Les attaquants s'appuient de plus en plus sur l'exfiltration de données

18 avril 2025
| Pas de commentaires
Les attaquants s'appuient de plus en plus sur l'exfiltration de données
Exposition

Partager le post

Les cybercriminels adaptent leurs méthodes pour contourner les mesures de sécurité de plus en plus strictes des défenseurs, selon les conclusions d'un récent rapport sur les menaces. Dans les attaques par ransomware, les attaquants s'appuient de plus en plus sur le vol de données, affinent les escroqueries BEC (Business Email Compromise) et exploitent les vulnérabilités connues pour infiltrer les entreprises du monde entier.

Arctic Wolf exploite l’un des plus grands SOC commerciaux au monde. Le rapport a été créé sur la base des données relatives aux menaces, aux logiciels malveillants, à la criminalistique numérique et aux réponses aux incidents collectées par Arctic Wolf dans le cadre de ses opérations de sécurité. Il fournit des informations approfondies sur l’écosystème mondial de la cybercriminalité, met en évidence les tendances mondiales en matière de menaces et fournit des recommandations stratégiques en matière de cybersécurité pour 2025.

Exposition

Nouveau modèle économique des ransomwares : voler des données au lieu de les crypter

Malgré une application accrue de la loi, les attaques par ransomware représentent la plus grande part des cas d'IR enregistrés, soit 44 %. Alors que les entreprises développent des stratégies de sauvegarde de plus en plus performantes, permettant une récupération plus rapide, les cybercriminels ont adapté leur stratégie et utilisent presque toujours l’exfiltration de données dans leurs attaques. Dans 96 % des cas de ransomware analysés, les attaquants ont volé des données. Les auteurs peuvent ensuite revendre les données volées ou menacer l’entreprise de publier des données clients ou d’autres données commerciales sensibles.

L'industrie manufacturière et le secteur de la santé sont particulièrement vulnérables à ce type d'attaque, car la tolérance aux temps d'arrêt est particulièrement faible, les attaques peuvent causer des dommages importants et les données personnelles sensibles sont utilisées comme moyen de pression pour payer, en particulier dans le secteur de la santé.

Exposition

Abonnez-vous à la newsletter maintenant

Lisez les meilleures nouvelles de B2B CYBER SECURITY une fois par mois



En cliquant sur "S'inscrire", j'accepte le traitement et l'utilisation de mes données conformément à la déclaration de consentement (veuillez ouvrir pour plus de détails). Je peux trouver plus d'informations dans notre Déclaration de protection des données. Après votre inscription, vous recevrez d'abord un e-mail de confirmation afin qu'aucune autre personne ne puisse commander quelque chose que vous ne voulez pas.
Développer pour plus de détails sur votre consentement
Il va sans dire que nous traitons vos données personnelles de manière responsable. Si nous collectons des données personnelles auprès de vous, nous les traitons conformément aux réglementations applicables en matière de protection des données. Vous trouverez des informations détaillées dans notre Déclaration de protection des données. Vous pouvez vous désinscrire de la newsletter à tout moment. Vous trouverez un lien correspondant dans la newsletter. Après votre désinscription, vos données seront supprimées dans les plus brefs délais. La récupération n'est pas possible. Si vous souhaitez recevoir à nouveau la newsletter, il vous suffit de la commander à nouveau. Faites de même si vous souhaitez utiliser une adresse e-mail différente pour votre newsletter. Si vous souhaitez recevoir la newsletter proposée sur le site, nous avons besoin d'une adresse e-mail de votre part ainsi que d'informations nous permettant de vérifier que vous êtes le propriétaire de l'adresse e-mail fournie et que vous acceptez de recevoir les bulletin. D'autres données ne sont pas collectées ou ne sont collectées que sur une base volontaire. Nous utilisons des fournisseurs de services de newsletter, qui sont décrits ci-dessous, pour traiter la newsletter.

