Que sont les infostealers et pourquoi mon entreprise devrait-elle s’en inquiéter ?

En juin de cette année, une campagne d’extorsion massive contre les clients du spécialiste du cloud de données Snowflake a été découverte. Selon (lire ici), les victimes ont été menacées de divulgation de leurs données si elles ne payaient pas une rançon pouvant atteindre 5 millions de dollars. Les acteurs malveillants ont réussi à compromettre plus de 500 millions d'enregistrements Ticketmaster et 30 millions appartenant aux clients de Santander. De nombreuses autres entreprises victimes doivent encore émerger parmi les 160+ qui auraient été capturées dans la campagne de vol de données.

Fournisseur de renseignements sur les menaces Mandiant, qui enquête, affirme que les mauvais acteurs ont provoqué ce chaos en utilisant des tactiques d'une simplicité désarmante. Ils ont utilisé les identifiants Snowflake des clients obtenus par le malware infostealer, puis ont profité de l'absence d'authentification multifacteur (MFA) pour franchir une porte ouverte. C'est une raison suffisante pour garantir que vos cyberdéfenses peuvent résister à une attaque de vol d'informations.

Que sont les voleurs d'informations ?

Les infostealers constituent une classe de logiciels malveillants de plus en plus répandue, conçus, comme leur nom l'indique, pour extraire secrètement des informations sensibles de l'ordinateur ou de l'appareil mobile d'une victime. Ces données seront soit utilisées directement par les mêmes acteurs de la menace, soit, plus probablement, vendues dans le milieu de la cybercriminalité pour être utilisées dans le cadre de fraudes à l'identité et de cyberattaques ultérieures, comme la campagne contre les clients de Snowflake.

Le logiciel malveillant peut rechercher des informations telles que :

• Fichiers stockés sur la machine/le périphérique final
• Flux de données provenant d'applications de messagerie instantanée comme Telegram
• Actifs contenus dans des portefeuilles cryptographiques, tels que des NFT et des pièces
• Identifiants stockés dans les clients de messagerie ou FTP, les plateformes de jeux ou les profils VPN
• Informations stockées dans le navigateur, qui peuvent inclure des mots de passe et des informations d'identification provenant de plusieurs sites, des cartes de crédit stockées, des cookies d'authentification/de session, des connexions remplies automatiquement et bien plus encore.

La capture des cookies de session pourrait permettre aux acteurs malveillants de contourner la MFA, ce qui en ferait une menace puissante. Selon Trend Micro, les informations stockées dans le navigateur d’un appareil « sont de loin la cible privilégiée des voleurs de données ». Une fois son travail terminé, l’infostealer collecte toutes ses informations volées et les place dans une archive appelée journal – qui pourrait se vendre plus de 100 $ selon la qualité et la quantité de données qu'il contient.

Les voleurs d'informations circulent clandestinement dans le domaine de la cybercriminalité depuis 2011 environ. Au cours des 15 dernières années, les développeurs de logiciels malveillants ont continué à affiner et à personnaliser leurs offres pour cibler diverses plates-formes – des appareils Android aux PC Windows en passant par les comptes professionnels Facebook. Il existe plusieurs façons de les diffuser, notamment le phishing ou le smishing (phishing par SMS), les téléchargements drive-by-by-by-by-by-by-downloads à partir de sites Web infectés, les jeux piratés, cachés dans des applications d'apparence légitime, notamment faux logiciel de réunion, Google Ads et même YouTube descriptions vidéo.

Ils représentent un risque croissant pour les organisations dans les environnements de travail hybrides post-pandémiques, où les employés peuvent visiter des sites à risque sur leurs appareils personnels, qui sont ensuite infectés par des voleurs d'informations. En raison des politiques BYOD, ces appareils peuvent également avoir accès aux ressources et aux données de l'entreprise, ce qui les expose à un risque de vol. Plus de la moitié (51 %) des Les responsables informatiques disent ils ont vu des preuves d'appareils personnels compromis accédant à des données d'entreprise sensibles.

