Les ransomwares n'ont réussi à quitter la première place pour la plupart des attaques qu'au deuxième trimestre. Au troisième trimestre, le rapport Cisco Talos indique que pour la première fois, l'éducation est le secteur le plus durement touché par les cyberattaques - par les ransomwares.
Selon l'analyse Cisco Talos Incident Response (CTIR), les ransomwares sont revenus en tête de toutes les cyberattaques au troisième trimestre 2022. Comme au premier trimestre, les tentatives de chantage ont été la méthode d'attaque la plus courante. En plus des représentants bien connus des rançongiciels tels que Hive et Vice Society, de nouvelles variantes telles que Black Basta ont été utilisées. Il y a également eu un changement dans les secteurs les plus touchés : l'éducation a remplacé le secteur des télécommunications.
Liste d'attaques : l'éducation puis la finance
Talos, l'une des plus grandes organisations de renseignement sur les menaces commerciales au monde, a publié son évaluation trimestrielle des menaces pour le troisième trimestre 2022. Selon cela, les attaquants ont le plus souvent ciblé le secteur de l'éducation, suivi de près par la finance, le gouvernement et l'énergie.
"Pour la première fois en 2022, le secteur des télécommunications n'était plus l'industrie la plus attaquée", a déclaré Holger Unterbrink, responsable technique chez Cisco Talos en Allemagne. « Cela pourrait indiquer que les entreprises du monde entier ont considérablement renforcé leurs mesures de protection et sont donc des cibles moins lucratives pour les attaquants. Actuellement, le système éducatif, le secteur public et les fournisseurs d'énergie doivent renforcer leurs défenses, notamment via des solutions d'authentification multi-facteurs et de détection des menaces.
Anciens et nouveaux rançongiciels
Au troisième trimestre, Talos a observé de plus en plus d'attaques via les familles de rançongiciels bien connues Hive et Vice Society. Vive Society a été utilisée de manière disproportionnée pour des cyberattaques contre des établissements d'enseignement, comme l'illustre un cas en Autriche. En analysant les journaux d'événements, les chercheurs en sécurité de Talos ont découvert de nombreuses tentatives d'un hôte infecté pour se connecter à d'autres parties du réseau via le protocole RDP (Remote Desktop Protocol). Cela indiquait un soi-disant "mouvement latéral" des assaillants. Il s'agit de la tentative d'un pirate à partir d'un système compromis de trouver des informations utilisateur avec des autorisations d'accès dans les ordinateurs clients, avec lesquelles il peut ensuite se déplacer sur le réseau.
Talos a également trouvé des indicateurs d'utilisation des logiciels d'accès à distance AnyDesk et TeamViewer, avec plus de 50 systèmes accédant aux URL liées à TeamViewer. Dans le même temps, Windows Defender a été complété par une exception pour l'exécution de "AnyDesk.exe" via le compte SYSTEM.
Le rançongiciel Black Basta au premier plan
En plus des familles de rançongiciels bien connues, la nouvelle variante Black Basta, apparue pour la première fois en avril 2022, a également été de plus en plus utilisée. Par exemple, leur injection a été préparée par des activités Qakbot qui utilisaient le détournement de threads et des fichiers ZIP protégés par mot de passe. Lors d'une attaque contre une entreprise américaine, les attaquants ont probablement d'abord envoyé un e-mail de phishing avec une pièce jointe HTML. Une fois ouvert, il a lancé un JavaScript qui a ensuite téléchargé un fichier ZIP malveillant. Cela a ensuite installé le cheval de Troie Qakbot, que les attaquants ont utilisé pour lancer le rançongiciel Black Basta. La technique du double chantage basée sur celle-ci est particulièrement perfide : si la victime ne paie pas de rançon pour ses fichiers cryptés, il y a un risque que les informations sensibles collectées soient publiées.
Les résultats de Talos montrent clairement que la menace posée par les ransomwares n'a pas été évitée. Pour la première fois, le rapport a enregistré un nombre égal de cas de ransomwares et de pré-ransomwares au troisième trimestre, qui représentaient ensemble près de 40 % des menaces. Les activités pré-ransomware préparent le ransomware pour un déploiement ultérieur, comme dans le cas Black Basta décrit ci-dessus.
Bien que chaque activité menant à une menace de ransomware soit unique, il existe des points communs. Celles-ci incluent l'énumération des hôtes, la collecte des informations d'identification et l'élévation des privilèges. Si aucun rançongiciel n'est utilisé ultérieurement, l'attaquant peut avoir volé suffisamment de données pour causer des dommages importants.
Plus sur Cisco.com
À propos de Cisco
Cisco est la première entreprise technologique mondiale qui rend Internet possible. Cisco ouvre de nouvelles possibilités pour les applications, la sécurité des données, la transformation de l'infrastructure et l'autonomisation des équipes pour un avenir global et inclusif.