Crédit : Dreamstime
Les ransomwares et le phishing étaient les principaux problèmes de cybersécurité pour les services en 2021 , selon l’index annuel X-Force Threat Intelligence d’IBM Security.
Le rapport cartographie les tendances et les schémas observés par X-Force, la plate-forme de partage de renseignements sur les dangers d’IBM, couvrant des points de données cruciaux composé de gadgets de détection de réseau et de points finaux, et d’engagements de réponse aux incidents (IR).
Le rapport, qui couvre 2021, signale que les ransomwares sont le principal type d’attaque ; le phishing et les vulnérabilités non corrigées en tant que principaux vecteurs d’infection ; les environnements cloud, open-source et Docker comme principaux emplacements de concentration pour les logiciels malveillants ; faire l’industrie la plus attaquée; et l’Asie-Pacifique la zone la plus attaquée.
Les rançongiciels ont prospéré malgré les démantèlements du gouvernement fédéral
Les ransomwares représentaient 21 % de toutes les cyberattaques en 2021, selon X-Force. Il s’agit néanmoins d’une baisse de 2 % par rapport à 2020. Les activités de la police ont contribué à réduire les ransomwares en 2021, mais avec un potentiel de reprise en 2022, a déclaré X-Force.
REvil, également appelé Sodinikibi, était le principale souche de ransomware, représentant 37 % des attaques, suivie de Ryuk à 13 % et de Lockbit 2.0 à 7 %. Les autres ransomwares associés aux cyberattaques comprenaient DarkSide, Crystal, BlackMatter, Ragnar Locker, BitLocker, Medusa, EKing, Xorist.
Le rapport a identifié une durée de vie typique des gangs de ransomwares au milieu des importants retraits ces derniers temps.
« Nous avons commencé à remarquer une tendance parmi les groupes de rançongiciels que nous suivons en recommandant qu’il arrive un moment où ils se dissolvent ou doivent apporter un changement afin que les forces de l’ordre puissent perdre leurs traces – et que la durée de vie moyenne à 17 mois », a déclaré Laurance Dine, responsable mondiale de la réponse aux événements chez IBM Security X-Force.
Un exemple d’un tel revirement est le changement de marque du groupe GandCrab en REvil et qui a fonctionné pendant 31 mois avant être finalement fermé en octobre 2021.
Le rapport a découvert qu’il y a cinq phases de mise en œuvre d’une attaque de ransomware :
- Accès préliminaire : inclut les vecteurs d’accès préliminaires tels que le phishing, l’exploitation des vulnérabilités et le protocole de bureau à distance développant un accès cohérent.
- Post-exploitation : implique un RAT (accès à distance à l’outil) ou un logiciel malveillant pour développer un accès interactif.
- Comprendre et développer : filtrer le système régional et élargir l’accès pour les mouvements latéraux.
- Données collecte et exfiltration : reconnaître les informations précieuses et les exfiltrer.
- Mise en œuvre du ransomware : circulation de la charge utile du ransomware.
En outre, le rapport a retracé l’évolution des attaques de ransomware et a conservé pensez à l’utilisation croissante de ce qu’on appelle les triples extorsions, qui combinent le cryptage, l’extraction et le DDoS (rejet de service dispersé) comme une offensive combinée.
La triple extorsion est une attaque de dangers contre la victime et, parfois, les partenaires de la victime, car elle cherche à bombarder les victimes de plusieurs fronts, augmentant l’interruption possible, ajoutant aux résultats mentaux de l’attaque, et augmentant la pression pour payer, selon Dine.
Les attaques d’accès aux serveurs et la compromission des e-mails professionnels (BEC) étaient les 2e et 3e types d’attaques les plus courants, à 14 % et 8 % respectivement, selon le rapport.
Principaux vecteurs : hameçonnage et exploitation des vulnérabilités
L’hameçonnage est devenu la technique d’attaque la plus courante en 2021, utilisée dans 41 % de toutes les attaques, contre 33 % en 2020, tandis que l’exploitation des vulnérabilités ( 34 %) a chuté à la 2e place, contre 35 %.
Les campagnes de phishing simulées par X-Force Red, un réseau mondial de pirates employés pour cambrioler les systèmes des organisations afin de révéler les vulnérabilités, ont généré 17,8 % de clics taux. Lorsqu’il est ajouté à l’appel de vishing (hameçonnage vocal), le taux de clics a bondi trois fois pour atteindre 53,2 %.
« Les fraudes apparentes deviennent un peu plus faciles à identifier par un consommateur avisé typique », déclare Liz Miller, un analyste à l’étude de Constellation Research. « C’est pourquoi les fraudes changent et incluent des aspects d’authenticité accrue comme un appel avec un suivi d’e-mail de phishing. J’ai été personnellement connecté par quelqu’un au sujet d’un éventuel problème de compte avec une institution financière, en utilisant pour envoyer des instructions par e-mail pour traiter exactement la même chose. »
Le rapport souligne que les implémentations d’ensembles de phishing sont généralement de courte durée, avec environ les deux tiers étant utilisées pendant pas plus d’une journée, et seulement environ 75 visiteurs/victimes par version.
