Dans son Active Adversary Report, Sophos décrit comment et avec quels cybercriminels ont mené le plus d'attaques en 2022. Le résultat choquant : ils ont utilisé plus de 500 outils et tactiques différents. C'est ainsi que les ransomwares continuent d'augmenter.
Sophos a publié son Active Adversary Playbook pour les chefs d'entreprise. Le rapport fournit un examen approfondi de l'évolution des comportements et des techniques d'attaque que les attaquants utiliseront en 2022. Les données de plus de 150 cas Sophos Incident Response ont été analysées pour ce rapport. Les chercheurs de Sophos ont identifié plus de 500 outils et techniques uniques, dont 118 binaires vivant hors de la terre (LOLBins). Contrairement aux logiciels malveillants, les LOLBins sont des fichiers exécutables que l'on peut trouver légalement sur les systèmes d'exploitation. Cela rend beaucoup plus difficile pour les défenseurs de les bloquer lorsque les attaquants les utilisent pour des activités malveillantes.
Vulnérabilités non corrigées – Gateway #1
🔎 Les attaquants pénètrent le plus souvent les systèmes via des vulnérabilités non corrigées (Image : Sophos).
De plus, Sophos a constaté que les vulnérabilités non corrigées sont la principale raison pour laquelle les attaquants obtiennent un accès initial aux systèmes ciblés. Dans la moitié des enquêtes, les attaquants ont exploité les vulnérabilités ProxyShell et Log4Shell (apparues pour la première fois en 2021) pour infiltrer les entreprises. La deuxième raison la plus courante des attaques était la compromission des informations d'identification.
"Si les attaquants ne peuvent pas entrer par effraction, ils se connectent. La situation de menace est maintenant devenue si vaste et complexe qu'il n'y a plus de points d'entrée clairement définissables. Aujourd'hui, la plupart des entreprises n'ont plus aucune chance de repousser les attaques par elles-mêmes. Cependant, il existe des outils et des services qui peuvent décharger une partie du fardeau de la défense pour les organisations afin qu'elles puissent se concentrer sur leurs compétences de base », a déclaré John Shier, Field CTO Commercial chez Sophos.
Les ransomwares continuent de dominer
🔎 Les ransomwares restent la menace n°1 (Image : Sophos).
Plus des deux tiers des attaques étudiées par la Sophos Incident Response Team (68 %) consistaient en des ransomwares. Cela confirme que les rançongiciels restent l'une des menaces les plus répandues auxquelles sont confrontées les entreprises. Les ransomwares ont également été responsables de près des trois quarts des enquêtes de réponse aux incidents de Sophos au cours des trois dernières années.
Le temps de séjour des attaquants dans les systèmes d'entreprise diminue
Alors que les ransomwares dominent toujours le paysage des menaces, les temps de séjour des attaquants sont passés de 2022 à 15 jours pour tous les types d'attaques en 10. Pour les cas de ransomware, le temps de séjour a diminué de 11 à 9 jours, tandis que la diminution pour les attaques non-ransomware était encore plus importante. Pour ces derniers, la durée de séjour est passée de 34 jours en 2021 à seulement 11 jours en 2022. Contrairement aux années précédentes, cependant, il n'y a pas de différences significatives dans la durée de séjour entre les entreprises de tailles ou d'industries différentes.
"Les entreprises qui ont réussi à mettre en œuvre des défenses en couches avec une surveillance constante obtiennent de meilleurs résultats en termes de gravité des attaques", a déclaré Shier. "L'effet secondaire des défenses améliorées signifie que les attaquants doivent être plus rapides pour effectuer leurs attaques. Des attaques plus rapides nécessitent donc une détection plus précoce. La course entre les attaquants et les défenseurs continuera de s'intensifier, et ceux qui échouent à mener une surveillance proactive subiront les plus grandes conséquences.
Contexte du rapport
🔎 Le temps de séjour d'un intrus sur le réseau a légèrement diminué en 2022 (Image : Sophos).
Le rapport Sophos Active Adversary Report for Business Leaders est basé sur 152 enquêtes de réponse aux incidents (IR) menées dans le monde entier, couvrant 22 secteurs. Les entreprises étudiées sont situées dans 31 pays différents, dont les États-Unis et le Canada, le Royaume-Uni, l'Allemagne, la Suisse, l'Italie, l'Autriche, la Finlande, la Belgique, la Suède, la Roumanie, l'Espagne, l'Australie, la Nouvelle-Zélande, Singapour, le Japon, Hong Kong, l'Inde, la Thaïlande. Philippines, Qatar, Bahreïn, Arabie saoudite, Émirats arabes unis, Kenya, Somalie, Nigéria, Afrique du Sud, Mexique, Brésil et Colombie. Les secteurs les plus représentés sont l'industrie manufacturière avec 20 %, suivi de la santé (12 %), de l'éducation (9 %) et du commerce de détail (8 %).
Le rapport Sophos Active Adversary pour les chefs d'entreprise fournit aux entreprises les données exploitables sur les menaces et les informations dont elles ont besoin pour optimiser leurs stratégies de sécurité et leurs défenses.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.