Le rapport sur les menaces met en évidence des changements importants dans les gangs de rançongiciels et les campagnes de logiciels malveillants. Le rapport sur les cybermenaces de Deep Instinct fait allusion à des tactiques inconnues et à de nouvelles victimes en 2022.
Deep Instinct a publié son rapport semestriel sur les cybermenaces 2022. La dernière édition du rapport se concentre sur les principales tendances et tactiques en matière de logiciels malveillants et de ransomwares du premier semestre 2022, fournissant des informations et des prévisions clés pour le paysage des menaces de cybersécurité en constante (et rapide) évolution.
Les principales conclusions du rapport
Changements dans la structure des cybercriminels
Les activités les plus fréquemment observées incluent les changements dans le monde des gangs de rançongiciels, notamment LockBit, Hive, BlackCat et Conti. Ce dernier a produit "Conti Splinters", qui sont composés de Quantum, BlackBasta et BlackByte. Ces trois anciens sous-groupes bien connus du groupe Conti se sont lancés à leur compte après le retrait de Conti.
Campagnes de logiciels malveillants en transition
Le rapport met en évidence les raisons des changements importants chez Emotet, Agent Tesla, NanoCore et autres. Par exemple, Emotet utilise des macros VBA fortement obscurcies pour éviter la détection.
Alors que Microsoft ferme une porte, des acteurs malveillants ouvrent une fenêtre
Les experts de Deep Instinct ont constaté qu'après que Microsoft a désactivé les macros dans les fichiers Microsoft Office par défaut, les documents ne sont plus le principal vecteur d'attaque des logiciels malveillants. Au lieu de cela, les observations ont montré que les cyber-attaquants utilisent désormais d'autres méthodes pour faire proliférer leurs logiciels malveillants, tels que LNK, HTML et archiver les pièces jointes aux e-mails.
Des vulnérabilités majeures facilement exploitables
Vulnérabilités telles que SpoolFool, Follina et DirtyPipe
Ils illustrent l'exploitabilité des systèmes Windows et Linux malgré les efforts d'amélioration de leur sécurité. Une analyse du catalogue des vulnérabilités connues publié par la CISA (la Cybersecurity & Infrastructure Security Agency des États-Unis) montre que le nombre de vulnérabilités exploitées augmente tous les trois à quatre mois, et nous attendons le prochain pic vers la fin de l'année.
Les attaques d'exfiltration de données s'étendent désormais à des tiers
Les groupes de pirates utilisent l'exfiltration de données dans leurs attaques pour exiger une rançon pour les données divulguées. Dans le cas d'une exfiltration de données sensibles, les possibilités de récupération sont moindres, de sorte que de nombreux attaquants vont encore plus loin et demandent des rançons à des sociétés tierces si leurs informations sensibles figurent également parmi les données volées.
Il n'est pas surprenant que les attaques de rançongiciels continuent de représenter une menace sérieuse pour les entreprises étant donné qu'il existe actuellement 17 bases de données divulguées exploitées par des cybercriminels. Ceux-ci utilisent les données pour des attaques contre des sociétés tierces et notamment à des fins d'ingénierie sociale, de vol de données d'accès et de triple extorsion (décrit au point 5).
Le rapport comprend également trois prévisions spécifiques :
Programmes d'initiés et d'affiliation
Les pirates malveillants recherchent toujours le maillon le plus faible du réseau. Avec l'essor des innovations en matière de cybersécurité, certains attaquants choisissent soit de trouver directement des cibles faibles, soit de simplement payer un initié. Des groupes comme Lapsus$, par exemple, comptent moins sur l'exploitation des vulnérabilités que sur des initiés qui sont prêts à vendre l'accès à certaines données au sein de leur organisation.
Les biens de protestation ont le vent en poupe
Le phénomène protestware connaît non seulement une popularité croissante, mais aussi une utilisation croissante. Il s'agit de l'auto-sabotage de son propre logiciel, qui est converti en une cyber-arme indirecte à l'aide de logiciels malveillants et nuit à tous ou à certains utilisateurs. La guerre entre la Russie et l'Ukraine a entraîné une augmentation des logiciels de protestation, l'exemple le plus notoire étant le node-ipc wiper, un package NPM populaire. De telles attaques de la chaîne d'approvisionnement ne sont pas faciles à détecter et elles ne sont généralement découvertes que lorsque plusieurs victimes sont touchées.
Attaques de fin d'année : bien que nous n'ayons pas entendu parler d'une vulnérabilité majeure en 2022 comparable aux cas Log4J ou Exchange en 2021, le nombre de vulnérabilités et d'expositions communes (CVE et vulnérabilités) attribuées publiquement pour les vulnérabilités signalées a augmenté par rapport à l'année précédente. Les cyber-attaquants exploitent toujours les vulnérabilités héritées en 2022 simplement parce qu'il existe une abondance de systèmes non corrigés pour les CVE 2021.
Plus sur DeepInstinct.com
À propos de Deep Instinct
Deep Instinct adopte une approche préventive pour arrêter les rançongiciels et autres logiciels malveillants avec le premier et le seul cadre d'apprentissage en profondeur spécialement conçu pour la cybersécurité.