D'après le rapport Incident Response Analyst 2020, qui analyse les événements traités par les services de réponse aux incidents de Kaspersky en 2019, le premier vecteur d'attaque l'année passée a été l'exploitation de vulnérabilités (37%), suivi par les e-mails malveillants (30%). Les attaques par force brute n'ont représenté quant à elles que 13% des incidents observés.

L'étude montre aussi que dans 30% des cas, les attaquants ont utilisé des outils d'administration légitimes pour parvenir à leurs fins, qu'il s'agisse d'exécuter l'attaque, de se déplacer au sein du réseau ciblé, de désactiver les systèmes de sécurité en place, de voler des accès ou encore de découvrir l'environnement visé. Au total, 18 solutions de ce type ont servi à des cyberattaques, notamment celles incluses dans Windows. 25% des attaques sont ainsi passées par PowerShell ; 22% par PsExec et 8% par ProcDump, deux outils de la suite SysInternals. L'outil de découverte des environnements réseau SoftPerfect Network Scanner a également été détourné dans 14% des cas. En Europe, PowerShell et PsExec apparaissent dans la moitié de ces attaques, suivis par SoftPerfect Network Scanner (détourné dans 37,5% des cas).

Des attaques pas toujours faciles à détecter

Concernant les incidents proprement dits, 34% sont des attaques par ransomwares, 21% concernent l'installation d'autres types de malware, 9% des vols d'argent et 8% des vols de données. Les analystes de Kaspersky classent les incidents en trois types, selon la durée des attaques. Les attaques de longue durée affichent une durée médiane de 122 jours. Environ un quart des incidents recensés dans le rapport entrent dans cette catégorie, avec une durée qui se compte en mois, et près de 9% des incidents (8,9%) se comptent même en années. Les outils d'administration cités plus haut sont fréquemment exploités pour ces attaques de long terme, visant souvent à collecter des données sur l'entreprise et ses clients. Faisant peu de dégâts visibles, ces attaques peinent généralement à être détectées par les outils en place. Dans la catégorie intermédiaire figurent des attaques d'une durée moyenne de 10 jours : parmi elles, beaucoup de vols financiers. Enfin, les attaques de courte durée ont une durée médiane d'une journée. Il s'agit souvent d'attaques par ransomwares, rapides à identifier : le chiffrement des fichiers passe en effet rarement inaperçu.

Dernier chiffre marquant de l'étude, la remédiation se compte en semaines dans 43% des cas, en jours dans 27% et en mois dans 15%. Dans ce contexte, la mise en oeuvre de solutions pour surveiller les terminaux et détecter des comportements suspects - type EDR (Endpoint Detection and Response) apporte un niveau de protection supplémentaire face aux attaques utilisant les outils habituels des administrateurs système. Selon les experts de Kaspersky, plusieurs mesures complémentaires peuvent également réduire l'exposition à ces risques. Par exemple, restreindre l'accès aux outils de gestion provenant d'adresses IP externes et veiller à ce que les interfaces de contrôle à distance ne soient accessibles qu'à partir d'un nombre limité de terminaux ; appliquer une politique stricte en matière de mots de passe pour tous les systèmes informatiques et mettre en place un système d'authentification multifacteurs ou encore ouvrir les droits administrateur exclusivement aux collaborateurs qui en ont besoin pour exécuter leurs missions.