CleverReach

Ce site Web utilise CleverReach pour envoyer des newsletters. Le fournisseur est CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Allemagne (ci-après « CleverReach »). CleverReach est un service permettant d'organiser et d'analyser l'envoi de newsletters. Les données que vous saisissez dans le but de vous abonner à la newsletter (par exemple l'adresse e-mail) seront stockées sur les serveurs de CleverReach en Allemagne ou en Irlande. Nos newsletters envoyées avec CleverReach nous permettent d'analyser le comportement des destinataires de la newsletter. Cela peut inclure Le nombre de destinataires qui ont ouvert le message de la newsletter et la fréquence à laquelle le lien de la newsletter a été cliqué sont analysés. À l'aide de ce que l'on appelle le suivi des conversions, il est également possible d'analyser si une action définie au préalable (par exemple, l'achat d'un produit sur ce site Web) a eu lieu après avoir cliqué sur le lien dans la newsletter. De plus amples informations sur l'analyse des données par la newsletter CleverReach sont disponibles sur : https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Le traitement des données a lieu sur la base de votre consentement (art. 6 al. 1 lit. a DSGVO). Vous pouvez révoquer ce consentement à tout moment en vous désinscrivant de la newsletter. La légalité des opérations de traitement de données qui ont déjà eu lieu n'est pas affectée par la révocation. Si vous ne souhaitez pas une analyse par CleverReach, vous devez vous désinscrire de la newsletter. À cette fin, nous fournissons un lien correspondant dans chaque message de la newsletter. Les données que vous avez stockées chez nous dans le but de vous abonner à la newsletter seront stockées par nous ou par le fournisseur de service de newsletter jusqu'à ce que vous vous désabonniez de la newsletter et supprimées de la liste de distribution de la newsletter après que vous ayez annulé la newsletter. Les données que nous stockons à d'autres fins ne sont pas affectées. Une fois que vous avez été retiré de la liste de distribution de la newsletter, votre adresse e-mail peut être stockée par nous ou le fournisseur de services de newsletter dans une liste noire si cela est nécessaire pour empêcher de futurs envois. Les données de la liste noire ne seront utilisées qu'à cette fin et ne seront pas fusionnées avec d'autres données. Cela sert à la fois votre intérêt et notre intérêt à respecter les exigences légales lors de l'envoi de newsletters (intérêt légitime au sens de l'art. 6 al. 1 lit. f RGPD). Le stockage dans la liste noire n'est pas limité dans le temps. Vous pouvez vous opposer au stockage si vos intérêts l'emportent sur nos intérêts légitimes. Pour plus d'informations, voir la politique de confidentialité de CleverReach à l'adresse: https://www.cleverreach.com/de/datenschutz/.

Le traitement des commandes

Nous avons conclu un contrat de traitement des commandes (AVV) pour l'utilisation du service susmentionné. Il s'agit d'un contrat requis par la loi sur la protection des données, qui garantit que les données personnelles des visiteurs de notre site Web ne sont traitées que conformément à nos instructions et dans le respect du RGPD.

600.000 XNUMX $ de rançon en moyenne

Les demandes de rançon moyennes sont similaires à celles de l’année précédente, soit 600.000 36 USD – une activité lucrative pour les cybercriminels. Dans le même temps, les évaluations ont montré que les entreprises victimes peuvent réduire considérablement les montants demandés avec l’aide de négociateurs de rançon professionnels. En moyenne, les entreprises qui coopèrent avec Arctic Wolf n’ont dû payer que XNUMX % du montant initialement demandé.

« Les groupes de ransomware ont fait évoluer leur modèle économique : même s'il existe une bonne stratégie de sauvegarde, la menace de publier ou de revendre les données clients volées met les entreprises sous une pression massive, souvent avec des conséquences financières et réputationnelles dévastatrices », explique le Dr Sebastian Schmerl, vice-président régional des services de sécurité EMEA chez Arctic Wolf. Cette tactique rend les sauvegardes traditionnelles inefficaces comme seul moyen de protection. Les entreprises doivent donc s'appuyer de plus en plus sur une détection complète des menaces, des stratégies « zero trust » et des approches proactives de sécurité pour identifier les attaques en amont et prévenir les fuites de données.

Compromission des e-mails professionnels : les attaquants suivent l'argent

La compromission de courrier électronique professionnel (BEC) est un type d'escroquerie par hameçonnage par courrier électronique dans lequel un acteur malveillant tente de tromper les membres d'une organisation pour qu'ils soumettent des fonds ou des données confidentielles (par exemple, compromission de compte ou fraude au PDG). Les incidents BEC représentent 27 % des cas IR observés et restent la deuxième tactique de fraude la plus courante.

Ce type de cyberfraude se concentre sur les organisations qui échangent de l'argent et des données de paiement par courrier électronique à grande échelle : le secteur de la finance et des assurances a représenté 26,5 % des cas BEC-IR, soit environ deux fois plus que le deuxième secteur classé, les services juridiques et administratifs. Les attaques BEC ont représenté plus de la moitié (53 %) des cas d’incidents d’intrusion dans le secteur de la finance et des assurances, le seul secteur où les attaques BEC ont dépassé le nombre d’incidents de ransomware.

« L'hameçonnage et la compromission des identifiants restent les principales causes des attaques BEC. L'IA permet aux acteurs malveillants de lancer des attaques de plus en plus sophistiquées et personnalisées. Par conséquent, une formation de sensibilisation ne suffit pas à elle seule à prévenir tous les incidents, mais elle permet d'identifier rapidement la multitude d'attaques mal exécutées. Par conséquent, outre la formation, les entreprises doivent également mettre en place des contrôles d'accès rigoureux. Une combinaison de gestion des mots de passe et d'authentification multifacteur moderne, comme les méthodes biométriques ou les clés de sécurité physiques, est essentielle pour prévenir efficacement les accès non autorisés », explique le Dr Schmerl.

