Comment la guerre en Ukraine affecte les entreprises du monde entier

L’invasion de l’Ukraine montre au monde ce qu’est une « guerre hybride ». Ce terme a été créé par Frank Hoffman pour décrire une guerre qui se déroule sur plusieurs fronts : guerre conventionnelle, méthodes irrégulières telles que les assignations et les cyberattaques. Alors que se déroule cette horrible démonstration d’agression, les aspects numériques de la guerre moderne auront un impact sur de nombreuses entreprises dans le monde entier.

Alors que les sirènes retentissent en Ukraine, les organisations doivent également tirer la sonnette d’alarme en ce qui concerne leurs mesures de cybersécurité. Voici ce à quoi les organisations sont confrontées dans cette guerre hybride.

Une histoire malveillante : « Ayez peur et attendez-vous au pire ».

La Russie utilise depuis longtemps les cyberattaques pour exercer des pressions et mener une guerre par procuration. Les groupes de pirates informatiques soutenus par l’État russe sont réputés pour leurs cyberattaques massives contre des organisations occidentales. L’une des plus importantes de ces dernières années a été l’attaque par ransomware de 2021 contre les États-Unis. Colonial Pipeline par la bande de pirates informatiques REvil.

Plus récemment, 70 sites web du gouvernement ukrainien ont été défigurés lors d’une cyberattaque avec un message d’avertissement à l’écran disant « ayez peur et attendez-vous au pire« . Une analyse de l’attaque a révélé des signes d’implication des services de renseignement russes, mais la Russie a depuis nié toute implication.

Le déni et la désinformation sont des tactiques de guerre typiques de la confusion pour « diviser pour mieux régner ». Cependant, les preuves s’accumulent : 74 % de l’argent extorqué lors d’attaques par ransomware en 2021 a été envoyé à des pirates informatiques associés à la Russie. Avec le recul, on peut se demander si cet argent a été mis de côté pour constituer un trésor de guerre.

Au fur et à mesure de l’invasion de l’Ukraine, d’autres cyberattaques ont été menées contre le gouvernement ukrainien. Une déclaration du blog de Microsoft datant du²⁸ février donne de plus amples informations :

« Le 24 février, le Centre de renseignement sur les menaces de Microsoft (MSTIC) a détecté une nouvelle série de cyberattaques offensives et destructrices dirigées contre l’infrastructure numérique de l’Ukraine. Le blog mentionne qu’une nouvelle variante de logiciel malveillant, « FoxBlade », a été découverte dans le cadre de ces attaques.

Une chose est très probable : l’invasion de l’Ukraine est une guerre hybride, et les cyberattaques ne seront pas contenues à l’intérieur de l’Ukraine.

Sirènes d’alerte pour de nouvelles cyber-attaques

Des mises en garde et des avis ont été publiés dans le monde entier, avertissant les entreprises qu’elles devaient s’attendre à une menace accrue de cyberattaques :

Au Royaume-Uni, le National Cyber Security Centre (NCSC) a publié sur son site web un avis invitant les entreprises britanniques à renforcer leur « résilience en matière de cybersécurité en réponse aux incidents cybernétiques malveillants survenus en Ukraine et dans les environs ».« 

Aux États-Unis, la CISA (Cyber security and Infrastructure Security Agency) a publié un avertissement dans le cadre de son programme « Shields Up ».Shields Up‘, un avertissement concernant un nouveau groupe de ransomware, Conti, lié aux services de renseignement russes :

« Les acteurs du ransomware Conti menacent de « mesures de rétorsion » visant les infrastructures critiques en réponse à « une cyberattaque ou à toute activité de guerre contre la Russie« .

En Australie, le niveau d’alerte en cas de cyberattaque passe à HAUT et le gouvernement déclare que les entreprises sont « encouragées à adopter d’urgence une position de cybersécurité renforcée« .

De même, dans les pays européens, les gouvernements avertissent les organisations et les citoyens de se préparer à une cyberattaque.

L’une des préoccupations concernant la facilité avec laquelle ces cyberattaques seront menées est que les cybercriminels soutenus par la Russie ont passé des années à développer leur savoir-faire en matière de logiciels malveillants et à effectuer des reconnaissances sur les tactiques d’attaque qui ont fait leurs preuves.

