À mesure que la connectivité aux ressources basées sur le cloud se développe, les cybercriminels utilisent des informations d’identification valides et compromises pour accéder aux ressources de l’entreprise à un rythme alarmant.
C’est l’une des principales conclusions du rapport IBM X-Force Cloud Threat Landscape, qui a également constaté une augmentation de 200 % (environ 3 900 vulnérabilités) des vulnérabilités et expositions communes (CVE) orientées cloud au cours de l’année dernière.
« Plus de 35 % des incidents de sécurité dans le cloud sont dus à l’utilisation par des attaquants d’informations d’identification valides et compromises », a écrit Chris Caridi, analyste stratégique des cybermenaces chez IBM X-Force, dans un blog sur le rapport. « Représentant près de 90 % des actifs en vente sur les marchés du dark web, la popularité des identifiants auprès des cybercriminels est évidente, avec une moyenne de 10 $ par annonce, soit l’équivalent d’une douzaine de beignets. »
Avec l’utilisation croissante d’utilisateurs de réseaux périphériques, de succursales et distants accédant à des environnements multicloud, il est clair que les organisations doivent renforcer les privilèges d’accès que le service informatique accorde à ces utilisateurs.
En fait, X-Force a trouvé des informations d’identification en texte brut situées sur les points finaux des utilisateurs dans 33 % des engagements impliquant des environnements cloud.
« En particulier, une grande fréquence d’informations d’identification de compte de service était stockée sur les points finaux, et nombre d’entre elles étaient trop privilégiées. Les utilisateurs excessivement privilégiés peuvent être définis comme ceux qui disposent de plus d’autorisations que ce dont ils ont besoin pour effectuer leur travail ou leur tâche », indique le rapport.
“Les informations d’identification compromises sont à l’origine de plus d’un tiers des incidents liés au cloud observés par l’équipe X-Force, ce qui suggère que les entreprises ont du mal à équilibrer les besoins d’accès des utilisateurs et les risques de sécurité”, indique le rapport.
Une fois réussis, les cybercriminels peuvent profiter de cet accès pour atteindre leur objectif ultime, qui peut impliquer le déploiement de cryptomineurs, de ransomwares et d’autres types de logiciels malveillants, a déclaré X-Force.
« Les organisations peuvent bénéficier de protections d’identité basées sur l’IA qui aident à identifier en profondeur les anomalies comportementales et à vérifier l’identité des utilisateurs », indique le rapport.
D’autres vecteurs d’attaque courants incluent l’exploitation d’applications publiques et de liens de phishing/spear phishing, chacun représentant environ 14 % des incidents auxquels l’équipe X-Force a répondu.
Les informations d’identification Microsoft Outlook Cloud représentaient plus de 5 millions de mentions sur les marchés illicites – de loin l’accès le plus populaire à la vente, a déclaré Caridi.
L’exploitation des vulnérabilités dans les applications destinées au public est un vecteur d’accès éprouvé pour les acteurs malveillants dans les environnements cloud et locaux, indique le rapport.
« Les applications cloud sont généralement plus difficiles à gérer pour les organisations en raison du nombre croissant d’applications et de services utilisés dans un environnement cloud moderne ou hybride », indique le rapport. « Si elle n’est pas correctement mise en œuvre, il est possible de négliger une application obsolète exécutée dans le cloud, ou pire, de ne pas savoir qu’elle est même en cours d’utilisation. »
Voici quelques-unes des autres conclusions clés du rapport :
- L’équipe X-Force a observé des adversaires installer un proxyware – un outil légitime de segmentation de réseau – sur les systèmes de victimes sans méfiance pour revendre la bande passante informatique de ces dernières. Les recherches suggèrent qu’une campagne de proxyjacking pourrait rapporter aux auteurs de menaces environ 9,60 $ dans les 24 heures pour une adresse IP, et que son déploiement par Log4j pourrait générer 220 000 $ de profit par mois. De plus, le proxyjacking peut entraîner des frais importants pour les victimes du fournisseur de cloud en raison de l’augmentation du trafic Web inattendu.
- Près de 60 % des vulnérabilités récemment révélées, si elles sont exploitées, pourraient permettre aux attaquants d’obtenir des informations ou d’obtenir un accès ou des privilèges permettant un mouvement latéral à travers le réseau. Qu’il s’agisse de fournir aux attaquants des informations sur la configuration des environnements ou d’une authentification non autorisée pouvant leur accorder des autorisations supplémentaires, il est essentiel pour les organisations de savoir quels risques donner la priorité, en particulier lorsqu’elles fonctionnent avec des ressources limitées.
- L’outil d’administration à distance Chaos (Trojan.Linux.CHAOSRAT) est déployé en tant qu’outil d’accès à distance (RAT). Les fonctions de Chaos RAT incluent le téléchargement, le téléchargement et la suppression de fichiers shell inversés ; captures d’écran; collecte d’informations sur le système d’exploitation ; arrêter et redémarrer l’hôte ; et l’ouverture des URL. Ce RAT montre la sophistication et l’évolution des acteurs des menaces basées sur le cloud.
Les chercheurs de X-Force ont fait un certain nombre de suggestions en réponse à leurs découvertes. Par exemple, ils ont déclaré que les clients devraient utiliser des technologies de sécurité Zero Trust pour inclure la mise en œuvre de l’authentification multifacteur (MFA) et le principe du moindre privilège.
“Cette stratégie est particulièrement importante pour les cloud privés qui peuvent interagir régulièrement avec d’autres actifs sur site”, indique le rapport. « Modernisez la gestion des identités et des accès (IAM) pour réduire le recours aux combinaisons de noms d’utilisateur et de mots de passe et lutter contre le vol d’informations d’identification des acteurs malveillants. »
Ils ont également recommandé d’utiliser des capacités basées sur l’IA pour aider à examiner les identités et les comportements numériques, à vérifier leur légitimité et à fournir une authentification plus intelligente.
Le rapport sur le paysage des menaces est basé sur les données recueillies à partir des renseignements sur les menaces X-Force, des tests d’intrusion, des engagements de réponse aux incidents, de Red Hat Insights et des données fournies par le contributeur du rapport. Cybersixgill entre juin 2022 et juin 2023.
