Rewmi.com L'Equilibre notre Crédo
De septembre à novembre, le groupe de pirates Karakurt a frappé 40 entreprises en procédant à l’extorsion de données sensibles. Leur méthode est particulière puisqu’ils ne viennent pas implanter de charge virale. Ils se terrent le temps nécessaire dans le réseau pour mettre la main sur les informations les plus confidentielles.
Ils n’ont pas perdu de temps mais sont plutôt patients. Créé en juin et actif depuis septembre, le groupe de pirate qui s’appelle Karakurt en était déjà à au moins 40 attaques connues sur des organisations fin novembre. Karakurt n’est pas un groupe de pirates comme les autres. Ses membres ciblent des petites ou moyennes entreprises plutôt que les grosses organisations. De même, ils n’injectent pas de malwares potentiellement destructeurs comme des ransomwares, mais se concentrent uniquement sur l’exfiltration de données.
Une fois les données récupérées, ils passent au chantage à la rançon pour ne pas les diffuser publiquement ou à la concurrence. Cette méthode permet à la fois de ne pas entraver l’activité commerciale des cibles et également d’éviter d’attirer l’attention sur l’attaque. Cette technique porte le nom de living off the land (ou « LotL »). Ce type d’attaque constitue désormais l’une des menaces les plus redoutables. Avec elles, les cybercriminels peuvent prendre tout leur temps en restant parfaitement invisibles.
Le tout est de parvenir à pénétrer le réseau. Pour cela, le point d’entrée privilégié reste l’usurpation d’identité. Ensuite, ils parviennent à implanter un malware qui se fait passer pour un outil de confiance dont les privilèges d’accès sont élevés. Pas de risque d’être détecté par une solution de sécurité, car il n’y a pas de charge utile malveillante. L’objectif est de progresser tranquillement dans le réseau en s’attribuant au fur et à mesure des privilèges supplémentaires en collectant des identifiants pour accéder aux bases de données stratégiques de l’entreprise.
Selon Accenture, dont les équipes de cybersécurité ont découvert ce groupe, pour le moment, 95 % des victimes connues sont basées en Amérique du Nord, tandis que les 5 % restants sont en Europe. Les secteurs ciblés tournent autour de la santé, de l’industrie, du divertissement et de la vente de produits au détail.
Tout le problème reste de pouvoir identifier la présence des hackers dans le réseau puisqu’ils sont tout simplement invisibles. Pour le moment, outre l’application des mises à jour de sécurité, la seule solution reste l’utilisation de systèmes d’authentification à plusieurs facteurs pour protéger les données sensibles.
