Garder une longueur d'avance sur le risque: Rapport semestriel sur les menaces de cybersécurité Trend Micro 2023
20/23
GARDER UNE LONGUEUR D'AVANCE
SUR LE RISQUE
Rapport semestriel sur les menaces de cybersécurité Trend Micro 2023
Un ensemble de solutions de sécurité proactives et holistiques est essentiel, car notre rapport semestriel sur les menaces de cybersécurité indique que les acteurs illégaux changent de cibles, font appel à des innovations et deviennent de plus en plus créatifs pour augmenter l'efficacité et la prolifération.
Les outils basés sur l'IA ont simplifié la mise en place d'escroqueries, en affinant automatiquement le ciblage et en accroissant l'évolutivité avec une multitude de nouveaux crimes. Les acteurs des ransomware ont multiplié le déploiement d'attaques BYOVD (bring-your-own-vulnerable-driver) cette année, tout en exploitant des vulnérabilités zero-day comme celles de GoAnywhere, 3CX, PaperCut et MOVEit. Parallèlement, les menaces en entreprise ont continué d'exploiter les accès via des mots de passe faibles ou par défaut.
Nos données sur la gestion des risques liés à la surface d'attaque (ASRM) indiquent que les États-Unis, le Brésil et l'Inde ont comptabilisé le plus grand nombre d'événements à risque détectés au cours du premier semestre 2023, tandis que les secteurs de la fabrication, de la santé et de la technologie ont enregistré le plus grand nombre de détections au cours de la même période.
Dans les infographies suivantes, nous présentons les principaux enseignements issus de notre télémétrie couvrant la vue la plus large des surfaces d'attaque parmi 500 000 clients commerciaux et des millions de clients grand public. Avec des capteurs natifs sur les endpoints, les emails, la messagerie, le trafic réseau et web, le cloud et la technologie opérationnelle, nous présentons les principales techniques, tactiques et tendances de l'activité des auteurs de menaces. Nous couvrons également les cibles du panorama des risques, avec des menaces telles que les ransomware, cloud et entreprise, ainsi que les menaces persistantes avancées (APT), le tout en un coup d'œil.
RANSOMWARE
Testez plus tôt avec l'approche shift-left pour garder une longueur d'avance sur les groupes de ransomware connectés avec des cibles en constante évolution
Les groupes de ransomware continuent de mettre à jour leurs outils et leurs techniques pour des cibles élargies et une extraction de données efficace. Cette année, un nouvel acteur, Mimic, a détourné l'outil de recherche légitime Everything pour consulter les extensions et les noms de fichiers afin de déterminer quels fichiers chiffrer et éviter. Dans le même temps, le ransomware Royal a élargi ses cibles avec une évolution visant les plateformes Linux.
Nos enquêtes sur Royal et Mimic ont suggéré des liens avec le groupe de ransomware Conti, plus important et plus connu, tandis que notre enquête sur TargetCompany a révélé ses liens avec d'autres familles telles que BlueSky et le ransomware GlobeImposter. Ces liens corroborent notre analyse sur l'évolution des ransomware, présentant la façon dont les collaborations pourraient entraîner une réduction des coûts et une présence accrue sur le marché tout en maintenant l'efficacité des activités criminelles.
Cependant, le gain financier n'est peut-être pas la seule motivation des groupes de ransomware, car les entités gouvernementales pourraient proposer des possibilités de recrutement aux opérateurs au lieu de poursuites. Dans notre rapport du mois de mai sur la porte dérobée RomCom, nous avons présenté dans quelle mesure l'utilisation historique de la porte dérobée dans les attaques à motivation géopolitique contre l'Ukraine depuis au moins octobre 2022 suggère un changement de cibles de Void Rabisu. Les récentes attaques par ransomware sont désormais comparables aux groupes APT en matière de compétences, d'approche et de capacités d'attaque.
Les acteurs des ransomware qui continuent d'agir pour l'argent pourraient également orienter leurs efforts d'exfiltration de données vers le vol de cryptomonnaie, l'usurpation d'identité par email (BEC) et le déploiement de mécanismes courts et faussés pour la manipulation des marchés boursiers. La cryptomonnaie a également rendu les dispositifs de paiement plus efficaces en faveur des auteurs de menaces, soulignant la demande d'analyses shift left, synonyme de mise en œuvre du plus grand nombre possible de mesures pour empêcher les menaces d'entrer dans le réseau en premier lieu, en anticipant des attaques liées aux ransomware qui ne déclenchent une extorsion qu'après avoir obtenu l'accès et exfiltré les données.
