Au premier trimestre 2023, les attaques contre les secteurs de la finance, des télécommunications et de l'énergie se sont multipliées. Dans l'espace des rançongiciels, le gain financier est toujours crucial pour les groupes APT.
« Plus d'un an après le début de la guerre en Ukraine, les cyberattaques sont devenues une arme stratégique utilisée par les États pour espionner leurs adversaires et alimenter les divisions sociétales », a déclaré John Fokker, responsable de Threat Intelligence, Trellix Advanced Research Center. « Les groupes APT bien connus constituent une menace réelle pour les infrastructures critiques telles que les télécommunications, l'approvisionnement énergétique et la fabrication dans les économies dominantes et les marchés émergents. Il est donc impératif que les acteurs publics et privés prennent des mesures défensives appropriées pour se protéger contre les attaques de plus en plus sophistiquées des cybercriminels parrainés par l'État.
Le dernier rapport du Trellix Advanced Research Center couvre le premier trimestre 2023 et fournit des mises à jour sur les activités liées à la sécurité dans les domaines des ransomwares, des attaques APT nationales, des menaces par e-mail, de l'utilisation abusive des outils de sécurité, etc.
Les résultats les plus importants en un coup d'œil :
Espionnage coordonné dans le cyberespace
Les groupes APT liés à la Chine, tels que Mustang Panda et UNC4191, ont été les plus notables au premier trimestre. Ces acteurs représentaient 79% de toutes les attaques identifiées avec un arrière-plan étatique. On peut supposer que les groupes APT continueront à l'avenir d'associer l'espionnage et la perturbation du cyberespace aux activités militaires conventionnelles.
Quand il s'agit de rançongiciels, l'argent est tout ce qui compte
Dans l'espace des rançongiciels, le gain financier est toujours crucial. Les secteurs de l'assurance et de la finance sont ainsi souvent ciblés (respectivement 20% et 17%). Les victimes des sites de fuites sont majoritairement des entreprises américaines (48%) de taille moyenne avec 51 à 200 employés (32%) et un chiffre d'affaires de 10 à 50 millions USD (38%).
Cobalt Strike continue d'être populaire
Malgré les tentatives faites en 2022 pour rendre Cobalt Strike moins attrayant pour une utilisation abusive, il gagne en popularité parmi les cybercriminels et les acteurs des ransomwares. Par exemple, Cobalt Strike était impliqué dans 35 % des activités des États-nations et 28 % des menaces de ransomwares, soit près du double par rapport au quatrième trimestre 2022.
Une salutation du passé
De nombreuses vulnérabilités critiques résultent du contournement des correctifs pour les CVE hérités, des bogues de la chaîne d'approvisionnement qui exploitent des bibliothèques obsolètes ou de vulnérabilités de sécurité qui n'ont pas été résolues de manière cohérente. Un exemple en est le problème Apple découvert en février 2023, qui remonte finalement à l'exploit FORCEDENTRY de 2021.
Accès non autorisé au cloud
L'infrastructure d'Amazon, de Microsoft et de Google devient de plus en plus la cible des cybercriminels. Bien que des stratégies d'attaque plus sophistiquées utilisant l'authentification multifacteur, la compromission du serveur proxy et l'exécution d'API continuent de jouer un rôle, la plupart des intrus pénètrent dans les systèmes en utilisant des comptes valides. Concrètement, ce vecteur d'attaque est utilisé deux fois plus souvent que les autres méthodes. L'accès non autorisé à des comptes d'utilisateurs légitimes dans le cadre du télétravail est et reste un problème sérieux.
Tâche herculéenne : protéger les entreprises des attaques
« Les équipes des opérations de sécurité luttent chaque jour pour protéger efficacement les surfaces d'attaque en expansion de leurs organisations », a déclaré Joseph « Yossi » Tal, SVP, Trellix Advanced Research Center. « Les services en sous-effectif chronique doivent garder un œil sur des millions de points de données dans des réseaux de plus en plus complexes. Trellix les soutient dans cette tâche herculéenne en fournissant des informations et des analyses complètes qui peuvent se traduire directement par une plus grande sécurité.
Le rapport CyberThreat exploite les données exclusives du réseau de capteurs Trellix, l'analyse du Trellix Advanced Research Center sur les cyberactivités criminelles et parrainées par le gouvernement, les données provenant de sources ouvertes et fermées et les sites de fuite des acteurs menaçants. Les preuves de menace sont la détection et le signalement basés sur la télémétrie d'un fichier, d'une URL, d'une adresse IP, d'un e-mail suspect, d'un comportement réseau ou d'un autre indicateur via la plate-forme Trellix XDR.
Plus sur Trellix.com
À propos de Trellix Trellix est une entreprise mondiale qui redéfinit l'avenir de la cybersécurité. La plate-forme ouverte et native Extended Detection and Response (XDR) de la société aide les organisations confrontées aux menaces les plus avancées d'aujourd'hui à avoir l'assurance que leurs opérations sont protégées et résilientes. Les experts en sécurité de Trellix, ainsi qu'un vaste écosystème de partenaires, accélèrent l'innovation technologique grâce à l'apprentissage automatique et à l'automatisation pour soutenir plus de 40.000 XNUMX clients commerciaux et gouvernementaux.