L’équipe du Centre de Recherche Avancée de Trellix, spécialiste de la cybersécurité et pionnier dans la détection et la réponse étendues (XDR), dévoile aujourd’hui son CyberThreat Report juin 2023 qui met en avant les grandes tendances en matière d’acteurs malveillants et de méthodes d’attaque utilisées sur le premier trimestre 2023.
Les secteurs de la finance, des télécommunications et de l’énergie de plus en plus attaqués
Tribune – Trellix, spécialiste de la cybersécurité et pionnier dans la détection et de la réponse étendues (XDR), publie aujourd’hui son CyberThreat Report de juin 2023. Ce rapport établi par le Centre de Recherche Avancée de Trellix examine les tendances en matière de cybersécurité pour le premier trimestre 2023. Les informations ont été recueillies par un réseau mondial de chercheurs experts qui analysent quotidiennement plus de 30 millions de détections d’échantillons malveillants. La télémétrie combinée est collectée à partir d’un milliard de capteurs et de données provenant de sources ouvertes et fermées.
« Un an après le début du conflit entre la Russie et l’Ukraine, force est de constater que les États-nations utilisent stratégiquement les cybercrimes à des fins d’espionnage et de perturbation », a déclaré John Fokker, chef du renseignement sur les menaces du Advanced Research Center de Trellix. « Cela génère des risques pour les infrastructures critiques telles que les télécommunications, l’énergie et la fabrication, ce qui confirme l’importance pour les organisations publiques et privées, quelle que soit leur taille, de renforcer leurs défenses contre les cybermenaces croissantes et évolutives. »
Le rapport contient des preuves d’activités malveillantes liées à des ransomwares et à des acteurs de menaces persistantes avancées (APT) soutenues par des États-nations. Il examine également les menaces emails et l’utilisation malveillante d’outils de sécurité légitimes, ainsi que d’autres types de menaces. Les principales conclusions de ce rapport sont les suivantes :
- Cyber espionnage coordonné : Les groupes APT liés à la Chine, dont Mustang Panda et UNC4191, sont les plus actifs dans le ciblage des États-nations, générant 79 % de toutes les activités détectées. Trellix prévoit que les groupes APT poursuivront leurs activités de cyber espionnage et leurs cyberattaques perturbatrices en tandem avec des activités militaires physiques.
- En matière de ransomware, l’argent est roi : sans surprise, les motivations des ransomwares sont principalement financières, comme en témoignent les secteurs de l’assurance (20 %) et des services financiers (17 %) qui ont détecté le plus grand nombre d’attaques. Cependant, les cibles des ransomwares ont tendance aujourd’hui à être de plus petites entreprises du secteur privé. Les victimes les plus courantes sont notamment des entreprises de taille moyenne basées aux États-Unis (48 %), comptant entre 51 et 200 employés (32 %) et réalisant un chiffre d’affaires de 10 à 50 millions de dollars (38 %).
- Cobalt Strike est un favori : Malgré les tentatives en 2022 de rendre plus difficile l’utilisation abusive de l’outil, Cobalt Strike suscite toujours plus d’intérêt en tant qu’outil utilisé et favorisé par les cybercriminels et les acteurs du ransomware. Trellix a détecté l’usage de Cobalt Strike dans 35 % des activités d’États-nations et 28 % des incidents de ransomware, soit près de deux fois plus qu’au quatrième trimestre 2022.
- Les anciennes vulnérabilités, un retour dans le passé : La majorité des vulnérabilités et des bugs les plus critiques consistaient en des contournements de correctifs pour des CVE plus anciens, des bugs de la chaîne d’approvisionnement résultant de l’utilisation d’anciennes bibliothèques, ou des vulnérabilités corrigées depuis longtemps qui n’ont jamais été correctement mises à jour et corrigées. Une vulnérabilité d’Apple divulguée en février de cette année avait des racines aussi anciennes que l’exploit FORCEDENTRY divulgué en 2021.
- Accès frauduleux au Cloud : Les attaques d’infrastructure du Cloud contre des services d’Amazon, de Microsoft, de Google et d’autres continuent d’augmenter. Bien que les attaques plus sophistiquées avec MFA, Proxies et API Execution continuent de se développer, la technique d’attaque dominante reste les comptes valides, avec deux fois plus de détections que tout autre vecteur d’attaque. L’accès frauduleux à des comptes légitimes dans des environnements de travail à distance reste important.
« Les équipes chargées des opérations de sécurité sont engagées dans une course à l’amélioration des capacités de défense pour protéger les organisations contre des attaques croissantes », déclare Joseph « Yossi » Tal, Senior Vice Président du Centre de Recherche Avancée de Trellix. « Déjà en sous-effectif, les équipes fournissent des efforts importants au quotidien pour réussir à traiter des millions de points de données à travers des réseaux complexes. L’objectif de Trellix est de fournir, à travers sa recherche, des éclairages qui contribuent à renforcer l’efficacité des équipes en charge de la cybersécurité. »
Le CyberThreat Report comprend des données exclusives provenant du réseau de capteurs de Trellix, des enquêtes sur les activités des États-nations et des cybercriminels menées par le Advanced Research Center de Trellix, des renseignements de sources ouvertes et fermées, et des sites de fuite d’acteurs de la menace. Le rapport est basé sur la télémétrie liée à la détection des menaces, lorsqu’un fichier, une URL, une adresse IP, un courriel suspect, un comportement sur le réseau ou tout autre indicateur est détecté et signalé par la plateforme Trellix XDR.
Ed Baker, vice-président du Global Channel Sales chez Trellix, déclare :
« Sans surprise, le ransomware reste le principal type de cyberattaque à l’échelle mondiale. Les acteurs de la menace continuent d’utiliser des tactiques telles que le phishing pour manipuler les entreprises afin qu’elles partagent leurs données et ce ne sont pas seulement les grandes entreprises qui sont en danger ; ces dernières informations révèlent que les groupes de ransomware s’attaquent maintenant aux entreprises de taille moyenne. En fait, les entreprises de 51 à 200 employés sont devenues les victimes les plus courantes des campagnes de ransomware, représentant un tiers (32 %) des attaques au cours du premier trimestre 2023. Ces organisations plus petites et moins connues ont tendance à mettre en place des mesures de sécurité moins robustes et manquent souvent de ressources – qu’il s’agisse de budget ou de compétences – pour surveiller et atténuer les menaces par elles-mêmes. Cela peut les rendre vulnérables aux attaques, qui peuvent se propager en amont de la chaîne d’approvisionnement. Les entreprises de cette taille devraient renforcer leurs défenses avec l’aide de partenaires de distribution. En s’adressant à un MSP ou à un MSSP, les entreprises de taille moyenne peuvent bénéficier des ressources, de l’expertise et de la technologie nécessaires pour mieux gérer leur sécurité et réduire les risques. »