Le temps de séjour du ransomware chute à moins de 24 heures

L'analyse du rapport annuel de Secureworks sur l'état des menaces montre que le temps de séjour médian des ransomwares a chuté de 4,5 jours à moins de 24 heures par an

ATLANTA, 6 octobre 2023 /PRNewswire/ -- Un ransomware est déployé dans un délai d'un jour suivant l'accès initial dans plus de 50 % des attaques, indique Secureworks^® (NASDAQ: SCWX) Counter Threat Unittm (CTUtm). En seulement 12 mois, le temps de séjour médian identifié dans le rapport annuel de Secureworks sur l'état de la menace (intitulé « State of the Threat ») est passé de 4,5 jours à moins d'un jour. Dans 10 % des cas, le ransomware a même été déployé dans les cinq heures suivant l'accès initial.

« La réduction du temps de séjour médian est probablement due au désir des cybercriminels de réduire le risque d'être repérés. L'industrie de la cybersécurité est devenue beaucoup plus habile à détecter l'activité qui est un précurseur de ransomware. Par conséquent, les auteurs de menaces se concentrent sur des opérations plus simples et plus rapides à mettre en oeuvre, plutôt que sur de grands événements de chiffrement multisites à l'échelle de l'entreprise qui sont beaucoup plus complexes. Mais le risque de ces attaques est toujours élevé », a déclaré Don Smith, vice-président du renseignement sur les menaces, Secureworks Counter Threat Unit.

« Bien que nous considérions toujours les auteurs de menaces déjà connus comme étant les plus actifs, plusieurs nouveaux groupes de menaces, très actifs, sont responsables d'une augmentation significative du nombre de victimes et des fuites de données. Malgré des démantèlements et des sanctions très médiatisés, les cybercriminels sont des maîtres de l'adaptation, et la menace continue donc de s'accélérer », a poursuivi M. Smith.

Le rapport annuel sur l'état de la menace examine le paysage de la cybersécurité de juin 2022 à juillet 2023. Les principales conclusions sont les suivantes :

• Alors que certains noms familiers tels que GOLD MYSTIC (LockBit), GOLD BLAZER (BlackCat/ALPV) et GOLD TAHOE (Cl0p) dominent toujours le paysage des ransomwares, de nouveaux groupes émergent et répertorient un nombre important de victimes sur les sites de fuites de données de type « name and shame » (ce qui signifie, littéralement, « nommer publiquement et faire honte »). Les quatre derniers mois de la période de référence ont été les plus prolifiques en termes de nombre de victimes depuis le début des attaques de type « name and shame » en 2019.
• Les trois plus grands vecteurs d'accès initial (IAV) observés dans les engagements de ransomware où les clients ont fait appel aux intervenants en cas d'incident de Secureworks étaient les suivants : analyse et exploitation, vol d'informations d'identification et logiciels malveillants de type « maas » (« malware-as-a-service ») transmis par hameçonnage.
• L'exploitation des vulnérabilités connues à partir de 2022 et antérieures à cette date s'est poursuivie et a représenté plus de la moitié des vulnérabilités les plus exploitées au cours de la période considérée.

Groupes de ransomware les plus actifs

Les groupes de menace de l'année 2022 ont continué de dominer l'année 2023. Le LockBit de GOLD MYSTIC en tête de peloton, avec près de trois fois plus de victimes que le deuxième groupe le plus actif, BlackCat, opéré par GOLD BLAZER.

De nouveaux dispositifs ont également vu le jour et ont fait de nombreuses victimes. MalasLocker, 8BASE et Akira (classée en 14^e position) sont tous des nouveaux venus qui ont eu un impact à partir du 2^e trimestre 2023. 8BASE a répertorié près de 40 victimes sur son site de fuite en juin 2023, soit un peu moins que LockBit. L'analyse montre que certaines des victimes ont été attaquées au milieu de l'année 2022, même si elles ont été abandonnées immédiatement. L'attaque de MalasLocker sur les serveurs de Zimbra fin avril 2023 a fait 171 victimes sur son site de fuites en mai. Le rapport examine ce que l'activité du site de fuite révèle réellement sur les taux de réussite des attaques de ransomware. Et ce n'est pas aussi simple qu'il y paraît.

Le rapport révèle également que le nombre de victimes par mois, du mois d'avril au mois de juillet 2023, a été le plus élevé depuis que la pratique du « name and shame » a émergé en 2019. Le plus grand nombre de victimes mensuelles a été posté sur les sites de fuites en mai 2023 avec 600 victimes, soit trois fois plus qu'en mai 2022.

Principaux vecteurs d'accès initial pour les ransomwares

Les trois principaux vecteurs d'accès initial (IAV) observés dans les opérations de ransomware, pour lesquelles des clients ont fait appel aux services de réponse aux incidents de Secureworks, étaient le balayage et l'exploitation (32 %), le vol d'identifiants (32 %) et les logiciels malveillants de type « maas » (« malware-as-a-service ») transmis par hameçonnage (14 %).

