Big game hunting ou chasse au gros gibier

novembre 2, 2022

Qu’est-ce que la chasse au gros gibier ?

La chasse au gros gibier ou big game hunting est un type de cyberattaque qui utilise généralement des ransomwares pour cibler de grandes entreprises à forte valeur ajoutée ou des entités très connues.

En règle générale, les victimes sont choisies en fonction de leur capacité à payer une rançon, et de la probabilité qu’elles le fassent pour pouvoir reprendre le cours normal de leurs activités ou éviter tout risque de mauvaise publicité. Voici quelques exemples de cibles souvent visées :

  • Grandes entreprises
  • Banques et autres institutions financières
  • Services d’utilité publique
  • Hôpitaux et autres établissements de soins de santé
  • Organismes publics
  • Individus jouissant d’importants moyens financiers (par exemple, célébrités et dirigeants de grandes entreprises)
  • Toute entreprise détenant des données sensibles, telles que des éléments de propriété intellectuelle, des secrets commerciaux, des données personnelles ou des dossiers médicaux

À la découverte du paysage actuel de la chasse au gros gibier

Un avis de cybersécurité publié conjointement par la CISA (Cybersecurity and Infrastructure Security Agency), le FBI et d’autres groupes de sécurité en février 2022 fait état d’une baisse de ce type d’attaques, amorcée au cours du second semestre 2021. D’après leur analyse, les cyberadversaires se seraient tournés vers d’autres tactiques en raison d’une surveillance policière accrue et d’une baisse de leurs revenus à la suite de la cyberattaque à l’encontre de Colonial Pipeline Co. en mai 2021, qui a fait la une des médias et dont une partie de la rançon versée a été récupérée par le FBI.

Toutefois, selon une analyse récente de CrowdStrike, la chasse au gros gibier continue d’être un problème de sécurité majeur pour les grandes entreprises, indépendamment de leur implantation géographique ou de leur secteur. L’indice de cybercriminalité de CrowdStrike (ECX), un outil propriétaire qui génère un score composite reflétant l’évolution des cybermenaces, confirme que plusieurs chasseurs de gros gibier ont réduit, voire cessé leurs activités en mai 2021. Toutefois, depuis septembre 2021, les activités de chasse au gros gibier semblent revenues à des niveaux proches de leur pic, ce qui laisse penser que cette tendance est en train de repartir à la hausse.

La dernière édition du rapport annuel Global Threat Report de CrowdStrike confirme cette analyse et révèle que « l’essor et l’impact de la chasse au gros gibier ont été ressentis dans tous les secteurs et presque chaque région du monde ». Bien que certains cyberadversaires et groupes de ransomwares aient disparu de la circulation en 2021, le nombre global de familles de ransomwares actives a augmenté. En fait, CrowdStrike Intelligence a observé une augmentation de 82 % des fuites de données imputables à un ransomware en 2021.

2022 CrowdStrike Global Threat Report

Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

Qui sont les chasseurs de gros gibier ?

Il s’agit de cybercriminels sophistiqués, qui font souvent partie de groupes organisés dont l’objectif est de perturber, voire d’interrompre les activités de cibles majeures. Dans de nombreux cas, ces groupes fonctionnent comme des réseaux très structurés et organisés, un peu à l’image des grandes entreprises. Ils sont souvent à la solde d’États et sont soupçonnés d’avoir des liens avec des agences gouvernementales ou des personnalités en vue.

Le site Adversary Universe de CrowdStrike suit de près le comportement des principaux groupes de cyberadversaires partout dans le monde. Adversary Universe fait le tour d’horizon des menaces auxquelles les clients de CrowdStrike sont confrontés chaque jour, selon une perspective sectorielle ou un profil de cyberveille.

Quel est le mode opératoire des chasseurs de gros gibier ?

Les chasseurs de gros gibier ont recours à toute une série de techniques pour mener leurs attaques. Dans la plupart des cas, leur méthode de prédilection est le ransomware, un type de logiciel malveillant utilisé pour chiffrer les données d’une victime dans le but de lui soutirer une rançon en échange du rétablissement de l’accès à ses données.

De plus en plus, les groupes cybercriminels exploitent également le ransomware en tant que service (RaaS, Ransomware as a Service) qui, comme son nom l’indique, est un modèle commercial qui permet de « louer » des variantes de ransomware, de la même façon que les développeurs de logiciels légitimes louent des produits SaaS (Software as a Service).