Pratiquement tous les déploiements demandaient des informations d’identification utilisateur (identifiants et mots de passe), suivies des informations de carte de crédit (40 %). Vraiment peu de broches ATM demandées (trois pour cent). Microsoft, Apple, Google, Amazon et Dropbox sont parmi les plus usurpés dans les packages de phishing.
Les vulnérabilités non corrigées pour les entreprises en Europe, en Asie-Pacifique, au Moyen-Orient et en Afrique ont causé environ 50 % de toutes les attaques en 2021. Les deux vulnérabilités les plus exploitées ont été découvertes dans les applications professionnelles couramment utilisées Microsoft Exchange et Apache Log4J Library.
Les autres vecteurs d’infection courants déterminés dans le rapport étaient les qualifications volées, la force brute, la procédure de bureau à distance (RDP), les supports amovibles et la pulvérisation de mots de passe.
Les attaques exploitent Docker , open-source, OT
Avec des informations provenant d’Intezer, le rapport a noté que le ransomware Linux avec un code spécial a bondi d’environ 2,5 fois (146 %) pour l’année, soulignant l’innovation dans le secteur. Le rapport note également que les ennemis ne ciblent plus les systèmes Linux génériques et se concentrent sur les conteneurs Docker.
« Le vecteur d’attaque de l’open source, et par extension les environnements conteneurisés dans lesquels le code peut s’asseoir, même segmenté à partir d’autres parties du réseau, a en fait augmenté de manière significative au cours des dernières années », a ajouté Miller. « L’open source, malgré toutes ses meilleures intentions, peut permettre à des vulnérabilités et à des lignes de code malveillant de s’installer au plus profond de bibliothèques qui n’ont pas été touchées depuis une décennie. »
Le rapport note une activité accrue dans l’innovation opérationnelle (OT), avec des ennemis effectuant d’énormes projets de reconnaissance à la recherche d’interactions exploitables dans les réseaux commerciaux.
En 2021, la majorité de ces activités ciblaient le port TCP 502. Ce port utilise une procédure de messagerie de couche application pour la communication client-serveur entre les bus connectés, les réseaux et l’automate programmable ( CPL) dans les réseaux commerciaux. Il y a eu une augmentation de 2204 % de l’activité de reconnaissance ciblant le port 502.
Au sein des organisations connectées à l’OT, 61 % des événements ont été observés dans le secteur de la production, et 36 % des événements observés étaient des ransomwares.
Cyberattaques par région et recommandations
L’Asie-Pacifique a été la région la plus attaquée en 2021, avec 26 % de toutes les attaques. Parmi ces attaques, 20 % étaient des accès au serveur et 11 % des rançongiciels, les deux principales attaques dans la région. La finance – consistant en une couverture d’assurance – et la production ont été les secteurs les plus attaqués, à 30 % et 29 %, respectivement. Le Japon, l’Australie et l’Inde ont été les pays les plus attaqués en Asie-Pacifique.
L’Europe est arrivée en deuxième position avec 24 % de toutes les attaques, concentrées dans la production (25 %) et le financement et l’assurance (18 %). . Les rançongiciels (26 %) et l’accès au serveur (12 %) sont en tête des types d’attaques pour la zone. Le Royaume-Uni, l’Italie et l’Allemagne ont été les pays les plus attaqués d’Europe.
Dans l’ensemble, l’industrie manufacturière a représenté 23,2 % des attaques en 2021, soit une augmentation de 34 % par rapport à l’année précédente. Les rançongiciels (23 %) et l’accès au serveur (12 %) étaient les principales attaques sur ce marché.
Le rapport a conclu qu’une méthode de confiance zéro, l’automatisation de la réaction aux événements et une détection et une action étendues les capacités peuvent être pratiques pour lutter contre les dangers d’aujourd’hui.
Une technique de confiance zéro, avec l’exécution de l’authentification multifacteur et le concept de moindre opportunité, a la possibilité de réduire la sensibilité des organisations aux principaux types d’attaques identifiés dans le rapport, en particulier les rançongiciels et la compromission des e-mails professionnels.
Automatiser les machines pour s’occuper des menaces qui prendraient des heures à une personne ou à une équipe de cyber-experts est une autre alternative, selon le rapport.
Le rapport suggère que la combinaison d’un certain nombre de solutions différentes dans une solution de détection et d’action étendues (XDR) peut fournir aux organisations un avantage pour identifier et bloquer les agresseurs.
« Les cyber-escrocs finissent par être de plus en plus résilient, ingénieux et furtifs dans leur quête d’informations importantes sur les services – donc où les entreprises conservent leurs informations importent plus que jamais », déclare Dine. « Il est essentiel qu’ils modernisent leur infrastructure pour mieux gérer, protéger et gérer le « qui, quoi et pourquoi » de l’accès à leurs données. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