Peu de vulnérabilités sont exploitées de manière disproportionnée

Les intrusions ont été la troisième cause la plus fréquente des cas d’IR enregistrés, soit 24 %, soit une augmentation significative par rapport à l’année précédente (14,8 %). En 2024, plus de 40.000 134,46 vulnérabilités de sécurité ont été enregistrées. On a également constaté une augmentation de 15,3 % des vulnérabilités critiques et graves. Les secteurs financiers et des assurances (15,3%) ainsi que les institutions éducatives et à but non lucratif (XNUMX%) ont de nouveau été particulièrement touchés.

Dans 76 % des cas d’intrusion, les attaquants n’ont exploité que dix vulnérabilités spécifiques, qui étaient toutes des failles de sécurité déjà connues pour lesquelles des mesures de correction appropriées auraient déjà été disponibles. La plupart de ces incidents étaient liés à des outils d’accès à distance et à des systèmes et services accessibles de l’extérieur. Dans certains cas, les attaquants ont exploité des erreurs de configuration telles que des ports ouverts, des sites Web internes accessibles de l'extérieur ou des comptes administratifs vulnérables aux tactiques de force brute pour obtenir l'accès. Cela montre clairement à quel point la gestion proactive des correctifs est importante.

La gestion des correctifs est essentielle

« De nombreuses entreprises hésitent à déployer des correctifs, même si les vulnérabilités sont connues depuis longtemps et que des mises à jour sont disponibles. Souvent, des processus clairs font défaut, des inquiétudes concernant d'éventuelles interruptions d'activité ou des pénuries de personnel existent. Or, tout système non corrigé est une porte ouverte aux attaquants – et c'est précisément sur cela que comptent les cybercriminels », explique le Dr Schmerl. Une gestion efficace des vulnérabilités, avec des processus de correctifs automatisés et une surveillance continue de la surface d'attaque et de l'évolution du paysage des menaces, est donc essentielle pour minimiser le risque d'attaques réussies. Si les entreprises ne disposent pas des ressources internes nécessaires, elles peuvent collaborer avec des partenaires de sécurité comme Arctic Wolf, qui peuvent les accompagner dans l'amélioration de leur sécurité sur le long terme.

Plus sur ArcticWolf.com

 

À propos du loup arctique

Arctic Wolf est un leader mondial des opérations de sécurité, fournissant la première plate-forme d'opérations de sécurité native dans le cloud pour atténuer les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.

 

Articles liés au sujet

Plus de 130.000 2024 violations de données en Europe en XNUMX

Dans les 15 pays européens, plus de 2024 violations de la protection des données ont été recensées chaque jour en 365, selon les résultats d'une analyse récente. En Allemagne ➡ En savoir plus

F5 BIG-IP : le BSI met en garde contre des vulnérabilités extrêmement dangereuses

Le BSI a émis un avertissement concernant les produits F5 car ils contiennent plusieurs vulnérabilités de sécurité très dangereuses qui devraient être corrigées. La GRANDE PI ➡ En savoir plus

Attaques DDoS : le moyen le plus important de la cyberguerre

Au cours du second semestre 2024, il y a eu au moins 8.911.312 XNUMX XNUMX attaques DDoS dans le monde, selon les résultats d'un récent rapport DDoS Threat Intelligence. ➡ En savoir plus

Cybercriminalité : la clandestinité russophone en tête

Un nouveau rapport de recherche fournit un aperçu complet du cyberespace underground russophone. Cet écosystème a eu un impact significatif sur la cybercriminalité mondiale ces dernières années. ➡ En savoir plus

Iran, Corée du Nord, Russie : les hackers d'État s'appuient sur ClickFix 

Les groupes de pirates informatiques soutenus par l’État adoptent de plus en plus de nouvelles techniques d’ingénierie sociale développées à l’origine par des cybercriminels motivés par des intérêts commerciaux. ClickFix est désormais renforcé ➡ En savoir plus

TA4557 : Venom Spider cible les services RH

TA4557, mieux connu sous le nom de Venom Spider, exploite de plus en plus le phishing et tente de déployer son malware de porte dérobée. Particulièrement au centre de l'attention ➡ En savoir plus

Résilience informatique : la cybersécurité au niveau du stockage

Plus de fonctionnalités de sécurité des données pour une plus grande résilience informatique au niveau du stockage : les responsables de la cybersécurité peuvent adopter une approche proactive de la sécurité des données au niveau du stockage avec un stockage NetApp hautement sécurisé et ainsi ➡ En savoir plus

La brasserie Oettinger attaquée par un ransomware

Le groupe APT Ransomhouse affirme avoir attaqué avec succès la brasserie allemande Oettinger avec un ransomware. Sur la page de fuite du groupe APT ➡ En savoir plus

 

Stories
, , , , , , , ,