Nouveaux logiciels malveillants, tactiques efficaces

Plusieurs nouvelles variantes de logiciels malveillants associées à des gangs de pirates russes ont déjà été identifiées. Elles semblent être basées sur la suppression de données et/ou les ransomwares et sont extrêmement dommageables. En voici quelques exemples HermeticWiper, et WhisperGate, qui corrompent et/ou effacent entièrement les données. Un autre, HermeticRansom, utilise des techniques d’extorsion pour renforcer l’impact négatif du logiciel malveillant.

D’autres recherches ont également révélé l’utilisation de « vers » de logiciels malveillants. Les vers sont particulièrement dangereux car une fois qu’ils pénètrent dans un système, ils se répliquent eux-mêmes et se propagent dans le réseau, infectant les machines et causant des destructions dans tout le réseau. L’une des dernières découvertes s’appelle HermeticWizard, un ver utilisé pour diffuser le logiciel malveillant HermeticWiper.

Les vers pénètrent dans un réseau par diverses méthodes : courrier électronique, clés USB, liens malveillants dans les médias sociaux, appareils IoT non sécurisés, etc.

D’autres variantes de logiciels malveillants feront probablement leur apparition dans le paysage des menaces au fur et à mesure que la guerre se poursuivra.

La CISA et le FBI ont publié un avis commun qui explique les dangers de certaines des dernières variantes de logiciels malveillants. L’avis invite les organisations à :

« …accroître leur vigilance et évaluer leurs capacités en matière de planification, de préparation, de détection et de réaction à un tel événement« .

Ces nouvelles variantes de logiciels malveillants dépendront toujours de tactiques éprouvées, telles que l’hameçonnage et l’ingénierie sociale, pour pénétrer dans un réseau. Comment une entreprise peut-elle se préparer à cette guerre hybride ?

Actions pour protéger votre entreprise et vos employés

Les cybercriminels à l’origine de cette vague de logiciels malveillants de cyberguerre utiliseront des méthodes éprouvées pour infecter rapidement et efficacement. Les organisations doivent utiliser les connaissances de l’industrie de la sécurité pour fermer les écoutilles. Les mesures d’atténuation devraient comprendre les éléments suivants :

• Assurez-vous d’avoir une visibilité sur tous vos actifs informatiques, y compris tous les terminaux, le stockage et les flux de données, les serveurs et les autres appareils.
• Veillez à ce que votre réseau étendu soit doté de solides mesures de sécurité associées aux appareils, aux personnes et aux lieux. Par exemple, appliquez une authentification solide et utilisez les principes du moindre privilège en utilisant la gestion des accès privilégiés (PAM) pour contrôler l’accès.
• Testez vos systèmes de gestion des correctifs pour vous assurer qu’ils atteignent tous les points d’extrémité et les serveurs.
• Mettez en place ou testez un système de sauvegarde sécurisé existant.
• Mettez votre entreprise en état d’alerte renforcée et soutenez cette démarche par une formation de sensibilisation à la sécurité axée sur la menace : complétez votre formation par une évaluation continue de la situation et utilisez des simulations d’hameçonnage pour sensibiliser votre personnel aux campagnes d’hameçonnage susceptibles d’être associées à l’invasion.
• Surveillez l’activité de votre réseau et de vos points d’accès et vérifiez l’accès aux ports pour détecter d’éventuelles vulnérabilités.
• Supprimez ou désactivez toutes les applications inutilisées.
• Vérifiez, mettez à jour et améliorez votre planification et votre stratégie de reprise après sinistre.

Il s’agit là de quelques-uns des domaines clés qui doivent être renforcés en cette période de menace accrue.

Préparez-vous à des représailles

L’ article 5 de la clause de défense collective de l’OTAN pourrait être déclenché en cas de cyberattaque contre un État membre de l’Alliance. La guerre numérique et la guerre conventionnelle pourraient bien finir par converger lorsque l’escalade commencera. La probabilité d’attaques de représailles est élevée, et la meilleure défense est la sensibilisation et la préparation.