INTELLIGENCE ARTIFICIELLE
Les innovations basées sur l'IA simplifient les tâches, même pour les cybercriminels
Dès 2021, 52 % des entreprises ont accéléré leurs projets d'adoption de l'IA en raison de la crise du COVID-19. Parallèlement, les organisations intègrent de plus en plus de capacités d'IA dans leurs opérations. L'adoption de l'IA s'est poursuivie à un rythme stable l'année dernière, 35 % des entreprises utilisant l'IA dans leur activité. Une entreprise sur quatre adopte l'IA pour combler les lacunes en matière de main-d'œuvre et de compétences, tandis que deux entreprises sur trois prévoient d'appliquer l'IA pour atteindre des objectifs de durabilité.
Le secteur de la cybersécurité peut également s'attendre à une augmentation de la demande de techniques anti-fraude sensibles à l'identité ainsi qu'à une hausse du nombre de cybercriminels qui exploitent l'IA pour commettre des crimes virtuels plus efficacement. Les kidnappeurs virtuels, par exemple, utilisent actuellement le clonage vocal, le SIM jacking, ChatGPT et la modélisation de l'analyse et des propensions des réseaux sociaux (SNAP) pour identifier les cibles les plus lucratives et exécuter leur stratagème.
Dans le même temps, ChatGPT et d'autres outils d'IA créent des niveaux d'automatisation imbriqués pour collecter des informations, former des groupes cibles et identifier et hiérarchiser les comportements vulnérables en fonction des revenus attendus pour attirer les victimes de renom (également appelées « gros poissons ») dans des attaques de whaling et des escroqueries sentimentales. D'autres auteurs de menaces agissent sur le long terme et escroquent les victimes en leur dérobant leur argent via des escroqueries d'investissement en cryptomonnaie connues sous le nom de pig butchering. Il existe également des signalements selon lesquelles des assistants de codage basés sur l'IA et ChatGPT peuvent être amenés à écrire du code malveillant.
La survenue de tels cybercrimes ne fera qu'augmenter au fur et à mesure que les particuliers et les entreprises adopteront et investiront dans l'intelligence artificielle pour rationaliser leurs propres opérations.
VULNÉRABILITÉS
L'indice d'exposition aux cyber risques passe à un niveau modéré, mais les menaces abondent toujours au fur et à mesure que les acteurs innovent
L'indice d'exposition aux cyber risques (CRI) est redescendu à un niveau modéré avec un score de +0,01 au second semestre 2022, selon une enquête menée auprès de plus de 3 700 entreprises dans quatre régions. Cependant, les détails de notre rapport indiquent que le CRI d'Amérique du Nord est le plus élevé parmi les régions avec -0,10. Son indice de préparation aux cyber risques diminue de 5,30 à 5,29 et son indice de cybermenace chute de 5,63 à 5,39. Quant aux avis concernant les vulnérabilités, 894 ont été publiés au premier semestre 2023, soit seulement 50 de moins qu'au premier semestre de l'année précédente.
Parallèlement, les auteurs de menaces étendent leur réseau en exploitant les vulnérabilités sur de plus petites plateformes pour des cibles plus spécifiques, telles que le service de transfert de fichiers MOVEit, le logiciel de communication d'entreprise 3CX et une solution logicielle de gestion d'impression, PaperCut. Au mois de juin, le ransomware Clop a exploité une vulnérabilité dans MOVEit et a compromis diverses agences gouvernementales aux États-Unis plus tôt dans l'année, notamment le ministère de l'Énergie, les systèmes universitaires de plusieurs États ainsi que des entreprises privées.
En mai, Google a lancé huit nouveaux domaines de premier niveau (TLD), dont .zip et .mov. Ils peuvent poser des risques de sécurité si des cybercriminels les exploitent pour cacher des URL malveillantes derrière des sites Web légitimes en vue de distribuer des malware et de commettre d'autres attaques : une technique éprouvée qui reste efficace aujourd'hui.
