recours massif aux documents Office comme vecteur d’infection, la protection par mot de passe des pièces jointes malveillantes – avec notamment des types de fichiers d’archives peu communs -, et enfin l’utilisation de services cloud pour héberger des contenus malveillants. Ces tendances devraient se poursuivre en 2021.

Jusqu’à ce que la situation de Covid se calme, les campagnes de spam continueront de cibler le télétravail et les thématiques liées à la pandémie (vaccins, avis de retard de livraison dû au confinement, etc.) Les cyber criminels savent que de nombreuses personnes attendent volontiers de recevoir des informations sur l’évolution de la pandémie (en particulier lorsque ces informations concernent leur propre pays ou région). Et les hackers tirent systématiquement profit de l’actualité pour rendre leurs e-mails malveillants assez pertinents pour que les utilisateurs les ouvrent et cliquent sur des contenus dangereux.

En plus des documents Office habituels contenant des macros VBA malveillantes, les chercheurs ont observé que les macros Excel 4.0 (appelées « formules ») ont gagné en popularité cette année. À partir de ces macros, les hackers ont pu développer des techniques anti-sandbox contrôlant certains paramètres (souris, capacités audio) afin d’éviter les environnements sandbox. Ces cyber criminels redécouvrent donc d’anciennes fonctionnalités Office pouvant être exploitées pour lancer des attaques. Attendons-nous donc à ce que les documents Office restent un vecteur d’infection répandu via le spam. L’utilisation de macros Excel 4.0 se poursuivra très probablement en 2021.

Des mots de passe ont été utilisés pour protéger des pièces jointes malveillantes dans les spams. Les hackers utilisent cette technique pour empêcher les pièces jointes malveillantes d’être analysées automatiquement via le sandboxing ou par les produits de sécurité. Cette technique a notamment été utilisée avec Emotet, et nous pouvons nous attendre à ce que d’autres menaces suivent cette voie.

L’utilisation des services cloud a également gagné en popularité auprès des pirates informatiques. Nous pouvons notamment citer à cet égard GuLoader ainsi que les récents loaders de ransomwares Ryuk (Buer et BazarLoader). En 2021, les cyber criminels devraient continuer à utiliser les services cloud pour leurs campagnes de spams, soit pour le phishing, soit pour des campagnes de malwares utilisant ces services pour distribuer des charges utiles.

Andy Patel, Senior Researcher, Artificial Intelligence Center of Excellence (Centre d’excellence en intelligence artificielle)

Les réseaux sociaux ont pris certaines mesures pour lutter contre la désinformation et les contenus nuisibles. Malheureusement, ces efforts se sont révélés insuffisants, et ils sont arrivés trop tard. L’absence de modération adéquate sur ces plateformes a gravement endommagé l’écosystème de l’information. Au cours de l’année à venir, les réseaux sociaux devront probablement mener une modération plus radicale et prendre des mesures généralisées contre les comptes qui génèrent et diffusent des contenus nocifs ou harcèlent d’autres utilisateurs.

Les algorithmes de recommandation mis au point par les réseaux sociaux sont très efficaces pour proposer aux utilisateurs des contenus qu’ils n’auraient peut-être pas trouvés autrement. Bien que ces algorithmes soient la plupart du temps sans grand danger, ils ont mis en contact des individus influençables avec des théories du complot ou avec des groupes extrémistes. Ces algorithmes de recommandation auraient dû être associés à des politiques de modération. Ainsi, il aurait été possible d’anticiper ce genre de phénomènes et de lutter contre la désinformation, contre les faux comptes et le harcèlement ciblé. La modération opérée sur ces plateformes n’a jamais été adaptée au nombre d’utilisateurs ni aux différentes régions. Résultat : pendant plus de dix ans, le monde a testé ces systèmes en « version bêta » … et en a souffert.

Les réseaux sociaux sont également confrontés à des problèmes de législation. L’entreprise Facebook a récemment déclaré que la réglementation européenne sur le transfert de données compliquait ses process à tel point qu’elle envisageait de retirer ses services de la région. Aux États-Unis, la section 230 du Communications Decency Act, une disposition du droit fédéral américain qui accorde à ces plateformes l’immunité face à ce que les utilisateurs publient, pourrait être révisée en 2021. Si la section 230 devait être modifiée ou révoquée, ou si l’UE continue d’ajouter de nouvelles réglementations, les réseaux sociaux pourraient se trouver dans l’obligation de réviser leur mode de fonctionnement s’ils ne veulent pas enfreindre la loi.

