La cybercriminalité est de plus en plus florissante en tant que modèle commercial, les ransomwares et les ransomwares en tant que service sont des moteurs d'innovation et les données d'accès volées agissent de plus en plus comme une vache à lait. Selon Sophos, l'année 2023 attend également les entreprises de la cyberdéfense.
Sophos a publié son rapport sur les menaces 2023. Entre autres choses, le rapport décrit un nouveau degré de commercialisation au sein de la cybercriminalité, à la suite duquel des offres de lancement à bas seuil sont de plus en plus disponibles pour les attaquants potentiels : presque tous les scénarios peuvent être achetés. Un marché en plein essor de la cybercriminalité en tant que service s'adresse à un public criminel allant des très férus de technologie aux complètement ignorants.
Les sujets du rapport Sophos sur les menaces actuel
- L'industrie de la cybercriminalité en tant que service a atteint un nouveau niveau de commercialisation qui supprime de nombreuses barrières à l'entrée pour les prospects de la cybercriminalité et, compte tenu de la liquidité, met des tactiques de menace avancées entre les mains de presque tous les criminels.
- Les ransomwares continuent d'être l'une des principales menaces auxquelles sont confrontées les entreprises, les cybercriminels se concentrant sur "l'innovation" dans leurs tactiques d'attaque et leurs techniques d'extorsion.
- La guerre en Ukraine a entraîné une restructuration des alliances criminelles et une refonte du paysage des rançongiciels.
- Les cybercriminels utilisent de plus en plus le vol d'informations d'identification pour infiltrer les réseaux ciblés.
Les auteurs de menaces continuent d'utiliser des outils et des exécutables légitimes pour lancer des attaques et introduisent de plus en plus leurs propres vulnérabilités. - Les appareils mobiles sont au centre des nouvelles tendances de la cybercriminalité - les appareils Android et iOS sont concernés.
- L'une des formes les plus anciennes de cryptocriminalité - l'extraction de crypto - est en déclin car le Monero (l'une des devises les plus populaires) perd de sa valeur. La fraude cryptographique, en revanche, est déjà une industrie en pleine croissance en Asie du Sud.
Ransomware en tant que moteur du marché et modèle pour d'autres types de logiciels malveillants
🔎 Les trois premiers groupes LockBit, BlackCat et Phobos représentent 40% des attaques (Image : Sophos).
Les marchés clandestins criminels tels que Genesis facilitent depuis longtemps l'achat de logiciels malveillants et de services de mise en œuvre de logiciels malveillants ("malware-as-a-service") et la vente en masse d'identifiants volés et d'autres données. Au cours de la dernière décennie, toute une économie de « ransomwares en tant que service » a émergé à mesure que les ransomwares gagnaient en popularité. Les cybercriminels ont pris le succès de cette infrastructure en exemple et emboîtent le pas. Alors maintenant, en 2022, le modèle "as-a-service" s'est massivement étendu, et presque tous les aspects de la cybercriminalité - de l'infection initiale aux moyens d'éviter la détection - sont à vendre.
De plus, les places de marché cybercriminelles fonctionnent de plus en plus comme des entreprises normales. Certaines places de marché ont mis en place des pages dédiées aux candidatures et au recrutement des salariés, où les demandeurs d'emploi décrivent brièvement leurs compétences et qualifications.
"Les cybercriminels vendent désormais des outils et des compétences qui n'étaient autrefois entre les mains que de certains des attaquants les plus sophistiqués en tant que services à d'autres acteurs", a déclaré Sean Gallagher, chercheur principal sur les menaces chez Sophos. "Par exemple, au cours de l'année écoulée, nous avons vu des publicités pour OPSEC-as-a-Service, où les vendeurs proposaient d'aider les attaquants à cacher les infections Cobalt Strike, et nous avons vu Scanning-a-Service, qui donne aux acheteurs l'accès à des informations légitimes. des outils commerciaux comme Metasploit afin qu'ils puissent trouver des vulnérabilités et ensuite les exploiter. La commercialisation de presque tous les composants de la cybercriminalité ouvre de nouvelles opportunités pour tous les types d'attaquants.
Report des partenariats cybercriminels en raison de la guerre en Ukraine
Traditionnellement, les Ukrainiens et les Russes sont depuis longtemps partenaires dans le domaine de la cybercriminalité, en particulier en ce qui concerne les rançongiciels. Avec le déclenchement de la guerre, cependant, certains gangs se sont séparés. Entre autres choses, cela a conduit aux Conti Leaks - la publication des journaux de discussion de ce groupe de rançongiciels. Un autre compte Twitter a également affirmé avoir espionné les membres présumés de Trickbot, Conti, Mazo, Diavol, Ryuk et Wizard Spiders. Dans l'ensemble, cependant, le travail international contre les ransomwares n'est pas devenu plus facile. C'est ainsi que les groupes de rançongiciels se sont regroupés, et il semble, entre autres, qu'un nouveau "REvil" ait émergé.
Les ransomwares restent populaires et innovants
Malgré l'expansion de l'infrastructure de la cybercriminalité, les rançongiciels restent très populaires et très rentables. Au cours de l'année écoulée, les opérateurs de ransomwares ont travaillé pour étendre leur service d'attaque potentiel, ciblant des plateformes autres que Windows et introduisant de nouveaux langages comme Rust et Go pour éviter la détection. Certains groupes, notamment Lockbit 3.0, ont diversifié leurs opérations et développé des méthodes plus « innovantes » d'extorsion des victimes.
« Si nous parlons de la sophistication croissante de l'underground criminel, il en va de même pour le monde des ransomwares. Lockbit 3.0, par exemple, propose désormais des programmes de primes de bogues pour ses logiciels malveillants et recherche des idées auprès de la communauté criminelle pour améliorer ses opérations. D'autres groupes sont passés à un "modèle d'abonnement" pour accéder à leurs données pillées, et d'autres encore les vendent aux enchères. Les ransomwares sont devenus avant tout une entreprise », a déclaré Gallagher.
🔎 Quasar, Redline et Agent Tesla sont les principaux voleurs d'informations mais la concurrence se rattrape (Image : Sophos).
Données d'accès aux produits chauds
L'évolution de l'économie souterraine a non seulement stimulé la croissance des ransomwares et de l'industrie « en tant que service », mais a également augmenté la demande d'informations d'identification volées. Avec la prolifération des services Web, différents types d'informations d'identification, en particulier les cookies, peuvent être utilisés de diverses manières pour s'implanter plus profondément dans les réseaux et même contourner l'authentification multifacteur. Le vol d'informations d'identification est également l'un des moyens les plus simples pour les criminels d'accéder aux marchés clandestins et de commencer leur « carrière ».
À propos du rapport Sophos sur les menaces 2023
Le Sophos Threat Report 2023 s'appuie sur les recherches et les informations de Sophos X-Ops, une nouvelle entité interfonctionnelle qui rassemble trois équipes établies d'experts en cybersécurité chez Sophos (SophosLabs, Sophos SecOps et Sophos AI). Sophos X-Ops comprend plus de 500 experts en cybersécurité dans le monde entier capables de brosser un tableau complet et multidisciplinaire d'un paysage de menaces de plus en plus complexe. Pour en savoir plus sur les cyberattaques quotidiennes et les TTP, suivez Sophos X-Ops sur Twitter et abonnez-vous pour recevoir les derniers articles et rapports sur la recherche sur les menaces et les opérations de sécurité en première ligne de la cybersécurité.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.