Rapport 2023 : domination des ransomwares

30 octobre 2023
| Pas de commentaires
Rapport 2023 : domination des ransomwares

Partager le post

L’augmentation des ransomwares, des malwares COTS et des attaques contre les fournisseurs de cloud pose de nouveaux défis aux équipes de cybersécurité. Le rapport Elastic Global Threat Report 2023 montre clairement la domination des ransomwares parmi tous les malwares.

Le rapport sur les menaces mondiales d'Elastic Security Labs est basé sur l'analyse de plus d'un milliard de points de données au cours des douze derniers mois. Cela montre que les ransomwares sont toujours en hausse et de plus en plus diversifiés : plus de la moitié de toutes les infections de logiciels malveillants observées ont eu lieu sur des systèmes Linux et les procédures d'accès aux informations d'identification en cas d'intrusion dans les systèmes cloud sont désormais standard. En résumé, les conclusions les plus importantes du rapport :

Tendances des logiciels malveillants

🔎 L'Elastic Global Threat Report 2023 montre clairement la domination des ransomwares parmi tous les malwares (Image : Elastic).

La majorité des logiciels malveillants observés étaient constitués de quelques familles de ransomwares largement utilisées et d'outils dits COTS (Commercial Off-the-Shelf). Alors que des communautés de menaces de plus en plus motivées par des considérations financières déploient ou même proposent des fonctionnalités de type malware-as-a-service (MaaS), les entreprises doivent investir en priorité dans le développement de fonctionnalités de sécurité offrant une visibilité complète sur les comportements de bas niveau afin de découvrir des menaces jusqu'alors non détectées.

  • Les familles de ransomwares les plus répandues que nous avons identifiées grâce aux signatures sont BlackCat, Conti, Hive, Sodinokibi et Stop. Ils étaient responsables d’environ 81 % de toutes les activités de ransomware.
  • Les fonctionnalités des logiciels malveillants COTS telles que Metasploit et Cobalt Strike étaient à l'origine de 5,7 % de tous les événements de signature. Sur les systèmes Windows, ces familles représentaient environ 68 % de toutes les tentatives d'infection.
  • Environ 91 pour cent des événements de signature de logiciels malveillants provenaient de points de terminaison Linux, tandis que ce nombre pour les points de terminaison Windows n'était que d'environ 6 pour cent.

Tendances de comportement des points de terminaison

Les groupes de menaces très experts en technologie échappent aux mesures de sécurité en s'appuyant sur des appareils, des appliances et d'autres plates-formes de pointe avec une très faible visibilité. Le rapport souligne qu'il n'a jamais été aussi important pour les entreprises d'avoir une vue d'ensemble de la résistance aux altérations de leurs capteurs de sécurité des terminaux et d'envisager des projets de surveillance. Cela leur permet de détecter les pilotes de périphériques vulnérables pouvant être utilisés pour contourner les technologies de sécurité. Les organisations disposant de grands environnements Windows doivent également identifier les pilotes de périphériques vulnérables pour désactiver ces technologies essentielles.

  • Au total, plus de 70 % de toutes les alertes de points finaux sont dues à des opérations d’exécution et d’évasion de la défense.
  • Elastic a observé les méthodes les plus discrètes sur les points de terminaison Windows, qui étaient la principale cible des attaques avec 94 % de toutes les alertes de comportement des points de terminaison, suivis par les points de terminaison macOS avec 3 %.
  • Le dumping d'identifiants spécifiques à macOS était responsable de 79 % de tous les cas d'accès aux identifiants, soit une augmentation d'environ 9 % par rapport à l'année précédente. D'après nos observations, ProcessDump.exe, WriteMiniDump.exe et RUNDLL78.exe ont été utilisés plus de 32 % du temps dans les environnements Windows.

Tendances en matière de sécurité du cloud

À mesure que de plus en plus d'organisations passent des déploiements sur site à des environnements hybrides ou entièrement basés sur le cloud, les erreurs de configuration, les contrôles d'accès lâches, les informations d'identification non sécurisées et les modèles dysfonctionnels du principe du moindre privilège (PoLP) sont de plus en plus exploités. Les organisations peuvent réduire considérablement le risque d'une attaque réussie en mettant en œuvre les fonctionnalités de sécurité déjà prises en charge par leurs fournisseurs de cloud et en surveillant leur environnement pour détecter les tentatives courantes d'utilisation abusive des informations d'identification.

