Le dernier Red Report de Picus Security met en avant les 10 techniques d’attaques les plus utilisées par les cyberattaquants en 2023 et les manières de s’en prémunir mais alerte aussi sur l’inquiétant croissance des outils « chasseurs-tueurs » (« hunter killer » en anglais).
Dans le jargon militaire, un sous-marin « hunter killer » (chasseur tueur) est un sous-marin spécifiquement conçu pour se déplacer sans se faire détecter afin de traquer et détruire les sous-marins et navires ennemis à l’aide de torpilles et missiles.
Dans le jargon de la cybersécurité, on appelle des « hunter killer » certains malwares spécifiquement conçus pour déjouer les défenses des systèmes d’information et neutraliser les outils de cybersécurité qui les protègent. Ils sont plus particulièrement utilisés par les groupes qui travaillent pour des États et par certains groupes APT et ransomwares.
Dans son nouveau rapport « Red Report 2024 », Picus Labs constate une inquiétante multiplication des malwares de type « hunter killer ». En 2023, le nombre de malwares de ce type repérés par ses chercheurs a bondi de 333% !
Selon Picus, bien des attaquants ne cherchent plus seulement à contourner les défenses en place mais essayent également de directement les désactiver ou d’en perturber le fonctionnement. Pire encore, certains malwares s’attaquent directement à des outils défensifs ou boucliers pour les détourner de leur fonction première et les transformer en instruments d’attaques.
Ainsi, les chercheurs ont découvert des « Hunter Killer » capables de pervertir l’outil anti-rootkit TDSSKiller de Kaspersky (technique employée par le groupe LockBit notamment), de transformer le driver de l’antimalware Zemana en outil de cyberattaque (technique utilisée par le groupe Earth Longzhi), ou encore d’abuser l’outil Process Explorer de Microsoft pour « tuer » Windows Defender et autres antivirus installés sous Windows (technique du malware AuKill).
Dans un même ordre d’idée, l’étude de Picus Security révèle « qu’une proportion écrasante de 70 % des logiciels malveillants analysés utilisent désormais des techniques orientées vers la furtivité, en particulier celles qui permettent d’échapper aux mesures de sécurité et de maintenir la persistance dans les réseaux ». Dit autrement, les malwares gagnent en sophistication en adoptant des techniques de plus en plus avancées pour échapper aux protections en place et œuvrer en silence.
Ainsi, la complexe technique d’injection de processus (T1055 dans le lexique MITRE) a connu une inquiétante hausse, passant de 22 % en 2022 à 32 % en 2023 (soit une augmentation de 45 %), ce qui lui permet de bondir de la quatrième à la première place des techniques d’attaques les plus répandues. Cette évolution notable montre que désormais près d’un tiers de tous les logiciels malveillants analysés peuvent injecter du code malveillant dans des processus légitimes, ce qui permet aux adversaires d’éviter la détection tout en obtenant potentiellement des privilèges élevés.
Enfin, le rapport fournit un Top 10 des techniques d’attaques les plus utilisées en 2023 en s’appuyant sur la classification MITRE ATT&CK :
1 – L’injection de processus (Process Injection – T1055)
2 – L’attaque par l’utilisation des commandes Shell ou de scripts (Command & Scripting – T1059)
3 – Perversion/désactivation des boucliers défensifs et outils d’analyses (Impair Defenses – T1562)
4 – Tentative de découverte d’informations système ou de détournement des outils d’analyse du système (System Information Discovery – T1082)
5 – Chiffrement des données des systèmes attaquées ou ransomware (Data Encrypted for impact – T1486)
6 – Tentative d’obtention des informations d’identification au sein de l’OS (OS Credential Dumping – T1003)
7 – Détournement des protocoles de la couche applicative (App Layer Protocol – T1071)
8 – Exécution automatique de codes malveillants au démarrage (Boot or Logon Autostart exécution – T1547)
9 – Abus de la couche d’instrumentation Windows WMI (Windows Management Instrumentation – T1047)
10 – Tentative d’obfuscation ou dissimulation des activités malveillantes (Obfuscated Files or Information – T1027)
Pour en savoir plus : The Picus Red Report 2024: The Top 10 Most Prevalent MITRE ATT&CK Techniques