Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Secureworks : La compromission des e-mails professionnels double en 2022, dépassant les ransomwares comme tactique de choix en matière de cybercriminalité

mars 2023 par Secureworks®

Alors que l’on parle de menaces avancées basées sur l’IA qui dominent le secteur de la cybersécurité, une nouvelle étude menée par Secureworks® Counter Threat Unit™ a révélé que la plupart des incidents de sécurité réels ont des débuts plus modestes – démontrant ainsi la nécessité pour les entreprises de se concentrer sur la « cyber-hygiène » pour renforcer les contrôles de sécurité permettant de sécuriser de leur réseau.

Entre janvier et décembre 2022, Secureworks a aidé à contenir et à résoudre plus de 500 incidents de sécurité réels. Les données de ces incidents ont été analysées par les chercheurs de Secureworks CTU pour établir les tendances et les menaces émergentes. Les principales conclusions inquent que :

• Le nombre d’incidents impliquant la compromission des e-mails professionnels (BEC) a doublé, remplaçant les ransomwares comme le type le plus courant de cybermenace à motivation financière pour les organisations.
• La croissance du BEC (Business Email Compromission) était liée à une augmentation des campagnes de phishing réussies, représentant 33 % des incidents où le vecteur d’accès initial (IAV) a pu être établi, soit près du triple par rapport à 2021 (13 %).
• Un point d’entrée tout aussi populaire pour les attaquants – à la fois les états et les cybercriminels – consistait à exploiter les vulnérabilités des systèmes connectés à Internet, ce qui représente un tiers des incidents où le vecteur d’attaque initial pouvait être établie. En règle générale, les acteurs de la menace n’avaient pas besoin d’utiliser les vulnérabilités de type « zero-day », mais s’appuyaient plutôt sur des vulnérabilités divulguées publiquement, telles que ProxyLogon, ProxyShell et Log4Shell, pour cibler les machines non corrigées.
• Les incidents liés aux ransomwares ont chuté de 57 %, mais restent une menace essentielle. Cette réduction pourrait être due autant à un changement de tactique qu’à une réduction du niveau de la menace résultant d’une activité accrue des forces de l’ordre autour d’attaques très médiatisées, tel que Colonial Pipeline et Kaseya. De même, les groupes peuvent cibler des organisations plus petites, qui sont moins susceptibles de s’engager avec des intervenants en cas d’incident (ce qui signifie qu’elles ne seraient pas couvertes par le présent rapport).

« La compromission des e-mails professionnels nécessite peu ou pas de compétences techniques, mais peut être extrêmement lucrative. Les attaquants peuvent simultanément hameçonner plusieurs organisations à la recherche de victimes potentielles, sans avoir besoin d’employer des compétences avancées ou d’utiliser des modèles d’affiliation compliqués », commente Mike McLellan, directeur du renseignement chez Secureworks.

« Soyons clairs, les cybercriminels sont opportunistes, ils ne sont pas ciblés. Les attaquants font toujours le tour du parking et voient quelles portes sont déverrouillées. Les « bulk scanners » montreront rapidement à un attaquant quelles machines ne sont pas patchées. Si vos applications accessibles sur internet ne sont pas sécurisées, vous leur donnez les clés du royaume. Une fois qu’ils sont à l’intérieur, le temps est compté pour empêcher un attaquant de tourner cette intrusion à son avantage. Déjà en 2023, nous avons vu plusieurs cas très médiatisés de rançongiciels post-intrusion, qui peuvent être extrêmement perturbateurs et dommageables », a poursuivi McLellan.

Les activités hostiles commanditées par des États sont passées à 9 % des incidents analysés, contre 6 % en 2021. Une écrasante majorité – 90 % – a été attribuée à des acteurs de la menace affiliés à la Chine.

Les attaques à motivation financière représentaient la plupart des incidents faisant l’objet d’une enquête en dehors des activités commanditées par des États, représentant 79 % de l’échantillon total, ce qui est inférieur aux années précédentes. Cela pourrait potentiellement être lié au conflit Russie / Ukraine qui perturbe les chaînes d’approvisionnement de la cybercriminalité. Par exemple, la fuite de fichiers liés au groupe de rançongiciels Conti a entraîné plusieurs mois de récupération avant que le groupe ne s’en remette, ce qui aurait pu influencer le déclin général du rançongiciel.

« Les acteurs de la menace soutenus par les gouvernements ont un objectif différent de ceux qui sont motivés financièrement, mais les outils et les techniques qu’ils utilisent sont souvent les mêmes. Par exemple, des acteurs chinois de la menace ont été détectés en train de déployer des rançongiciels comme écran de fumée pour l’espionnage. L’intention est différente, mais le rançongiciel lui-même ne l’est pas. Il en est de même pour le vecteur d’accès initial ; il s’agit de mettre un pied dans la porte de la manière la plus rapide et la plus simple possible, quel que soit le groupe auquel vous appartenez », poursuit McLellan.

« Une fois qu’un acteur soutenu par un État a franchi cette porte, il est très difficile à détecter et encore plus difficile à expulser. Alors que des États tels que la Chine, la Russie, l’Iran et la Corée du Nord continuent d’utiliser la cybersécurité pour faire avancer les objectifs économiques et politiques de leurs pays, il est encore plus important que les entreprises mettent en place les contrôles et les ressources appropriés pour protéger, détecter et remédier. »

Le rapport a également montré que les contrôles de sécurité fondamentaux dans le cloud étaient soit mal configurés, soit totalement absents, potentiellement en raison d’un déplacement précipité vers le cloud pendant la crise du COVID. Les attaques de fatigue par authentification multifacteur (MFA) - par lesquelles un attaquant bombarde un utilisateur avec des demandes d’accès dans le but de le forcer à se soumettre - étaient également en augmentation.

Pour optimiser la posture de sécurité, Secureworks recommande aux entreprises de s’assurer qu’elles disposent d’une visibilité complète et d’une détection basée sur l’intelligence dans leurs environnements système, réseau et cloud. Les recommandations granulaires qui facilitent la prévention des récidives incluent : la conservation et l’analyse centralisées des journaux sur les ressources du poste de travail ou du serveur, du réseau et du cloud, ainsi que le filtrage Web basé sur la réputation et la détection du réseau pour les domaines et les adresses IP suspects.


Voir les articles précédents

    

Voir les articles suivants