De nombreux mécanismes ont été proposés pour concevoir des mécanismes de modération automatisés. Cependant, la plupart d’entre eux souffrent d’un taux relativement élevé de faux positifs et de faux négatifs. Les différents formats – texte, audio, vidéo et image – nécessitent des approches d’analyse différentes. Et l’automatisation ne comprend pas les nuances comme le ferait un être humain. Même si un certain travail de modération peut être délégué aux algorithmes et aux mécanismes de machine learning, des êtres humains devront sans doute rester mobilisés sur une grande partie de ce processus.

Calvin Gan, Senior Manager, Tactical Defense Unit (Unité de défense tactique)

Avec la pandémie, le confinement et le télétravail, nos vies personnelles et professionnelles ont soudainement convergé. Les e-mails restent certes un vecteur d’infection privilégié mais, dans un tel contexte, l’exploitation des failles logicielles pourrait bien augmenter. L’utilisation d’appareils personnels (téléphone, tablette, ordinateur portable) comme outils de travail ouvre en effet la voie à de nouvelles exploitations de vulnérabilités. D’après moi, en 2021, de nombreux CVE seront publiés et davantage de vulnérabilités seront découvertes sur des logiciels répandus (applications d’achat, applications de suivi des livraisons, etc.). Il est probable que les experts en sécurité consacrent davantage de temps à la recherche de ces vulnérabilités, de manière à les corriger avant qu’elles ne soient exploitées par les pirates informatiques.

Tom Van de Wiele, Principal Security Consultant, F-Secure Consulting

D’ici 1 à 3 ans, une autre attaque de type ver ou de type Mirai aura lieu. Et ce phénomène se reproduira de manière périodique, jusqu’à ce que de véritables contrôles qualité portant sur la sécurité et la confidentialité des objets connectés soient mis en œuvre.

En 2021, il n’y aura pas beaucoup de changements quant à la transparence de ces périphériques (comment ils sont conçus, avec quoi ils communiquent, quelles données ils traitent, etc.). L’achat d’un objet dit « intelligent » va souvent de pair avec une double incertitude : ne pas savoir quelles informations personnelles sont envoyées, et ne pas pouvoir évaluer l’impact d’un éventuel piratage de l’appareil en question (sur vos données et votre vie personnelle). Malheureusement, cette situation va perdurer dans les années à venir. Les utilisateurs n’ont aucune idée de la surface d’attaque de leur réseau domestique et sont dans l’incapacité de déterminer quelles données sont communiquées, transmises ou stockées. Ils n’ont pas non plus connaissance des mesures destinées à la sécurisation de ces transferts de données.

Les périphériques connectés nous accompagnent durant plusieurs années. Pensez un instant à la quantité de données qu’un seul appareil, comme un téléviseur intelligent, peut collecter. Si vous songez ensuite la rapidité avec laquelle ces appareils se multiplient, il devient évident que les fabricants possèdent désormais une quantité impressionnante d’informations à notre sujet. Ces informations leur permettent même de dégager de nouvelles sources de revenus. Un fabricant de smart TV peut, par exemple, réaliser des bénéfices après-vente grâce aux informations recueillies sur votre appareil (comment vous l’utilisez, quand vous l’utilisez et quels choix vous faites ou ne faites pas). Une cyber attaque peut alors déboucher sur un vol de données personnelles d’une ampleur considérable.

Bien que des institutions comme l’Union européenne s’efforcent de faire respecter les lois en matière de respect de la vie privée (par exemple, concernant l’utilisation par défaut des microphones), la plus grande partie du processus de développement se déroule sans aucune transparence quant aux technologies utilisées, à la manière dont elles le sont et aux informations recueillies et envoyées à des tiers. Des initiatives destinées à la sécurisation de ces objets sont en cours d’élaboration, mais elles n’en sont encore qu’à un stade précoce. En attendant, les données continueront à s’accumuler dans de véritables décharges virtuelles que les entreprises s’emploient à monétiser. De leur côté, les hackers cibleront les appareils vulnérables et les convertiront en bots DDoS pour bâtir d’énormes réseaux botnets destinés à des opérations de perturbation.

