Selon une étude, les administrateurs ne disposent que d'une courte fenêtre de 15 minutes à 10 heures après la notification de nouvelles vulnérabilités zero-day pour fournir à leurs systèmes des mises à jour de sécurité.
Les attaquants sont de plus en plus rapides lorsqu'il s'agit d'exploiter de nouvelles vulnérabilités zero-day. Cela montre un Étude de Palo Alto Networks, pour laquelle environ 600 incidents de sécurité ont été analysés. En moyenne, il ne faut que 15 minutes après le signalement d'une nouvelle vulnérabilité de sécurité zero-day pour que les criminels recherchent activement sur Internet des systèmes vulnérables. Il en va de même pour certaines des vulnérabilités zero-day les plus graves de l'année écoulée, notamment ProxyShell et ProxyLogon, Log4Shell, ainsi que SonicWall et ADSelfService Plus de ManageEngine de Zoho Corp.
Les vulnérabilités zero-day sont analysées immédiatement
Les chercheurs en sécurité écrivent dans leur rapport qu'ils ont pu observer une augmentation de l'activité d'analyse des systèmes vulnérables chaque fois qu'une nouvelle vulnérabilité était signalée - et cela seulement 15 minutes plus tard ! C'est ce qui s'est passé avec la vulnérabilité critique du logiciel Big-IP de F5, qui a été incluse dans le catalogue en constante augmentation des vulnérabilités activement exploitées par la Cybersecurity and Infrastructure Security Agency (CISA) américaine en mai. Une fois l'erreur connue, les chercheurs en sécurité de Palo Alto ont observé 10 2.500 analyses dans les XNUMX heures suivantes, qui recherchaient spécifiquement les systèmes affectés.
Les
L'étude montre également que le phishing est toujours la passerelle la plus courante pour les pirates à 37 %, mais les faiblesses du logiciel constituent également un risque sérieux et ont été responsables du premier accès des attaquants dans 31 % des cas. Les attaques par force brute, telles que la pulvérisation de mots de passe, ont atteint XNUMX %, les informations d'identification compromises à XNUMX %, les menaces internes et d'ingénierie sociale à XNUMX % chacune et l'abus de relations ou d'outils de confiance à XNUMX %.
Serveurs Exchange non corrigés comme porte dérobée
Plus de 87 % des vulnérabilités utilisées par les pirates pour accéder aux systèmes compromis appartenaient à l'une des six catégories. Dans 55 % des cas où Palo Alto Networks a été appelé à l'aide, les bogues Exchange Server ProxyShell étaient responsables des intrusions. La vulnérabilité était si répandue que plusieurs groupes de pirates, tels que le groupe de rançongiciels Hive, se sont spécialisés dans ces vulnérabilités - bien que Microsoft ait publié des correctifs au début de 2021 qui auraient corrigé les bogues dans ProxyShell et ProxyLogon. Log4j ne représentait que 14 % des cas examinés par Palo Alto, suivi des échecs chez SonicWall à 13 %, ProxyLogon à XNUMX %, ManageEngine à XNUMX % et FortiNet à XNUMX %. Les autres vulnérabilités représentaient les XNUMX % restants.
Tout inclus : Conti, LockBit, ALPHV, BlackCat, BlackMatter
L'analyse des seuls incidents de sécurité impliquant des ransomwares a montré que 22 % des cas pouvaient être attribués au groupe Conti, suivi de LockBit 2.0 à 14 %. D'autres acteurs de rançongiciels tels que Hive, Dharma, PYSA, Phobos, ALPHV/BlackCat, REvil et BlackMatter représentaient chacun moins de 10 % des attaques.
Les
En résumé, les chercheurs en sécurité avertissent que des acteurs moins talentueux deviennent de plus en plus actifs dans le domaine de la cybercriminalité. D'une part, cela pourrait être attribué au nombre sans cesse croissant d'offres de Malware-as-a-Service sur le dark web. D'autre part, les signalements de montants de rançon élevés après des attaques de ransomwares jouent également un rôle non négligeable. Combiné aux pressions économiques croissantes d'une récession mondiale potentielle, de plus en plus de criminels voient leur chance de gagner beaucoup d'argent. Cependant, à mesure que les poursuites contre ces gangs de hackers gagnent en succès, les cas de compromission des e-mails professionnels pourraient également augmenter, comme le préviennent les auteurs de l'étude.
À propos de 8com Le 8com Cyber Defense Center protège efficacement les infrastructures numériques des clients de 8com contre les cyberattaques. Il comprend la gestion des informations et des événements de sécurité (SIEM), la gestion des vulnérabilités et des tests de pénétration professionnels. En outre, il propose le développement et l'intégration d'un système de gestion de la sécurité de l'information (ISMS) incluant la certification selon des normes communes. Des mesures de sensibilisation, des formations à la sécurité et la gestion de la réponse aux incidents complètent l'offre.