HKOWT news

Think straight, talk straight

GigaWiper, malware destructeur de Microsoft qui agit dans l’ombre avant de frapper

 

Les rançongiciels monopolisent l’attention depuis plusieurs années. GigaWiper rappelle qu’une autre famille de menaces continue d’évoluer dans l’ombre. Ce malware découvert par Microsoft ne cherche pas d’abord à chiffrer des données ou à réclamer une rançon. Il s’installe discrètement, observe, collecte des informations, progresse dans le système d’information puis détruit lorsque le moment est jugé opportun. L’effacement des machines n’est plus l’attaque. C’est l’épilogue.

Cette évolution change la manière d’aborder la détection. GigaWiper fonctionne d’abord comme une porte dérobée complète. Il collecte des identifiants, réalise des opérations de reconnaissance et se déplace latéralement dans le réseau avant d’activer sa charge destructrice. Pour échapper à la vigilance des équipes de sécurité, le malware se fait passer pour une tâche OneDrive ordinaire et communique via une infrastructure déjà présente dans de nombreuses entreprises. Le trafic paraît légitime. C’est précisément ce qui le rend dangereux.

Shane Barney, CISO de Keeper Security, estime que l’erreur consiste à concentrer toute l’attention sur la phase de destruction. « Le récent rapport consacré à GigaWiper nous apprend quelque chose d’important sur l’évolution des logiciels malveillants destructeurs. Il ne s’agit pas ici d’un « wiper » au sens traditionnel du terme, déployé au dernier moment avant qu’un attaquant ne se retire et ne disparaisse. C’est avant tout une porte dérobée pleinement fonctionnelle. La reconnaissance, la collecte d’identifiants et les mouvements latéraux ont tous lieu avant même qu’une quelconque commande destructrice ne soit déclenchée, le logiciel malveillant restant en place dans les environnements compromis pour recueillir des renseignements bien avant d’être identifié. »

Le responsable sécurité invite les entreprises à déplacer leur priorité vers les premières étapes de l’intrusion. « Les conséquences destructrices ne sont qu’un symptôme de ce type de logiciel malveillant. Les responsables de la sécurité doivent voir au-delà du logiciel malveillant lui-même et se concentrer plutôt sur les défaillances qui surviennent plus tôt dans la chaîne, au moment de l’escalade des privilèges et des mouvements latéraux sans restriction. L’accès avec le moins de privilèges possible, la surveillance continue des comptes privilégiés et les contrôles d’accès limités dans le temps réduisent considérablement cette fenêtre d’opportunité. Les organisations doivent toujours partir du principe qu’un point d’ancrage finira par être établi et planifier en conséquence, en s’appuyant sur des processus de réponse aux incidents testés et sur des sauvegardes hors ligne et immuables comme dernière ligne de défense. La question n’est pas de savoir si un attaquant parvient à s’introduire, mais quel préjudice il peut causer avant que vous ne l’arrêtiez. »

Cette logique s’impose progressivement dans les centres opérationnels de sécurité. Les indicateurs les plus inquiétants ne sont plus forcément les fichiers chiffrés ou les serveurs arrêtés, mais les comptes privilégiés détournés, les déplacements invisibles entre les systèmes et ces semaines de présence silencieuse qui précèdent l’attaque visible. GigaWiper rappelle que le véritable champ de bataille ne commence pas lorsque les données disparaissent. Il commence bien avant.

Source: InfoDSI

Translate »
RSS
Follow by Email
YouTube
YouTube
Set Youtube Channel ID
LinkedIn
Share
Telegram
WeChat
WhatsApp
Tiktok