Le nombre d'attaques via des web shells a augmenté à un rythme supérieur à la moyenne au cours des trois premiers mois de 2023. Le rapport Cisco Talos montre que les attaques via les shells Web sont le nouveau vecteur d'attaque le plus important au premier trimestre 1. Les ransomwares peuvent être mieux combattus.
Selon l'analyse de Cisco Talos, ce type d'attaque était responsable d'un quart de tous les incidents sur lesquels l'équipe de réponse aux incidents a enquêté au cours du premier trimestre 2023. Dans le même temps, la proportion d'attaques de ransomwares détectées est passée de 20 % à 10 %. Cependant, les cyber-chercheurs ne donnent pas le feu vert : parce qu'un cinquième de toutes les activités de menace observées étaient attribuables à des mesures prises par des attaquants, qui précèdent et préparent généralement une attaque de ransomware.
Situation des menaces pour le premier trimestre 2023
🔎 De nombreuses attaques via des shells Web : de nombreux comptes d'utilisateurs d'applications Web ne sont protégés qu'avec des mots de passe faibles ou une authentification à facteur unique (Image : Cisco).
Talos, l'une des plus grandes organisations de renseignement sur les menaces commerciales au monde, a publié son évaluation trimestrielle des menaces pour le premier trimestre 2023. En conséquence, les applications Web accessibles au public ont été une cible majeure des acteurs de la menace au cours de cette période. Près de la moitié de toutes les attaques (45 %) utilisent ces applications comme vecteur initial pour accéder aux systèmes. Par rapport au trimestre précédent, cela correspond à une augmentation de 15 %.
Bon nombre de ces attaques utilisaient des shells Web qui compromettaient les serveurs exposés à Internet. De manière générale, un shell Web est un script malveillant qui se fait passer pour un fichier légitime, ouvrant ainsi une porte dérobée au serveur Web. Les shells Web sont généralement "laissés pour compte" pour de nouvelles attaques après une infiltration déjà réussie. Selon les chercheurs de Talos, les attaquants ont profité du fait que de nombreux comptes d'utilisateurs d'applications Web n'étaient protégés que par des mots de passe faibles ou une authentification à facteur unique.
Attaque via des applications web mal sécurisées
"Les échecs de sécurisation des applications Web se vengent", déclare Holger Unterbrink, responsable technique chez Cisco Talos en Allemagne. « Les résultats de notre rapport montrent une fois de plus que l'authentification multifactorielle et les mots de passe forts font désormais partie des bases de la cyberhygiène. Surtout quand il s'agit d'applications aussi importantes que les sites Web.
Défenses renforcées contre les ransomwares : Vice Society atténuée
La menace des rançongiciels reste élevée. Alors que Cisco Talos a enregistré une baisse générale des cas d'extorsion réussis au premier trimestre, l'activité globale des ransomwares reste élevée. Les activités dites "pré-ransomwares" représentaient environ un cinquième de toutes les attaques, de sorte qu'une augmentation des attaques réussies peut à nouveau être attendue dans les mois à venir. Cisco Talos a pu relier bon nombre des mesures d'attaque préparatoires à des groupes de rançongiciels bien connus tels que Vice Society. Selon les chercheurs, l'intervention rapide des équipes de sécurité des entreprises victimes a permis de contenir les attaques avant que le chiffrement ne puisse avoir lieu.
Au premier trimestre 2023, la santé était la principale cible des criminels, suivie de près par le commerce de détail, l'immobilier et l'hôtellerie.
As-tu un instant?
Prenez quelques minutes pour notre enquête auprès des utilisateurs 2023 et contribuez à améliorer B2B-CYBER-SECURITY.de!Vous n'avez qu'à répondre à 10 questions et vous avez une chance immédiate de gagner des prix de Kaspersky, ESET et Bitdefender.
Ici, vous accédez directement à l'enquête
Les documents OneNote comme vecteur d'attaque
🔎 Au premier trimestre 2023, la santé était la principale cible des criminels, suivie de près par le commerce de détail (Image : Cisco).
Les « logiciels malveillants de base » étaient déjà en hausse l'année dernière. Il est largement utilisé et peut être acheté ou téléchargé gratuitement. Les logiciels malveillants de base sont généralement non personnalisés et exploités par les acteurs de la menace à différentes étapes de leurs activités. Au premier trimestre 2023, les chargeurs de marchandises précédemment aperçus tels que Qakbot ont de nouveau fait leur apparition. Qakbot utilisait souvent des documents OneNote malveillants.
L'utilisation de pièces jointes OneNote malveillantes pourrait également être observée dans d'autres tentatives d'attaque. Ainsi, les acteurs de la menace continuent d'expérimenter des types de fichiers qui ne reposent pas sur des macros, selon l'analyse de Talos. Microsoft a commencé à désactiver les macros dans ses applications par défaut en juillet 2022. D'autres applications qui contiennent et gèrent d'autres fichiers sont également affectées.
Autres résultats au premier trimestre 2023
- Dans XNUMX % des cas d'attaque observés, l'authentification multifacteur (MFA) n'était pas du tout activée ou seulement pour quelques comptes et services critiques.
- Les récents succès des forces de l'ordre dans le démantèlement de grands gangs de rançongiciels (par exemple, Hive) ont un effet. Cependant, cela crée de l'espace pour de nouvelles familles ou la formation de nouveaux partenariats. Une nouvelle famille de ransomwares en tant que service (RaaS) est apparue avec Daixin Ransomware au premier trimestre 1.
- La boîte à outils open source Mimikatz a été utilisée dans près de 60 % des déploiements de ransomwares et de pré-ransomwares ce trimestre. Mimikatz est un outil de post-exploitation largement utilisé pour voler les identifiants de connexion, les mots de passe et les jetons d'authentification des systèmes Windows compromis.
À propos de Cisco Cisco est la première entreprise technologique mondiale qui rend Internet possible. Cisco ouvre de nouvelles possibilités pour les applications, la sécurité des données, la transformation de l'infrastructure et l'autonomisation des équipes pour un avenir global et inclusif.