Un fournisseur d’IA en cybersécurité a publié son rapport de fin d’année sur les menaces pour le second semestre 2023. Le rapport est basé sur les données de l'ensemble de la clientèle et révèle des développements importants dans les domaines des logiciels malveillants multifonctionnels, des chargeurs, de ViperSoftX et des e-mails de phishing.
Selon l'analyse de Darktrace, au second semestre 2023, le type de menace le plus fréquemment observé était le Malware-as-a-Service (MaaS), qui, avec le Ransomware-as-a-Service (RaaS), représentait la majorité des menaces. outils malveillants utilisés dans les cyberattaques inventés. En raison de la forte demande et des revenus récurrents basés sur les abonnements, Darktrace s’attend à ce que les écosystèmes MaaS et RaaS continuent de croître et restent les plus grandes menaces en 2024. Tous les résultats de l'analyse sont basés sur les informations collectées par l'IA d'auto-apprentissage de Darktrace.
Un malware pour tout
Les logiciels malveillants ne sont plus adaptés à une action ou une tâche spécifique. Il a été perfectionné et peut effectuer de multiples activités, comme un couteau suisse. L’évolution des logiciels malveillants multifonctionnels va se poursuivre et constituer une menace croissante pour les équipes de sécurité en raison de leur adaptabilité et de leur polyvalence. Cela permet aux cybercriminels de mener une série d'activités malveillantes plus efficacement et de réduire le temps qu'ils passent sur les réseaux concernés. Cela réduit également la probabilité de leur détection. La détection des anomalies devient essentielle pour que les organisations puissent garder une longueur d'avance sur les menaces en constante évolution.
Un exemple actuel de malware multifonctionnel est CyberCartel. Ce groupe de hackers latino-américain est actif depuis 2012 et est connu pour exploiter les offres MaaS d'autres souches de malwares telles que le botnet Fenix . L'équipe de recherche sur les menaces Darktrace a découvert une quarantaine de réseaux potentiellement affectés par CyberCartel. En combinant des fonctionnalités de différentes souches et en utilisant une infrastructure C40 commune, CyberCartel peut distribuer efficacement ses logiciels malveillants et voler des informations. Il est très difficile de déterminer avec précision quelle entreprise est affectée par quelle fonction malveillante.
Les ouvre-portes
Les chargeurs ouvrent souvent la porte aux réseaux d’entreprise et représentent la catégorie de menaces la plus fréquemment observée au sein du MaaS et du RaaS et analysée par Darktrace au cours du second semestre 2023. Ils ont été impliqués dans 77 % des attaques examinées, suivis par les cryptomineurs (52 %), les botnets (39 %), les logiciels malveillants de vol d'informations (36 %) et les botnets proxy (15 %). Les pourcentages résultent de plusieurs réponses, car les clients concernés ont été divisés en plusieurs types de menaces en fonction des infections dans chaque catégorie.
Les logiciels malveillants de premier accès, tels que les chargeurs et les voleurs d'informations, continueront de figurer parmi les plus grandes menaces pour les organisations. Il s’agit souvent d’outils MaaS interopérables et flexibles. Darktrace observe souvent qu'ils collectent des données et des informations d'identification pour un accès initial sans transférer de fichiers. Les données sont ensuite souvent vendues. Compte tenu de la valeur croissante des données sur le marché moderne des cybermenaces, les outils MaaS à premier accès restent un problème important pour les équipes de sécurité. De plus, les chargeurs permettent des infections ultérieures de deuxième et troisième étapes pour les attaques malveillantes et les ransomwares.
Un voleur de mot de passe évite la détection
ViperSoftX est un exemple de distribution généralisée de logiciels malveillants de première entrée. Le cheval de Troie Information Stealer and Remote Access (RAT) collecte des informations sensibles telles que les adresses de portefeuille de crypto-monnaie et les informations de mot de passe stockées dans les navigateurs ou les gestionnaires de mots de passe pour faciliter les attaques ultérieures. Il est généralement distribué via des téléchargements de logiciels piratés à partir de domaines suspects, des téléchargements torrent et des générateurs de clés à partir de sites tiers.
Le malware a été observé pour la première fois dans la nature en 2020. Mais de nouvelles souches sont apparues en 2022 et 2023, utilisant des techniques plus sophistiquées pour échapper à la détection. Cela inclut des méthodes de cryptage avancées et des modifications mensuelles des serveurs de commande et de contrôle (C2). Les versions actuelles utilisent également le chargement latéral DLL (Dynamic-Link Library) pour les techniques d'exécution. Ils installent une extension de navigateur malveillante appelée VenomSoftX qui fonctionne comme un voleur d'informations indépendant.
Les e-mails de phishing restent dangereux
La solution Darktrace/Email a découvert 10,4 millions d'e-mails de phishing entre le 1er septembre et le 31 décembre 2023. Parmi ceux-ci, 65 % ont réussi l'authentification via DMARC (Domain-based Message Authentication). Le contournement de ce contrôle de vérification indique que les cybercriminels améliorent de plus en plus leurs tactiques de furtivité et d'évasion. Le fait que seulement 42 % des e-mails de phishing aient été détectés par les principaux fournisseurs de messagerie tels que Microsoft et Google montre les lacunes et les vulnérabilités des mesures de sécurité conventionnelles.
De nouvelles techniques d'ingénierie sociale telles que l'utilisation de codes QR sont conçues pour inciter les destinataires à révéler des informations sensibles telles que les informations de connexion et les informations bancaires ou à télécharger des fichiers malveillants. Avec plus d’un quart des e-mails de phishing observés contenant une grande quantité de texte, les cybercriminels multiplient les efforts pour lancer des campagnes de phishing sophistiquées. Ils peuvent également utiliser des outils d’IA générative pour automatiser les activités d’ingénierie sociale.
Plus sur Darktrace.com
À propos de Darktrace Darktrace, un leader mondial de l'intelligence artificielle pour la cybersécurité, protège les entreprises et les organisations contre les cyberattaques grâce à la technologie de l'IA. La technologie de Darktrace enregistre des modèles de trafic atypiques qui indiquent des menaces possibles. Ce faisant, il reconnaît les méthodes d'attaque nouvelles et jusque-là inconnues qui sont ignorées par d'autres systèmes de sécurité.
Articles liés au sujet