Éviter la capture

Aujourd’hui, les cybercriminels et les fraudeurs en herbe disposent d’une multitude d’options parmi lesquelles choisir sur les marchés clandestins de la cybercriminalité. Ils incluent des infostealers populaires comme RedLine, Raccoon, Vidar et Taurus. Un modèle de malware-as-a-service (MaaS) a contribué à démocratiser l’accès à ces outils à une base d’utilisateurs criminels beaucoup plus large. Et les efforts d’innovation se poursuivent. Certaines places de marché proposent des services d'analyse de journaux pour aider les acteurs malveillants à extraire des données des journaux bruts pour les utiliser ou les revendre.

Les développeurs d'Infostealer déploient également beaucoup d'efforts pour garantir que leurs logiciels malveillants restent cachés des outils de sécurité. Certains, comme la variante Rhadamanthys, opèrent dans la mémoire système pour échapper à la détection. D'autres, comme Raccoon, proposent des modifications aux UserAgents et aux mutex dans le but de contourner la détection basée sur les indicateurs, selon un signaler. Une nouvelle version de la variante populaire Lumma apparu l'année dernière avec des capacités anti-bac à sable sophistiquées. Les hommes et les femmes derrière ces outils font également de plus grands efforts pour rester cachés – faisant la publicité de leurs produits sur Telegram, Mastadon et d’autres sites plutôt que sur des marchés criminels centralisés qui sont sujets à la surveillance et aux perturbations des forces de l’ordre.

Comment atténuer la menace des voleurs d'informations

Ce qui ne fait aucun doute, c’est la menace potentiellement sérieuse qu’ils représentent pour la cybersécurité des entreprises. Outre les violations du compte Snowflake, un voleur d'informations téléchargé involontairement sur l'ordinateur portable d'un employé était responsable. pour une violation de données majeure sur la plateforme d'intégration et de livraison continue CircleCI l'année dernière. Un fournisseur prétentions que 10 millions d’appareils ont été confrontés à des logiciels malveillants voleurs d’informations en 2023, soit une multiplication par sept depuis 2020.

La bonne nouvelle est que les meilleures pratiques éprouvées peuvent éloigner les voleurs d'informations des systèmes d'entreprise, selon Bharat Mistry, directeur technique de Trend Micro Royaume-Uni et Irlande.

« Les organisations peuvent atténuer la menace des voleurs d'informations en mettant en œuvre des mesures préventives telles que la formation des employés, l'authentification forte et la protection des points finaux », explique-t-il à ISMS.online. « Les mises à jour régulières des logiciels et la sécurité du réseau sont également cruciales. Les stratégies de détection incluent une détection avancée des menaces, des audits de sécurité réguliers et une surveillance continue.

Cependant, les responsables de la sécurité informatique peuvent également atténuer les risques liés aux voleurs d'informations en se conformant aux normes de bonnes pratiques.

« Le respect de normes telles que la norme ISO 27001 améliore considérablement les efforts de cybersécurité en offrant une approche structurée de la gestion des risques et en mettant en œuvre des contrôles de sécurité complets, essentiels à une protection solide », affirme Mistry.

« Des audits réguliers garantissent une vigilance continue contre les menaces émergentes. La formation et la sensibilisation des employés sont essentielles pour transformer votre personnel en première ligne de défense. De plus, les exigences strictes de la norme en matière de gestion des incidents garantissent que toute violation sera traitée rapidement et efficacement.

Comparés à des attaques de ransomwares potentiellement mortelles, les voleurs d’informations peuvent ne pas sembler constituer un risque important en matière de cybersécurité. Cependant, comme le souligne l’incident Snowflake, ils jouent un rôle de plus en plus important dans l’écosystème de la cybercriminalité. En tant que catalyseurs du vol d’identifiants et du contournement de l’AMF, ils pourraient constituer la première étape d’une attaque dévastatrice de violation de données et d’extorsion. Il est temps de dépoussiérer ces bonnes pratiques en matière de cybersécurité.