Début décembre, les États-Unis ont inculpé Maksim Yakubets, alias Aqua, pour la campagne de cybertheft la plus importante de ces dix dernières années. En outre, le ministère américain de la justice a offert une prime de 5 millions de dollars pour toute information permettant de l'arrêter et de le condamner.
Maksim, qui serait le membre fondateur d'un groupe connu sous le nom d'Evil Corp, aurait été responsable du vol de milliers d'identifiants de comptes bancaires de victimes dans plusieurs pays. En utilisant un logiciel malveillant connu sous le nom de Dridex - également appelé Cridex ou Bugat - Evil Corp aurait réussi à détourner des dizaines de millions de dollars de victimes involontaires. Le FBI estime que Dridex a entraîné des pertes de 100 millions de dollars ou plus dans des centaines de banques.
L'attaque était aussi élégante que simple. Evil Corp aurait convaincu les victimes de cliquer sur un lien malveillant dans un courriel d'hameçonnage pour télécharger Dridex. Une fois installé, le logiciel malveillant utilisait un enregistreur de frappe pour s'emparer des mots de passe ou créer de fausses pages bancaires afin d'inciter les victimes à saisir volontairement leurs informations d'identification. Les messages d'hameçonnage étaient souvent bien conçus, utilisant une combinaison de noms d'entreprises et de domaines légitimes, ainsi qu'une terminologie professionnelle correcte.
Munie des références des comptes bancaires, Evil Corp aurait organisé des transferts électroniques de fonds depuis les comptes bancaires des victimes vers un réseau de "mules", qui auraient ensuite transféré les fonds à Evil Corp.
Il convient de noter en particulier la manière dont Evil Corp améliore en permanence le logiciel malveillant Dridex, notamment en passant d'un centre de commande et de contrôle centralisé à des réseaux de zombies peer-to-peer afin de rendre ses activités plus difficiles à retracer.
La National Security Agency (NSA) a récemment publié ses dix meilleures stratégies d'atténuation des risques en matière de cybersécurité. Alignées sur le cadre de cybersécurité du NIST, ces stratégies proposent une approche basée sur les risques pour atténuer les techniques d'exploitation utilisées par les acteurs des menaces persistantes avancées (APT), telles que les tactiques, techniques et procédures (TTP) de Dridex.
Les deux recommandations suivantes sont particulièrement intéressantes :
- Défendre les privilèges et les comptes. Attribuer des privilèges en fonction de l'exposition au risque et de la nécessité de maintenir les opérations. Les comptes et services à privilèges doivent être contrôlés car les acteurs de la menace continuent de cibler les informations d'identification des administrateurs pour accéder à des actifs de grande valeur et se déplacer latéralement dans le réseau.
- Rechercher en permanence les intrusions dans le réseau. Prendre des mesures proactives pour détecter, contenir et supprimer toute présence malveillante sur le réseau. Les entreprises doivent partir du principe qu'une compromission a eu lieu et faire appel à des équipes spécialisées pour rechercher, contenir et éliminer en permanence les acteurs de la menace au sein du réseau.
La mise en place de mesures proactives permettra à l'organisation de dépasser les méthodes de détection de base et de détecter les menaces en temps réel et d'y remédier au moyen d'une stratégie de surveillance et d'atténuation continues.
Nous avons récemment ajouté l'analyse des accès privilégiés à la plateforme Cognito de Vectra. L'AAP consiste en des algorithmes basés sur l'IA qui permettent à l'équipe d'un centre d'opérations de sécurité (SOC) de détecter avec une grande fidélité les comportements d'attaquants impliquant des comptes privilégiés qui sont utilisés dans des comportements inhabituels et potentiellement malveillants. En fait, Vectra apprend les modèles de vos comptes d'utilisateur et alerte intelligemment lorsque les informations d'identification sont utilisées à mauvais escient, comme dans les attaques par hameçonnage.
L'AAP permet aux équipes SOC de surveiller et de se défendre contre ces types d'attaques. En plus de nos modèles étendus qui détectent les canaux de commande et de contrôle, cela fait de la plateforme Cognito un outil puissant pour lutter contre les attaques de logiciels malveillants en constante évolution contre les entreprises.
Pour plus d'informations sur les comportements menaçants et les attaques basées sur les privilèges ou pour voir la plateforme Cognito en action, veuillez visiter vectra.ai/demo.