Crédit : Dreamstime
Alors que des progrès significatifs sont réalisés par les organisations internationales par rapport au danger détection et réponse, les ennemis continuent de faire surface, d’innover et de s’adapter aux environnements cibles avec diverses cyberattaques, y compris de nouvelles méthodes, méthodes et procédures d’extorsion et de ransomware (TTP).
Les données proviennent du rapport M-Trends 2022 de Mandiant basé sur des enquêtes sur les activités d’attaques ciblées effectuées entre le 1er octobre 2020 et le 31 décembre 2021. Parmi ses nombreuses découvertes figurent des informations sur les vecteurs d’attaque répandus, de nombreux marchés ciblés et une augmentation de l’activité d’espionnage liée à la Chine.
Les temps de séjour des intrusions diminuent, la détection interne par rapport à l’externe est considérable
Selon la recherche, le temps de séjour médian global, qui est calculé comme le nombre typique de jours pendant lesquels un agresseur est présent dans l’environnement d’une cible avant d’être détecté, est passé de 24 jours en 2020 à 21 jours en 2021.
Néanmoins, il a été découvert que la façon exacte dont un événement est trouvé a un impact considérable sur les chiffres du temps de séjour. Par exemple, le temps de séjour médian mondial pour les événements identifiés en externe est passé de 73 à 28 jours, mais les événements qui ont été reconnus en interne ont vu un allongement du temps de séjour moyen mondial de 12 à 18 jours.
Entités externes a découvert et informé les organisations 62 % beaucoup plus rapidement en 2021 par rapport à 2020, ce que Mandiant doit à des capacités de détection externes améliorées et à des programmes de communication et de sensibilisation plus établis.
Remarquablement, alors que le temps de séjour médian pour les détections internes était plus lent par rapport à 2020, les détections internes étaient toujours 36 % plus rapides que les alertes externes, précise le rapport.
Dans les régions EMEA et Asie-Pacifique, de nombreuses invasions en 2021 ont été identifiées par des tiers externes, 62 % et 76 % respectivement, tandis que dans les Amériques, la plupart des intrusions ont été détectées en interne par les organisations elles-mêmes (60 %). .
En ce qui concerne la circulation du temps de séjour, Mandiant a découvert que les choses étaient approuvées aux deux extrémités du spectre ; 55 % des enquêtes avaient des temps de séjour de 30 jours ou moins, 67 % d’entre elles ayant été découvertes en une semaine ou moins.
Un pic observé dans les temps d’attente entre 90 et 300 jours dans 20 % des enquêtes peut indiquer que des intrusions ne sont pas détectées jusqu’à ce que des actions plus percutantes aient lieu après les phases d’infection et de reconnaissance des cycles de vie des attaques, ou une variation entre la détection organisationnelle capacités et les types d’attaques auxquelles ils font face, a déclaré Mandiant.
Moins d’intrusions passent inaperçues pendant des durées complètes, avec seulement huit pour cent ayant un temps de séjour de plus d’un an, a-t-il ajouté.
De nouveaux groupes de danger émergent , les assaillants de rançongiciels développent des TTP
Mandiant a suivi plus de 1 100 nouveaux groupes à risque tout au long de la période de référence, terminant 2e des groupes à risque appelés FIN12 et FIN13.
FIN12 est un groupe de danger d’inspiration financière à l’origine d’attaques prolifiques de rançongiciel Ryuk remontant au moins à octobre 2018, tandis que FIN13 est un groupe de danger d’inspiration économique qui cible les organisations basées au Mexique, selon le rapport.
Mandiant a également commencé à suivre 733 nouvelles familles de logiciels malveillants, dont 86 % n’étaient pas accessibles au public, poursuivant ainsi le schéma de disponibilité des nouvelles familles de logiciels malveillants, qui est limitée ou très probablement établie de manière indépendante, selon le rapport.
Parmi les familles de logiciels malveillants récemment suivis, les 5 principales classifications étaient les portes dérobées (31 %), les téléchargeurs (13 %), les droppers (13 %), les ransomwares (7 %), les lanceurs (5 % ) et les voleurs d’identifiants (cinq pour cent). Celles-ci sont restées constantes par rapport aux années précédentes, a déclaré Mandiant.
Habituellement, Beacon, Sunburst, Metasploit, SystemBC, Lockbit et Ryuk.B étaient les familles de logiciels malveillants les plus fréquemment observées lors d’intrusions pendant la durée du rapport.
En ce qui concerne les ransomwares, Mandiant a observé des opposants en utilisant de nouveaux TTP pour déployer rapidement et efficacement les ransomwares dans les environnements de service, en gardant à l’esprit que l’utilisation répandue de l’infrastructure de virtualisation dans les environnements d’entreprise (comme vCenter Server) en a fait une cible de choix pour les attaquants de ransomware.
Tout au long de 2021, les plates-formes VMWare vSphere et ESXi ont été ciblées par plusieurs acteurs de la menace, y compris ceux associés à Hive, Conti, Blackcat et DarkSide.
