Deep Instinct a publié son rapport semestriel sur les cybermenaces 2022 qui se concentre sur les principales tendances et tactiques en matière de logiciels malveillants et de rançongiciels du premier semestre 2022 et fournit des informations et des prévisions clés pour le paysage des menaces de cybersécurité en constante évolution.
« 2022 a été une nouvelle année record pour les cybercriminels et les gangs de rançongiciels. Ce n’est un secret pour personne que ces acteurs de la menace améliorent constamment leur jeu avec de nouvelles tactiques améliorées conçues pour échapper aux cyberdéfenses traditionnelles », a déclaré Mark Vaitzman, chef d’équipe Threat Lab chez Deep Instinct.
Tendances des logiciels malveillants et des rançongiciels au premier semestre 2022
- Changements dans la structure des acteurs menaçants : certaines des activités les plus courantes observées incluent des changements dans le monde des gangs de ransomwares, notamment LockBit, Hive, BlackCat et Conti. Ce dernier a engendré « Conti Splinters » composé de Quantum, BlackBasta et BlackByte. Ces trois anciens groupes affiliés importants à l’opération Conti ont émergé sous leurs propres opérations après le déclin de Conti.
- Campagnes de logiciels malveillants en flux : le rapport met en évidence les raisons des changements importants apportés à Emotet, Agent Tesla, NanoCore et autres. Par exemple, Emotet utilise des macros VBA très obscurcies pour éviter la détection.
- Alors que Microsoft ferme une avenue, les acteurs malveillants en ouvrent d’autres : les chercheurs ont constaté que l’utilisation de documents pour les logiciels malveillants a diminué en tant que vecteur d’attaque numéro un, suite à la décision de Microsoft de désactiver les macros par défaut dans Fichiers Microsoft Office. Les auteurs de menaces ont déjà été vus changer de vitesse et mettre en œuvre d’autres méthodes pour déployer leurs logiciels malveillants, tels que LNK, HTML et archiver les pièces jointes aux e-mails.
- Vulnérabilités exploitables majeures : des vulnérabilités telles que SpoolFool, Follina et DirtyPipe ont mis en évidence l’exploitabilité des systèmes Windows et Linux malgré les efforts déployés pour améliorer leur sécurité. L’analyse du catalogue de vulnérabilités exploitées connues publié par CISA suggère que le nombre de vulnérabilités exploitées dans la nature augmente tous les 3 à 4 mois et nous attendons le prochain pic à mesure que nous nous rapprochons de la fin de l’année.
- Les attaques d’exfiltration de données s’étendent désormais à des tiers : les groupes d’acteurs malveillants utilisent l’exfiltration de données dans leurs flux d’attaque afin d’exiger une rançon pour les données divulguées. Dans le cas de l’exfiltration de données sensibles, il existe moins d’options de correction, de sorte que de nombreux acteurs de la menace vont encore plus loin et exigent des rançons de sociétés tierces si les données divulguées contiennent leurs informations sensibles.
Il n’est pas surprenant que les attaques de ransomwares restent une menace sérieuse pour les organisations, car il existe actuellement 17 bases de données divulguées exploitées par des acteurs de la menace qui exploitent les données pour des attaques contre des sociétés tierces, notamment l’ingénierie sociale, le vol d’informations d’identification et le triple- attaques d’extorsion.
Trois prédictions spécifiques
- Insiders et programmes d’affiliation : les acteurs de la menace malveillante recherchent le maillon le plus faible. Avec les innovations continues en matière de cybersécurité, certains acteurs de la menace choisissent de localiser des cibles faibles ou simplement de payer un initié. Des groupes comme Lapsus$ ne s’appuient pas sur des exploits, mais recherchent plutôt des initiés qui sont prêts à vendre l’accès aux données au sein de leur organisation.
- Protestware en hausse : il y a une augmentation du phénomène tendance des logiciels de protestation, qui peuvent être définis comme l’auto-sabotage de son logiciel et l’armement avec des capacités de malware dans le but de nuire à tout ou partie de ses utilisateurs. La guerre entre la Russie et l’Ukraine a provoqué une augmentation des logiciels de protestation, l’exemple le plus notable étant le node-ipc wiper, un package NPM populaire. Il n’est pas facile de repérer de telles attaques de la chaîne d’approvisionnement, et elles ne sont généralement détectées qu’après avoir touché plusieurs victimes.
- Attaques de fin d’année : alors que nous n’avons pas encore entendu parler d’une vulnérabilité majeure en 2022 similaire aux cas Log4J ou Exchange en 2021 ; il y a une augmentation d’année en année du nombre de CVE attribuées publiquement pour les vulnérabilités signalées. Les acteurs de la menace exploitent encore d’anciennes vulnérabilités en 2022 simplement parce qu’il existe une pléthore de systèmes non corrigés pour les CVE 2021.
Toute l’actualité en temps réel, est sur L’Entrepreneur
