Le 24 janvier dernier, le Clusif organisait la 24e édition du Panorama de la Cybercriminalité 2023. Utilisant toujours plus de nouvelles technologies pour mener leurs cyberattaques, les pirates se sont particulièrement concentrés sur le business florissant du vol d’informations, l’infostealer.
Au cours du Panorama de la Cybercriminalité, ont été mentionnés les hackers russophones, notamment les groupes Lockbit et BlackCat / ALPHV mais également le logiciel malveillant populaire, l’infostealer, reconnu pour son efficacité à voler des données de connexion.
L’infostealer, un logiciel malveillant plus discret que le rançongiciel
L‘infostealer (voleurs d’informations) est un logiciel malveillant qui, lorsqu’il est installé sur votre système informatique, essaye de collecter des informations des données formulées comme « logs » : mots de passe, adresses mail, historique de navigateurs. Il exploite souvent les failles de sécurité afin de rassembler de nombreuses données de connexion. Celles-ci sont soit stockées localement et récupérées plus tard, soit envoyées directement sur un serveur distant aux hackeurs.
A l’inverse du rançongiciel, chiffrant un maximum de données afin de les rendre indisponibles par les utilisateurs, l‘infostealer est très discret. Il reste très souvent non détecté. Sa force est donc de s’introduire dans les systèmes informatiques sans que les propriétaires ne se rendent compte de sa présence. Ainsi le but des hackeurs n’est pas d’espionner l’utilisateur en temps réel, mais plutôt de récupérer toutes les informations intéressantes présentes sur l’appareil, de les exfiltrer puis de disparaître sans laisser de trace. Une stratégie totalement différente de celle liée au rançongiciel. En effet, dans ce dernier cas, les hackeurs confrontent directement les victimes avec la cyberattaque en cours et menacent de divulguer des données si la rançon imposée n’est pas payée.
Tout un écosystème autour de l’infostealer
Les infostealers sont souvent vendus sous forme de Malware-as-a-Service (MaaS), soit une solution clés en main. Les plus connus sont Redline, Vidar ou encore Racoon Stealer. Leur utilisation nécessite donc de faibles compétences techniques. De cette manière, ils sont accessibles à un grand nombre d’acteurs malveillants à moindre coût (entre 50 et 300 dollars par mois).
D’une part, les infostealers se révèlent être de grande utilité afin d’obtenir des points d’accès pour pouvoir s’infiltrer dans les réseaux. En effet, cela permet aux agresseurs de récupérer des portes d’accès au système informatique afin de commettre une autre attaque du type rançongiciel par exemple. Ils peuvent donc également servir comme outil afin de réaliser une autre cyberattaque. D’autre part, les cybercriminels peuvent utiliser les données de connexions récupérées à l’aide des infostealers dans le but de les revendre sur des marketplaces présentes sur le darkweb.
Plusieurs victimes en France en 2023
Le 9 mars 2023, le CHU de Brest a été victime d’une cyberattaque en rançongiciel. L’hôpital a fonctionné pendant plusieurs semaines en mode dégradé. Pendant ce temps, les connexions internet sont restées coupées et aucune prise de rendez-vous en ligne n’était possible. Jean-Sylvain Chavanne, RSSI du CHU de Brest, présent lors du Panorama de la Cybercriminalité du Clusif, a précisé que l’attaque a été réalisée grâce à un infostealer installé sur le poste de travail personnel d’un interne. Cet accès a permis de transmettre des données de connexions aux hackers, qu’ils ont ensuite utilisées pour s’infiltrer dans le réseau de l’hôpital. Autre exemple, le 7 juin 2023, l’Université Aix-Marseille a été également ciblée par une cyberattaque, ce qui a grandement perturbé certains de ses services. A l’origine : un infostealer qui a pu récupérer des données de connexion pour pouvoir ensuite les mettre en vente.
En raison de leur capacité à passer inaperçus et de leur utilisation répandue par les hackers, les infostealers constituent une menace significative pour la sécurité informatique tant des entités publiques que privées. Leur prolifération souligne particulièrement l’évolution constante des nouveaux outils adoptés par les cybercriminels.
Les mesures de précaution conseillées par l’ANSSI
Pour éviter que des infostealers ne soient installés sur un outil informatique, il est essentiel de ne pas cliquer sur des liens provenant de sources non sûres voir même d’annonces publicitaires. Certains cybercriminels ont pu infecter des publicités via le service Google Ads. Il est également recommandé de ne pas consulter des pages web douteuses, tels que des sites de streaming illégaux. En effet, en cliquant sur ces liens il est possible que ces logiciels malveillants s’installent sur l’ordinateur ou téléphone portable de l’utilisateur. Le niveau de menaces et d’attaques informatiques ne cesse d’augmenter. La cybercriminalité à but lucratif exploite les vulnérabilités des systèmes, et s’ajoute à l’espionnage stratégique industriel et à la déstabilisation comme le montre le Panorama de la cybermenace publié ce mercredi 28 février par l’Agence nationale de la sécurité des systèmes d’information. L’ANSSI souligne la difficulté d’identifier clairement les cyberattaquants, dont les « modes opératoires cybercriminels pourraient être instrumentalisés par des acteurs étatiques pour conduire des opérations d’espionnage ou de déstabilisation. »
Amelie Köcke pour le Club cyber de l’AEGE
Pour aller plus loin :