  • Pour Amazon Web Services, après évaluation des signaux de détection des menaces, l'ordre suivant apparaît en termes de fréquence des différentes tactiques : évasion de la défense (38 %), accès aux informations d'identification (37 %) et exécution (21 %).
  • 53 % des événements d'accès aux informations d'identification étaient liés à des comptes Microsoft Azure légitimes et compromis.
  • Chez Microsoft 365, une proportion élevée de signaux d’accès aux informations d’identification a été détectée (86 %).
  • 85 % des signaux de détection de menaces sur Google Cloud étaient liés à l'évasion de la défense.
  • La découverte représentait environ 61 % de tous les signaux spécifiques à Kubernetes, dont la plupart étaient des demandes de compte de service inattendues qui ont été rejetées.

« Alors que les attaquants se transforment de plus en plus en entreprises criminelles qui monétisent leurs stratégies d'attaque, le paysage des menaces actuel ne connaît véritablement aucune limite », a déclaré Jake King, responsable du renseignement de sécurité et directeur de l'ingénierie chez Elastic Open Source. Les logiciels malveillants commerciaux et l'utilisation de l'IA ont réduit le risque. barrière d'entrée pour les attaquants. Mais nous constatons également une utilisation croissante de systèmes automatisés de détection et de réponse qui aident le personnel informatique à mieux protéger leurs infrastructures. C’est un jeu du chat et de la souris et nos armes les plus puissantes sont la vigilance et l’investissement continu dans de nouvelles technologies et stratégies de défense. »

Plus sur Elastic.co

 

À propos d'Elastic

Elastic est une plateforme leader pour les solutions basées sur la recherche. Elastic sait qu'il ne s'agit pas seulement de données, mais aussi de réponses. Avec la plateforme Elasticsearch, chacun peut trouver les réponses dont il a besoin, en temps réel et en utilisant l'intégralité de la base de données, quelle que soit sa taille. Elastic propose des solutions complètes de sécurité, d'observabilité et de recherche d'entreprise basées sur le cloud et basées sur l'IA, basées sur la plateforme Elasticsearch, une plateforme de développement déjà utilisée par des milliers d'entreprises, dont plus de 50 % des sociétés Fortune 500.

 

Articles liés au sujet

Rapport : 40 % de phishing en plus dans le monde

Le rapport actuel de Kaspersky sur le spam et le phishing pour 2023 parle de lui-même : les utilisateurs allemands sont à la recherche ➡ En savoir plus

Plateforme de cybersécurité avec protection pour les environnements 5G

Trend Micro, spécialiste de la cybersécurité, dévoile son approche basée sur une plateforme pour protéger la surface d'attaque en constante expansion des organisations, y compris la sécurisation ➡ En savoir plus

Manipulation des données, le danger sous-estimé

Chaque année, la Journée mondiale de la sauvegarde, le 31 mars, rappelle l'importance de sauvegardes à jour et facilement accessibles. ➡ En savoir plus

Les imprimantes comme risque de sécurité

Les flottes d'imprimantes d'entreprise deviennent de plus en plus un angle mort et posent d'énormes problèmes en termes d'efficacité et de sécurité. ➡ En savoir plus

Un malware furtif cible les entreprises européennes

Les pirates informatiques attaquent de nombreuses entreprises à travers l'Europe avec des logiciels malveillants furtifs. Les chercheurs d'ESET ont signalé une augmentation spectaculaire des attaques dites AceCryptor via ➡ En savoir plus

Sécurité informatique : la base de LockBit 4.0 désamorcée

Trend Micro, en collaboration avec la National Crime Agency (NCA) du Royaume-Uni, a analysé la version non publiée en cours de développement. ➡ En savoir plus

La loi IA et ses conséquences sur la protection des données

Avec l'AI Act, la première loi pour l'IA a été approuvée et donne aux fabricants d'applications d'IA un délai de six mois à ➡ En savoir plus

MDR et XDR via Google Workspace

Que ce soit dans un café, un terminal d'aéroport ou un bureau à domicile, les employés travaillent dans de nombreux endroits. Cependant, cette évolution pose également des défis ➡ En savoir plus

Messages RP
, , , , ,