Le tableau ci-dessous présente des exemples bien connus de services RaaS et les chasseurs de gros gibier qui leur sont associés :

RaaSTechniqueChasseur de gros gibier
DarkSidePendant longtemps, les opérateurs de DarkSide ont ciblé exclusivement des ordinateurs Windows, mais ils ont récemment étendu leur champ d'action à Linux et visent désormais des environnements d'entreprise exécutant des hyperviseurs VMware ESXi non corrigés ou volent des identifiants vCenter. Le service RaaS DarkSide est également soupçonné d'être le vecteur d'attaque utilisé dans l'attaque très médiatisée à l'encontre de la société Colonial Pipeline.CARBON SPIDER
REvil (également connu sous le nom de Sodinokibi)REvil est un service RaaS généralement utilisé par PINCHY SPIDER. Lors de ces attaques, les victimes reçoivent un avertissement les informant d'une fuite de données imminente en cas de non-versement de la rançon.
REvil a été identifié comme le ransomware responsable de l'une des plus grosses demandes de rançon jamais enregistrées, à savoir 10 millions de dollars.
PINCHY SPIDER
DharmaLes attaques du ransomware Dharma sont généralement associées à des attaques du protocole RDP (Remote Desktop Protocol). Les variantes de Dharma proviennent de nombreuses sources et sont de nature pratiquement identique, ce qui complique l'identification de leur auteur.Il est lié à un groupe cybercriminel iranien motivé par l'appât du gain.
Aucun contrôle centralisé.
LockBitEn développement depuis 2019, les attaques LockBit réclament le paiement d'une rançon si la victime veut éviter la publication des données volées. Ce service RaaS a été impliqué dans au moins neuf attaques.Il est affilié à des utilisateurs russophones, ainsi qu'à des anglophones cautionnés par un utilisateur russophone.

En plus de s’appuyer sur des ransomwares et des services RaaS pour mener leurs attaques, les chasseurs de gros gibier exploitent également d’autres vulnérabilités, notamment :

  • Exploitation des vulnérabilités du cloud : le Global Threat Report 2022 de CrowdStrike révèle que les cybercriminels sont avant tout des opportunistes qui tendent à exploiter les vulnérabilités du protocole RCE dans des logiciels serveur et recherchent généralement des serveurs vulnérables. Après l’accès initial, ils peuvent déployer un éventail d’outils pour progresser dans leur attaque. De nombreux cyberadversaires, en particulier les chasseurs de gros gibier, ont exploité ces vulnérabilités pour s’infiltrer dans les systèmes.
  • Attaque zero day : les cybercriminels utilisent un logiciel malveillant pour exploiter des vulnérabilités logicielles avant que le développeur du logiciel n’ait le temps de corriger la faille. L’expression anglaise « zero day » (jour zéro) désigne le fait que l’éditeur du logiciel n’était pas conscient de la vulnérabilité du logiciel au moment de sa publication et qu’il a eu « 0 » jour pour élaborer un correctif de sécurité ou une mise à jour pour résoudre le problème. Ces types d’attaques étant extrêmement difficiles à détecter, elles représentent un risque grave pour la sécurité

Quel est le coût de la chasse au gros gibier ?

Les opérations de chasse au gros gibier gagnent rapidement en maturité. Les enjeux deviennent donc plus élevés, tout comme le montant des rançons réclamées aux victimes.

Voici quelques statistiques récentes sur les ransomwares issues de l’enquête annuelle Global Security Attitude Survey et du Global Threat Report de CrowdStrike :

  • Le montant moyen des rançons payées a progressé de 63 % en 2021, passant de 1,10 million de dollars en 2020 à 1,79 million en 2021.
  • En moyenne, la demande de rançon exigée par les cyberattaquants s’élève à 6 millions de dollars.
  • Les fuites de données imputables à un ransomware ont augmenté de 82 % en 2021, par rapport à 2020.
  • 96 % des entreprises ayant payé la rançon initiale ont également dû payer des frais d’extorsion.
  • 66 % des entreprises des répondants ont subi au moins une attaque de ransomware cette année.
  • 57 % des entreprises victimes d’une attaque de ransomware n’avaient pas mis en place de stratégie complète pour coordonner leur intervention.

Comment se défendre contre la chasse au gros gibier ?

Comme indiqué dans le Global Threat Report 2022 de CrowdStrike, les opérations de chasse au gros gibier continueront de dominer le paysage cybercriminel en 2022. Le marché des fournisseurs frauduleux d’accès réseau continue d’offrir aux opérateurs de ransomware la possibilité de trouver de nouvelles victimes puisqu’en supprimant la phase d’accès initial, ils peuvent déployer plus rapidement leurs malwares.