Tandis que les innovations continuent d'évoluer et font appel à plus de données, les auteurs de menaces trouvent d'autres moyens de faire des victimes. Par exemple, les voitures connectées actuelles contiennent plus de 100 millions de lignes de code, procurant des fonctionnalités intelligentes aux utilisateurs, mais ouvrant également des portes aux pirates. De plus en plus de voitures intelligentes étant mises sur le marché, les pirates essaieront d'accéder aux données des comptes des utilisateurs et de les exploiter pour commettre des crimes.
Ces menaces soulignent la nécessité d'une gestion proactive des cyber-risques qui opérationnalise les éléments d'une stratégie Zero Trust ainsi que d'une visibilité et d'une évaluation continues sur l'ensemble du cycle de vie des risques, qui comprendrait la découverte, l'évaluation et l'atténuation. Les investissements en détection et réponse étendues se traduiraient par des données, des analyses et des intégrations suffisantes, à partir desquelles les équipes de sécurité et les chercheurs peuvent collecter des informations sur l'activité des menaces et la capacité des défenses à y faire face.
CAMPAGNES
Les retours de menaces bénéficient de nouveaux outils pour échapper à détection et étendre la portabilité
Les acteurs malveillants continuent de créer des outils et des techniques inédits et mis à jour pour limiter la détection de leur arsenal et étendre leur réseau de victimes.
Dans sa dernière campagne l'année dernière, APT34 a utilisé la communication de commande et de contrôle (C&C) basée sur DNS combinée au trafic de messagerie légitime SMTP (Simple Mail Transfer Protocol) pour contourner les politiques de sécurité dans les périmètres des réseaux. Des enquêtes approfondies révèlent qu'APT34 pourrait être implanté en profondeur dans les différents domaines gouvernementaux.
Earth Preta a recentré son action pour cibler les infrastructures critiques et les institutions clés susceptibles d'affecter les relations, les économies et les bourses nationales et internationales. Le groupe APT utilise désormais des techniques hybrides pour déployer des malware via des liens Google Drive intégrés dans des documents leurres et exploite les vecteurs physiques pour l'intrusion. Il exploite également WinRAR et curl (également connu sous le nom de cURL) et des malware inédits pour collecter et transférer des données. L'imbrication de techniques de renseignement traditionnelles et d'efforts de cybercollecte indique une opération de cyberespionnage hautement coordonnée.
D'autres menaces persistantes réapparaissent également, avec des outils et des indicateurs inédits et améliorés de cibles changeantes. Après une période d'inactivité, le sous-groupe APT41 Earth Longzhi est réapparu avec une nouvelle technique que nous avons surnommée « stack rumbling », qui désactive les produits de sécurité via les options d'exécution de fichiers image (IFEO). Il s'agit notamment d'une nouvelle technique d'attaque par déni de service (DoS) observée pour la première fois dans cette campagne. Alors que des échantillons de cette campagne révèlent que le groupe cible des entreprises aux Philippines, en Thaïlande, à Taïwan et aux Fidji, des documents intégrés dans les échantillons suggèrent que le groupe pourrait ensuite cibler des entreprises au Vietnam et en Indonésie.
AUTRES LECTURES RECOMMANDÉES
LE PANORAMA DES MENACES EN BREF
85629564910
NOMBRE TOTAL DE MENACES BLOQUÉES AU COURS DU PREMIER SEMESTRE 2023
37,0 MILLIARDS
MENACES PAR E-MAIL BLOQUÉES
1ER SEMESTRE 2023
1,1 MILLIARD
URL MALVEILLANTES BLOQUÉES
1ER SEMESTRE 2023
45,9 MILLIARDS
FICHIERS MALVEILLANTS BLOQUÉS
1ER SEMESTRE 2023
44,1 MILLIARDS
DEMANDES LIÉES à LA RÉPUTATION D'EMAILS
1ER SEMESTRE 2023
2,1 BILLONS
DEMANDES LIÉES à LA RÉPUTATION D'URL
1ER SEMESTRE 2023
1,1 BILLON
DEMANDES LIÉES à LA RÉPUTATION DE FICHIERS
1ER SEMESTRE 2023
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.