En 2023, les réseaux de zombies sont revenus d’entre les morts, les auteurs de ransomwares ont trouvé des moyens créatifs de gagner de l’argent grâce au vol, et les auteurs de menaces en liberté depuis une décennie se sont réinventés pour rester pertinents.
Les experts en renseignement sur les menaces de Cisco Talos ont analysé les principales évolutions de 2023 et les ont résumés dans une revue annuelle qui mérite d'être lue. L’ouvrage standard pour l’année 2023 en matière de cybercriminalité met en évidence les tendances les plus importantes qui ont façonné le paysage des menaces l’année dernière.
Vecteur d'attaque de ransomware
La plus grande menace pour les entreprises en 2023 restait celle des ransomwares. Pour la deuxième année consécutive, LockBit occupe la première place sans gloire dans ce domaine. Et comme d'habitude, les attaquants se sont concentrés sur les installations qui disposent de ressources limitées en matière de cybersécurité ou qui peuvent tolérer peu de temps d'arrêt, notamment dans le secteur de la santé. Cependant, tout ne s’est pas passé comme d’habitude en 2023 : des acteurs comme Clop s’appuyaient sur des exploits zero-day. Un tel comportement est généralement associé à l’activité des groupes Advanced Persistent Threats (APT). Ce qui était également nouveau, c’est que les acteurs du ransomware se sont tournés vers le pur chantage et ont ignoré la partie chiffrement.
« Malheureusement, en 2023, les attaques de type 0-day ne seront plus limitées aux attaquants nationaux », déclare Holger Unterbrink, responsable technique de Cisco Talos en Allemagne. « Si la cible est lucrative, les gangs criminels attaqueront à nouveau avec 0-day. Les entreprises devraient en tenir compte dans leur architecture de sécurité et leur gestion des risques.
Les attaquants adaptent leurs stratégies
Les données télémétriques de Cisco Talos montrent que des chargeurs de produits de familles bien connues telles que Qakbot et IcedID ont continué à être utilisés pour diffuser des ransomwares. Cependant, ces chargeurs se sont débarrassés de tous les vestiges de leur passé de chevaux de Troie bancaires et se présentent désormais comme des outils élégants pour transmettre des données utiles. Les développeurs et les opérateurs ont pu s'adapter à des défenses améliorées et ont trouvé de nouveaux moyens de contourner les mises à jour de sécurité plus fréquentes. La rapidité avec laquelle les groupes de ransomwares ont pu se remettre des succès de leurs enquêtes était également surprenante. Le démantèlement du réseau Quakbot en août 2023 n’a été efficace que pendant une courte période. L'analyse de Talos suggère que les mesures prises par les forces de l'ordre n'ont peut-être pas affecté l'infrastructure d'envoi de spam des opérateurs Qakbot, mais uniquement leurs serveurs de commande et de contrôle (C2).
Périphériques réseau et anciennes vulnérabilités ciblés
Une nouvelle tendance interrégionale est l’augmentation des attaques contre les appareils réseau par des APT et des acteurs de ransomwares. Les deux groupes se sont concentrés sur les vulnérabilités des appareils et les informations d’identification faibles ou incorrectes. Cela montre que les systèmes réseau sont extrêmement précieux pour les attaquants, quelles que soient leurs intentions spécifiques.
En ce qui concerne l'exploitation des vulnérabilités des applications, l'analyse Talos montre qu'en 2023, les attaquants ciblaient principalement les anciennes vulnérabilités, des vulnérabilités connues depuis dix ans ou plus, mais qui, dans de nombreux cas, n'ont toujours pas été corrigées. La majorité des vulnérabilités les plus fréquemment attaquées sont classées comme étant de gravité maximale ou élevée par Cisco Kenna et le Common Vulnerability Scoring System (CVSS), et sont également répertoriées dans le catalogue des vulnérabilités connues de CISA.
Le recours à l’ingénierie sociale pour des opérations telles que le phishing et la compromission de la messagerie professionnelle (BEC) s’est également poursuivi sans relâche en 2023. Cependant, depuis que Microsoft a désactivé les macros par défaut en 2022, les attaquants utilisent de plus en plus d’autres types de fichiers pour masquer leurs logiciels malveillants. Les fichiers PDF ont été l'extension de fichier la plus fréquemment bloquée cette année.
Les activités de l’APT démontrent l’instabilité géopolitique
L’analyse des groupes APT de Chine, de Russie et du Moyen-Orient occupe une grande place dans le rapport Cisco Talos 2023. Les données télémétriques reflètent clairement une augmentation du trafic de données suspectes parallèlement aux événements géopolitiques. Les relations de plus en plus tendues de l'Occident avec les pays de la région Asie-Pacifique ont conduit les groupes APT chinois à être de plus en plus disposés à causer des dommages, en particulier dans le domaine des infrastructures critiques dans des pays comme Taiwan.
Quant aux APT russes, Gamaredon et Turla ont ciblé l’Ukraine, comme prévu. Il est toutefois intéressant de noter que les activités russes n’ont pas démontré toute la gamme de leurs cybercapacités destructrices. Gamaredon ciblait principalement des installations en Amérique du Nord et en Europe, avec un nombre disproportionné de victimes en Europe occidentale. L’acteur de l’APT, MuddyWater, parrainé par l’État iranien, est resté un acteur majeur de la menace au Moyen-Orient en 2023. Cependant, les contre-mesures de l'industrie ont eu un impact sur la capacité du groupe à utiliser ses outils standards, notamment la plateforme de gestion et de surveillance à distance (RMM) Syncro.
Les événements de début octobre 2023 entre le Hamas et Israël ont contribué à ce que plusieurs groupes hacktivistes à motivation politique lancent des attaques non coordonnées et pour la plupart peu sophistiquées contre les deux camps. Une évolution similaire avait déjà pu être observée au début de la guerre russo-ukrainienne. Cisco Talos s'attend à ce que l'environnement géopolitique complexe et dynamique du Moyen-Orient ait également un impact sur le domaine cybernétique.
Informations supplémentaires tirées du rapport Talos :
L'utilisation de comptes valides était l'une des techniques MITRE ATT&CK les plus couramment observées, soulignant que les attaquants s'appuient sur des informations d'identification compromises à différentes étapes de leurs attaques.
Les nouvelles variantes de ransomware utilisaient du code source divulgué par d’autres groupes RaaS. Cela a également permis à des acteurs moins expérimentés de se lancer dans l’extorsion de fonds par ransomware.
Le trafic réseau suspect a montré une forte augmentation d'activité qui a coïncidé avec des événements géopolitiques majeurs et des cyberattaques mondiales, comme l'attaque DDoS à grande échelle contre Microsoft Outlook.
À propos de Cisco Cisco est la première entreprise technologique mondiale qui rend Internet possible. Cisco ouvre de nouvelles possibilités pour les applications, la sécurité des données, la transformation de l'infrastructure et l'autonomisation des équipes pour un avenir global et inclusif.
Articles liés au sujet