L'analyse et l'exploitation impliquent l'identification de systèmes vulnérables, potentiellement via un moteur de recherche comme Shodan ou un scanner de vulnérabilité, puis la tentative de les compromettre avec une exploitation spécifique. Parmi les 12 principales vulnérabilités les plus couramment exploitées, 58 % présentent des dates de CVE antérieures à 2022. L'une d'entre elles (CVE-2018-13379) figure également parmi les 15 entreprises les plus exploitées en 2021 et 2020.

« En dépit de la grande popularité des attaques de style ChatGPT et IA, les deux attaques les plus médiatisées de 2023 à ce jour sont le résultat d'une infrastructure inégalée. En fin de compte, les cybercriminels récoltent les fruits de méthodes d'attaque éprouvées, de sorte que les organisations doivent se protéger avec une hygiène informatique de base et ne pas se laisser prendre par le battage médiatique », a poursuivi M. Smith.

Le monde des attaquants agissant sous l'égide d'un État-nation

Le rapport examine également les activités importantes et les tendances dans le comportement des groupes de menace parrainés par un État, comme la Chine, la Russie, l'Iran et la Corée du Nord. La géopolitique reste le principal moteur des groupes de menace parrainés par un État.

Chine :

La Chine porte désormais une partie de son attention sur l'Europe de l'Est, tout en conservant un fort intérêt pour Taïwan et d'autres voisins proches. Le pays met de plus en plus l'accent sur le commerce furtif dans les attaques de cyberespionnage, un changement par rapport à sa réputation précédente d'attaques de type « smash-and-grab ». L'utilisation d'outils commerciaux tels que Cobalt Strike, ainsi que d'outils open source chinois, minimise le risque d'attribution et se mêle à l'activité des groupes de ransomware post-intrusion.

Iran :

L'Iran reste concentré sur l'activité dissidente, sur l'entrave aux progrès des accords d'Abraham et sur les intentions occidentales relatives à la renégociation des accords nucléaires. Les principaux services de renseignement iraniens ? le ministère du Renseignement et de la Sécurité (MOIS ou VAJA) et le Corps des Gardiens de la révolution islamique (CGRI) ? utilisent tous deux un réseau de sous-traitants pour soutenir les cyberstratégies offensives. L'utilisation de « personas » (se faisant passer pour de vraies personnes ou de fausses personnes créées) est une tactique clé des différents groupes de menace iraniens.

Russie :

La guerre en Ukraine reste au centre de l'activité russe. Cette activité se divise en cyberespionnage et en perturbation. Cette année, le nombre de cybergroupes patriotiques ciblant des organisations considérées comme des adversaires de la Russie a augmenté. Pour les gangs, Telegram est la plateforme de médias sociaux/messagerie de choix pour le recrutement, le ciblage et les célébrations des réussites. L'utilisation malveillante de services cloud tiers de confiance est fréquemment incorporée dans les opérations des groupes de menaces russes.

Corée du Nord :

Les groupes menaçants de la Corée du Nord se divisent en deux groupes : le cyberespionnage et la génération de revenus pour le régime isolé. AppleJeus a été un outil fondamental pour les initiatives de vol financier de la Corée du Nord et, selon Elliptic, les groupes de menace nord-coréens ont volé 2,3 milliards de dollars en crypto-actifs entre mai 2017 et mai 2023 (dont 30 % au Japon).

Rapport sur l'état de la menace 2023

Ce dernier rapport sur l'état des menaces est le septième rapport annuel de Secureworks qui fournit une analyse concise de l'évolution du paysage mondial des menaces de cybersécurité au cours des 12 derniers mois. Les informations contenues dans le rapport sont tirées des observations de première main de Secureworks Counter Threat Unit (CTU) sur les outils et les comportements des auteurs de menaces et comprennent des incidents réels. Notre analyse annuelle des menaces fournit un aperçu approfondi des menaces que notre équipe a observées sur le front de la cybersécurité.

Le rapport de Secureworks, intitulé State of the Threat, peut être lu en entier ici : https://www.secureworks.com/resources/rp-state-of-the-threat-2023

À propos de Secureworks

Secureworks (NASDAQ: SCWX) est un leader mondial de la cybersécurité qui garantit le progrès humain avec Secureworks^® Taegistm, une plateforme SaaS ouverte XDR basée sur plus de 20 ans de recherche et de renseignement sur les menaces dans le monde réel, améliorant la capacité des clients à détecter les menaces avancées, à rationaliser les enquêtes et à y collaborer, et à automatiser les bonnes actions. Connectez-vous avec Secureworks via Twitter, LinkedIn et Facebook et lisez le blog Secureworks.

Logo - https://mma.prnewswire.com/media/1558509/Secureworks_V1_Logo.jpg