Nilaa Maharjan & Bhabesh Raj Rai, Logpoint Global Services & Security Research
Les cybermenaces augmentent depuis que la Russie a lancé son offensive contre l’Ukraine le 24 février dernier. Logpoint aide les entreprises à se protéger contre les menaces liées aux cyberopérations russes et à la guerre en Ukraine.
Cet article présente les recherches menées sur les cyberattaques offensives et destructrices dirigées contre l’infrastructure numérique de l’Ukraine. Il est accompagné du rapport ‘Emerging Threats Protection’ de Logpoint, couvrant les méthodes de détection, les playbooks d’investigation, les réponses recommandées ainsi que les meilleures pratiques.
Quelques heures avant le lancement de missiles sur l’Ukraine et le franchissement de la frontière par les chars le 24 février dernier, le Threat Intelligence Center (MSTIC) de Microsoft a détecté une nouvelle série de cyberattaques offensives et destructrices dirigées contre l’infrastructure numérique de l’Ukraine.
Grâce aux équipes de cyberdéfense du monde entier, des signatures pour détecter les nouveaux exploits ont été créées et largement divulguées en trois heures seulement. À mesure que de nouvelles menaces apparaissaient, les équipes de défense ont créé davantage de techniques de détection et de prévention et ont émis des recommandations concernant le renforcement des défenses. Il est juste de dire que les équipes de cyberdéfense du monde entier se sont unies pour assurer la sécurité de l’Ukraine et de ses alliés par tous les moyens possibles.
Logpoint a également utilisé son service de protection contre les menaces émergentes pour analyser les principales menaces découvertes au cours de la première phase de la guerre russo-ukrainienne. L’objectif était de comprendre si l’une d’entre elles avait mis nos clients en danger et de s’assurer que ces derniers étaient bien protégés. Bon nombre de ces menaces peuvent être détectées à l’aide de l’ensemble des règles décrites dans le rapport. D’autres peuvent nécessiter une investigation supplémentaire, manuelle ou bien via des Playbooks automatisés.
Historiquement, nous avons constaté une large utilisation, par des acteurs russes, de la famille de malwares NotPetya datant de 2017. Cette fois-ci, nous voyons une nouvelle variété de menaces et de tactiques qui suivent un certain schéma, causant ainsi d’importants dégâts en Ukraine et qui sont susceptibles de se propager dans le reste du monde.
Alors que la guerre fait rage, de nouvelles variantes de malwares sont introduites par des acteurs russes, comme le CaddyWiper, détecté le 14 mars par Esset. Il y a eu au moins quatre attaques de wiper, et notre équipe de recherche ajoute des méthodologies de détection supplémentaires qui suivent les processus et les comportements de ces wipers pour détecter, investiguer et répondre à l’aide de playbooks automatisés. Le rapport ‘Emerging Threats Protection’ présente l’impact sur les systèmes ukrainiens et décrit ces méthodes de détection.
Les attaquants ont ciblé non seulement les institutions gouvernementales ukrainiennes, mais aussi le secteur financier, celui de l’agriculture, les services d’intervention d’urgence, les efforts en matière d’aide humanitaire et les organisations et entreprises du secteur de l’énergie. Cette situation a conduit plusieurs groupes techniques et non techniques à partager des statistiques et des conseils ainsi qu’à apporter leur aide pour soutenir les autorités ukrainiennes.
Récemment, nous avons assisté à une augmentation des attaques contre les fournisseurs d’accès Internet ukrainiens, par exemple l’attaque du 28 mars contre Ukrtelecom, qui a été documentée sur Cloudflare Radar.
Cependant, il semble que la Russie hésite à déployer toutes ses capacités en matière de cyberattaque. Pendant des années, les experts s’attendaient à ce que la prochaine guerre soit une cyberguerre, mais la Russie utilise pour l’instant davantage l’artillerie plutôt que la cyberguerre. Considérant que la CISA a publié des informations sur des attaques importantes contre le secteur de l’énergie dans le monde entier, ce constat est encore plus surprenant et nous nous demandons vraiment quand ces capacités seront utilisées à leur pleine puissance, et contre qui.
Il existe un réel risque que cette cyberguerre naissante en Ukraine se propage dans le monde entier. Afin de vous permettre d’être proactif et vigilant, les équipes Security Research and Global Services de Logpoint ont publié un rapport détaillant les récents incidents, les menaces potentielles et la manière de détecter et de se défendre contre les attaques à l’aide des capacités SIEM et SOAR de Logpoint.
Nous continuerons à informer nos clients concernant les nouvelles règles, méthodologies de détection et playbooks pour nous assurer que notre solution SIEM+SOAR soit bien à jour et en mesure d’assurer la sécurité de votre infrastructure.