Les attaquants ont été trouvés en train d’activer ESXi Shells et de permettre un accès direct. via SSH (TCP / 22) aux serveurs ESXi pour s’assurer que l’hôte ESXi accède à l’offre restante, en produisant de nouveaux comptes (locaux) à utiliser sur les serveurs ESXi et en modifiant les mots de passe des comptes root pour garantir que les organisations pourraient d ne pas rapidement restaurer le contrôle de leur infrastructure.
Lorsque l’accès aux serveurs ESXi a été acquis, les stars du danger ont utilisé un accès SSH pour publier leur chiffreur (binaire) et tous les scripts shell nécessaires, a précisé Mandiant.
Ils ont utilisé des scripts shell pour découvrir où les fabricants virtuels ont été trouvés sur les banques de données ESXi, arrêter puissamment tous les fabricants virtuels en cours d’exécution, supprimer en outre les instantanés et ensuite parcourir les banques de données pour chiffrer tous les disques de la machine virtuelle et les fichiers de configuration.
La Chine transforme les cyber-opérations et intensifie ses activités d’espionnage
Avec les groupes de menaces nouveaux et émergents et les développements des TTP de ransomwares, Mandiant a également découvert des changements substantiels dans la méthode chinoise pour les cyber-opérations doivent s’aligner sur l’application du 14e plan quinquennal du pays en 2021.
Le rapport a alerté sur le fait que les principales priorités au niveau national incluses dans le plan signifient une augmentation prochaine des stars du lien avec la Chine menant une invasion efforts contre le droit d’auteur ou d’autres préoccupations économiques tactiquement importantes, ainsi que des articles de l’industrie de la défense et d’autres technologies à double usage au cours des deux prochaines années.
Mandiant a gardé à l’esprit de nombreux ensembles d’acteurs de cyberespionnage chinois utilisant les mêmes familles de logiciels malveillants tout au long de la durée du rapport, recommandant la possibilité d’un concepteur de « grand quartier-maître ».
Les organisations gouvernementales étaient les plus secteur ciblé dans toutes les industries du monde, avec 7 des 36 groupes APT et UNC chinois actifs collectant des informations sensibles auprès d’entités publiques, selon le rapport. Mandiant a suggéré que certaines des activités de cyberespionnage chinoises identifiées en 2021 concernent des APT existantes ou d’autres groupes d’UNC.
Exploit le vecteur d’attaque le plus typique, l’organisation et les services financiers les secteurs les plus ciblés
Les exploits étaient le vecteur d’infection initial le plus régulièrement reconnu en 2021, avec 37 % des attaques commençant par un exploit, soit une augmentation de 8 % par rapport à 2020.
La compromission de la chaîne d’approvisionnement était le deuxième vecteur d’infection initiale le plus répandu, représentant 17 % des intrusions en 2021, contre moins de 1 % en 2020. Il convient de noter que 86 % des intrusions par compromission de la chaîne d’approvisionnement en 2021 étaient associées à la violation de SolarWinds et à Sunburst.
Il est intéressant de noter que la recherche a révélé que beaucoup moins d’invasions ont été initiées par hameçonnage en 2021, représentant seulement 11 % contre 23 % en 2020. nced la formation à la sécurité des membres du personnel pour identifier et signaler les tentatives de phishing.
Les intrusions motivées par des moyens financiers sont restées essentielles en 2021, les agresseurs recherchant un gain financier dans 30 % des invasions par le biais de méthodes telles que l’extorsion, la rançon , vol de carte de paiement et transferts illégaux. Les stars ont également donné la priorité au vol d’informations comme objectif principal de la mission, Mandiant déterminant le vol d’informations dans 29 % des intrusions.
En ce qui concerne les secteurs les plus ciblés par les ennemis, les services commerciaux/professionnels et financiers arrivent en tête de liste. dans le monde, représentant respectivement 14 % des attaques. Les soins de santé (11 %), la vente au détail et l’hôtellerie (10 %), ainsi que la technologie et le gouvernement fédéral (tous deux à 9 %) complètent le top 5.
Les organisations doivent répondre aux cybermenaces avec force
« Le rapport M-Trends de cette année expose de nouvelles informations sur la façon dont les stars du danger progressent et utilisent de toutes nouvelles méthodes pour pénétrer dans les environnements cibles », a déclaré Jurgen Kutscher, vice-président exécutif, service livraison, chez Mandiant.
« En raison de l’utilisation croissante et continue des exploits comme vecteur initial de compromission, les entreprises doivent rester concentrées sur l’exécution des bases de la sécurité, telles que la possession, les menaces et la gestion des correctifs. »
L’extorsion et les rançongiciels à multiples facettes continuent de poser des difficultés substantielles aux organisations de toutes tailles et sur tous les marchés, avec une augmentation particulière des attaques ciblant les infrastructures de virtualisation, a-t-il ajouté.
« L’essentiel pour renforcer la durabilité réside dans la préparation. Le développement d’une stratégie de préparation robuste et d’un processus de récupération bien documenté et évalué peut aider les organisations à naviguer efficacement en cas d’attaque et à reprendre rapidement leurs activités commerciales normales. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