Vic Harkness, Security Consultant, F-Secure Consulting

 Partout dans le monde, les professionnels ont soudain été incités à travailler de chez eux, dans la mesure du possible. Ces bouleversements ont contraint les entreprises à élaborer de nouveaux modes de travail, qu’elles soient prêtes ou non. Pour beaucoup d’entreprises, ces nouvelles pratiques ont engendré une augmentation de la surface d’attaque. Résultat : nous avons déjà constaté cette année une augmentation des attaques ransomwares.

Les accès à distance mis en place à la hâte ont déjà permis aux cyber criminels d’accéder à des réseaux internes. La rupture des liens sociaux au sein des organisations a également joué un rôle. Les employés connaissent-ils vraiment leurs collègues ?

Avant la pandémie, si vous receviez un appel d’un individu se présentant à tort comme membre du support technique, vous étiez en mesure de le débusquer… puisque le véritable support technique était assis à quelques bureaux de vous. Comment mettre en doute la légitimité d’un individu qui prétend être votre nouveau collègue, sans une possible interaction en face à face ?

D’après moi, cette confusion risque de s’accroître à mesure que les modes de travail continueront d’évoluer. Chaque remise en question du statu quo constitue pour les pirates informatiques une opportunité à saisir :

Les employés sont invités à revenir au bureau ? —> « Cliquez sur ce lien et entrez vos informations personnelles afin de nous communiquer les jours où vous serez présent. »

Pas de retour au bureau prévu ? —>  « Nous mettons actuellement à jour le mode de télétravail, merci d’installer ce nouvel outil d’accès à distance. »

Jusqu’à ce que les professionnels soient réellement habitués au travail à distance, les hackers pourront tirer profit de la situation et les manipuler pour qu’ils procèdent à des clics dangereux.

Callum Roxan, Senior Incident Response Investigator, Managed Detection and Response (détection et réponse gérées)

En 2021, les gouvernements se montreront sans doute plus proactifs dans la lutte contre les ransomwares. Et il est probable qu’ils recourent à des approches non-techniques pour tenter d’endiguer le problème.

Ces dernières années, les ransomwares ont évolué… mais ces évolutions n’ont pas été techniques : elles ont été opérationnelles. Les pirates informatiques ont, par exemple, couplé leurs attaques à des exfiltrations de données pour diversifier et maximiser leurs profits. Les autorités, à leur tour, pourraient bien faire évoluer leur approche et prendre des mesures juridiques pour lutter contre le phénomène des ransomwares.

Certains secteurs risquent, plus que d’autres, d’attirer l’attention des extorqueurs. Les entreprises possédant des données particulièrement sensibles (comme celles du secteur juridique) ou dont l’activité peut être gravement impactée par une attaque ransomware (comme dans le secteur de l’industrie) pourraient se trouver particulièrement visées. Les coûts de gestion liés aux attaques ransomwares augmenteront également, ce qui devrait inciter encore davantage les autorités à intervenir.

Ces efforts donneront des résultats mitigés. La nature décentralisée et fragmentée de l’écosystème de la cyber criminalité rend les mesures ciblées peu efficaces.

Par exemple, les tentatives visant à empêcher le paiement des rançons présentent une efficacité surtout théorique. Dans la pratique, les réalités commerciales auxquelles sont confrontées les entreprises et l’existence de tiers pouvant servir d’intermédiaires pour les paiements limitent l’efficacité de ces stratégies.

Teemu Myllykangas, Solution Director, F-Secure Radar

En 2021, le covid continuera d’avoir une influence sur nos vies, sur nos entreprises et nos sociétés. Cet impact diminuera au fil des mois, à mesure que les populations pourront être vaccinées. De nombreuses entreprises pourraient toutefois tenter de conserver, du moins partiellement, le télétravail, qui s’est imposé au début de la pandémie. Malheureusement, la mise en place de ces nouvelles habitudes et le déploiement de nouvelles technologies s’est souvent fait au détriment de la sécurité. En 2021, les pirates informatiques pourraient bien chercher à tirer avantage des problèmes de sécurité introduits lors du passage brutal au télétravail et encore non-résolus aujourd’hui. Pour prévenir ces attaques, les organisations doivent mieux sécuriser leurs nouveaux réseaux distribués et leurs déploiements cloud : leurs applications et données pourront ainsi rester protégées.