Début décembre, les États-Unis ont inculpé Maksim Yakubets, alias Aqua, pour la campagne de cybertheft la plus importante de ces dix dernières années. En outre, le ministère américain de la justice a offert une prime de 5 millions de dollars pour toute information permettant de l'arrêter et de le condamner.
Maksim, qui serait le membre fondateur d'un groupe connu sous le nom d'Evil Corp, aurait été responsable du vol de milliers d'identifiants de comptes bancaires de victimes dans plusieurs pays. En exploitant le site malware connu sous le nom de Dridex - également appelé Cridex ou Bugat - Evil Corp aurait réussi à détourner des dizaines de millions de dollars de victimes involontaires. Le FBI estime que Dridex a entraîné des pertes de 100 millions de dollars ou plus dans des centaines de banques.
L'attaque était aussi élégante que simple. Evil Corp aurait convaincu les victimes de cliquer sur un lien malveillant dans un courriel phishing pour télécharger Dridex. Une fois installé, le site malware utilisait un enregistreur de frappe pour s'emparer des mots de passe ou créait de fausses pages bancaires pour inciter les victimes à saisir volontairement leurs informations d'identification. Les messages phishing étaient souvent bien conçus, utilisant une combinaison de noms d'entreprises et de domaines légitimes, ainsi qu'une terminologie professionnelle correcte.
Munie des références des comptes bancaires, Evil Corp aurait organisé des transferts électroniques de fonds depuis les comptes bancaires des victimes vers un réseau de "mules", qui auraient ensuite transféré les fonds à Evil Corp.
Il convient de souligner la façon dont Evil Corp améliore en permanence Dridex malware, en passant par exemple d'un centre de commande et de contrôle centralisé à des réseaux de zombies peer-to-peer afin de rendre ses activités plus difficiles à retracer.
La National Security Agency (NSA) a récemment publié ses dix meilleures stratégies d'atténuation des risques en matière de cybersécurité. Alignées sur le cadre de cybersécurité du NIST, ces stratégies proposent une approche basée sur les risques pour atténuer les techniques d'exploitation utilisées par les acteurs des menaces persistantes avancées (APT), telles que les tactiques, techniques et procédures (TTP) de Dridex.
Les deux recommandations suivantes sont particulièrement intéressantes :
- Défendre les privilèges et les comptes. Attribuer des privilèges en fonction de l'exposition au risque et de la nécessité de maintenir les opérations. Les comptes et services à privilèges doivent être contrôlés car cybercriminels continue de cibler les identifiants des administrateurs pour accéder à des actifs de grande valeur et se déplacer latéralement dans le réseau.
- Rechercher en permanence les intrusions dans le réseau. Prendre des mesures proactives pour détecter, contenir et supprimer toute présence malveillante dans le réseau. Les entreprises doivent partir du principe qu'une compromission a eu lieu et faire appel à des équipes spécialisées pour rechercher, contenir et supprimer en permanence cybercriminels au sein du réseau.
La mise en place de mesures proactives permettra à l'organisation de dépasser les méthodes de détection de base et de détecter les menaces en temps réel et d'y remédier au moyen d'une stratégie de surveillance et d'atténuation continues.
Nous avons récemment intégré Privileged Access Analytics à la plateforme Cognito de Vectra. PAA repose sur des algorithmes basés sur l'IA qui fournissent à l'équipe du centre des opérations de sécurité (SOC) des détections très précises des comportements d'attaquants impliquant des comptes privilégiés utilisés dans le cadre d'activités inhabituelles et potentiellement malveillantes. Concrètement, Vectra apprend à reconnaître les schémas de comportement de vos comptes utilisateurs et émet des alertes intelligentes lorsque des identifiants sont utilisés à mauvais escient, par exemple lors phishing .
La PAA permet aux équipes SOC de surveiller et de se prémunir contre ce type d'attaques. Grâce à nos modèles avancés qui détectent les canaux de commande et de contrôle, la plateforme Cognito constitue plateforme outil puissant pour lutter contre malware en constante évolution qui visent les entreprises.
Pour plus d'informations sur les comportements malveillants et les attaques par exploitation des privilèges, ou pour découvrir la plateforme Cognito en action, rendez-vous sur vectra.ai/demo.