Pour identifier rapidement les menaces et réduire le risque posé par la chasse au gros gibier, les entreprises doivent élaborer une stratégie de cybersécurité efficace pour défendre l’entreprise à différents niveaux. Voici quelques recommandations utiles pour concevoir une stratégie de cybersécurité complète :

  1. Formez tous vos collaborateurs aux bonnes pratiques en matière de cybersécurité. Vos collaborateurs constituent votre première ligne de défense. Assurez-vous qu’ils respectent les bonnes pratiques en matière d’hygiène IT : utilisation de mots de passe forts, connexion à des réseaux Wi-Fi sécurisés uniquement, abstention de tout clic sur des liens contenus dans des e-mails non sollicités, etc.
  2. Maintenez votre système d’exploitation et vos logiciels à jour et appliquez les correctifs. Les cybercriminels sont constamment à la recherche de failles et de portes dérobées à exploiter. En mettant scrupuleusement à jour vos systèmes, vous réduirez votre exposition aux vulnérabilités connues.
  3. Implémentez une solution de protection de la messagerie et optimisez-la. CrowdStrike recommande d’implémenter une solution de protection de la messagerie dotée de fonctionnalités de filtrage des URL et d’analyse des pièces jointes en environnement sandbox. Pour optimiser cette solution, vous pouvez y adjoindre une fonction d’intervention automatisée assurant la mise en quarantaine rétroactive des e-mails distribués avant que l’utilisateur n’interagisse avec eux.
  4. Surveillez en continu votre environnement afin d’identifier les activités malveillantes et les indicateurs d’attaque. La solution EDR agit comme une caméra de surveillance sur tous les endpoints. Elle capture les événements bruts à des fins de détection automatique des activités malveillantes non identifiées par les méthodes de prévention classiques, tout en offrant une visibilité inégalée propice à un Threat Hunting proactif.
  5. Intégrez la cyberveille à votre stratégie de sécurité. Surveillez vos systèmes en temps réel et restez au courant des dernières informations sur les menaces pour détecter rapidement les attaques, déterminer comment y répondre au mieux et empêcher leur propagation.
  6. Créez des sauvegardes hors ligne à l’épreuve des ransomwares. Lors de la mise en place d’une infrastructure de sauvegarde à l’épreuve des ransomwares, il est primordial de garder à l’esprit que les cybercriminels ont très certainement ciblé les sauvegardes en ligne avant de déployer leur ransomware dans l’environnement. Pour préserver les données en cas d’attaque de ransomware, la seule solution vraiment efficace consiste donc à effectuer des sauvegardes à l’épreuve des ransomwares. Par exemple, la conservation de sauvegardes hors ligne de vos données vous permettra de restaurer plus rapidement les systèmes en cas d’urgence.
  7. Implémentez un programme robuste de protection des identités. Les entreprises peuvent renforcer leur niveau de sécurité en mettant en place un programme robuste de protection des identités assurant l’hygiène des référentiels d’identités sur site et dans le cloud (par exemple, Active Directory, Azure AD). Identifiez les failles, analysez le comportement et les anomalies pour chaque compte lié au personnel (utilisateurs humains, comptes à privilèges ou comptes de service), détectez les déplacements latéraux et implémentez un accès conditionnel basé sur les risques pour détecter et bloquer les ransomwares.

Protection de l’entreprise contre les chasseurs de gros gibier et les ransomwares avec CrowdStrike

Pour les équipes de cyberprotection qui éprouvent bien des difficultés à répondre aux alertes de cybersécurité et manquent de temps ou des compétences nécessaires pour anticiper les menaces émergentes, la solution CrowdStrike Falcon Intelligence™ offre la cyberveille essentielle dont elles ont besoin tout en éliminant la complexité des investigations des incidents, très gourmandes en ressources. Falcon Intelligence est la seule solution à véritablement intégrer la cyberveille à la protection des endpoints. Elle effectue automatiquement des investigations, accélère l’intervention et permet aux équipes de sécurité d’adopter une approche proactive et prédictive, et non plus réactive.

Principaux avantages :

  • Automatisation des investigations sur toutes les menaces détectées sur vos endpoints
  • Mise à disposition d’indicateurs de compromission personnalisés pour une protection proactive contre les menaces furtives
  • Fourniture d’informations complètes sur les attaques pour améliorer et accélérer la prise de décision
  • Analyse réalisée par des experts de CrowdStrike pour faciliter le travail de votre équipe
  • Simplification des opérations grâce à une intégration transparente avec la plateforme CrowdStrike Falcon®

Pour plus d’informations, visitez notre page produit Falcon Intelligence ou téléchargez la fiche technique Falcon Intelligence.

Défense, détection, intervention sur incident et résolution avec EY et CrowdStrike

Les services et solutions NGSOAR (Next Generation Security Operations and Response) de la société EY, associés à la plateforme CrowdStrike Falcon, offrent des fonctionnalités de protection et de détection à la pointe du secteur, avec une cyberveille et un Threat Hunting 24 h sur 24 et 7 j sur 7 pour garder une longueur d’avance sur les menaces de ransomware. La solution offre à nos clients communs une visibilité immédiate et en temps réel sur l’environnement de leur entreprise, identifie et élimine les compromissions potentielles et prévient toute défaillance silencieuse. Cette puissante association permet de confiner les menaces actives et de les supprimer rapidement du réseau afin d’éliminer la menace de ransomware de façon rapide et efficace.

Découvrez la solution Next Generation Security Operations and Response Ransomware Readiness and Resilience d’EY.