Mustang Panda, APT29, APT36, Phobos, Cobalt Strike : Les acteurs émergents de la cybermenace se structurent et les rançongiciels évoluent

0
228

Trellix, le spécialiste de la cybersécurité et pionnier dans la détection et la réponse étendues (XDR), publie aujourd’hui son “Threat Report: Fall 2022” qui se penche sur les tendances en matière de cybersécurité et les méthodes d’attaque utilisées au troisième trimestre 2022. 

Tribune – Le rapport fait état d’un certain nombre d’activités malveillantes liées à des rançongiciels et à des acteurs de menaces persistantes avancées (APT) soutenus par des États. Il examine également les tendances qui se dégagent dans la façon de conduire des cyberattaques, comme les e-mails, l’utilisation malveillante d’outils de sécurité tiers et autres. Les principales conclusions du rapport sont à l’effet que :

  • L’activité des rançongiciels aux États-Unis en très forte croissance : Aux États-Unis seulement, l’activité observée a augmenté de 100 % par rapport au trimestre précédent. À l’échelle mondiale, le secteur des transports est le second secteur le plus touché après les télécommunications. Les APT ont également été détectés dans les transports plus que dans tout autre secteur. 
  • Un pic de détections observé en Allemagne : non seulement l’Allemagne a généré le plus important de détections liées à des APT au troisième trimestre – 29 % de l’activité observée – mais le pays a également enregistré le plus important nombre de détections de ransomwares. Les détections de rançongiciels en Allemagne ont augmenté de 32 % au troisième trimestre vs. le trimestre précédent, et représentent 27% de l’activité mondiale.
  • Les acteurs émergents se structurent : le groupe d’activistes chinois Mustang Panda fait l’objet du nombre de détections le plus élevé au troisième trimestre. Les autres groupes les plus actifs sur ce trimestre étant APT29 (lié à la Russie) et APT36 (lié au Pakistan).
  • Evolution des rançongiciels : Phobos, un rançongiciel vendu sous forme de kit complet à des cybercriminels dans l’underground, a jusqu’à présent échappé à l’attention du grand public. Il représente toutefois 10 % de l’activité mondiale détectée au troisième trimestre et est le deuxième rançongiciel le plus utilisé aux États-Unis sur cette même période. LockBit continue d’être le rançongiciel le plus détecté dans le monde, générant 22 % des détections.
  • Des vulnérabilités anciennes qui continuent de prévaloir : des vulnérabilités vieilles de plusieurs années continuent d’être efficacement exploitées par certains acteurs. Trellix a observé que les vulnérabilités CVE-2017-11882, CVE-2018-0798 et CVE-2018-0802 étaient les plus exploitées dans le cadre des e-mails malveillants reçus par ses clients au troisième trimestre 2022.
  • Utilisation malveillante de Cobalt Strike: l’utilisation de Cobalt Strike se confirme dans 33 % des activités mondiales de rançongiciel et dans 18 % des détections d’APT au troisième trimestre. Cobalt Strike, un outil tiers créé pour émuler des scénarios d’attaque dans le but d’améliorer les opérations de sécurité, devient ainsi un des outils préférés des cyber attaquants.

« 2022 est sans précédent, avec une activité incessante provenant de la Russie et d’autres groupes d’activistes soutenus par des États. À ceci s’ajoute à une nette augmentation du cyber-activisme à motivation politique et des attaques de rançongiciels contre les systèmes de santé et d’éducation. Tout ceci conduisant à la nécessité d’un travail accru visant à étudier et mieux comprendre les acteurs des cybermenaces et les méthodes qu’ils utilisent »,explique John Fokker, Head of Threat Intelligence chez Trellix.

Le Threat Report: Fall 2022 s’appuie sur des données exclusives provenant du réseau Trellix ainsi que sur des renseignements provenant de sources ouvertes et des enquêtes menées par le Trellix Advanced Research Center sur les menaces les plus courantes, comme les rançongiciels et les activités entreprises par les États. La télémétrie liée à la détection des menaces est utilisée aux fins du présent rapport. On parle de détection lorsqu’un fichier, une URL, une adresse IP, un e-mail suspect, un comportement réseau ou tout autre indicateur est détecté et signalé via l’écosystème XDR de Trellix.