L'analyse détaillée des attaques réelles contre les entreprises révèle une nouvelle arnaque utilisée par les cybercriminels pour dissimuler leur durée de séjour et ainsi contrecarrer une réponse défensive rapide. Le nouveau Sophos Active Adversary Report révèle les astuces utilisées par les cybercriminels.
Sophos a publié son nouveau rapport Active Adversary. Particulièrement frappant : dans 42 % des attaques analysées, les protocoles télémétriques manquaient et dans 82 % de ces cas, les criminels ont activement désactivé ou supprimé les données télémétriques pour masquer leurs attaques. En outre, la durée du séjour dans le système détourné continue de diminuer, poursuivant ainsi la tendance du dernier rapport.
Rapport d'adversaire actif
« Active Adversary » est un terme technique qui décrit le type de stratégie d'attaque sur un système. Contrairement aux attaques purement techniques et automatisées, le facteur humain entre en jeu dans ce type d'attaque : les cybercriminels s'assoient activement au clavier et réagissent individuellement aux circonstances d'un système infiltré. Ces voyages furtifs sont en outre soutenus par des lacunes dans la télémétrie, car elles réduisent la visibilité nécessaire dans les réseaux et les systèmes. Un gros problème, d'autant plus que le temps passé par les attaquants - depuis l'accès initial jusqu'à la détection - diminue continuellement et donc le temps de réaction défensive est également plus court.
« Le temps est un facteur crucial pour répondre à une menace active. La phase entre la découverte du premier accès et le désamorçage complet de la situation devrait être aussi courte que possible. Plus les criminels avancent dans la chaîne d’attaque, plus nous constatons de problèmes dans le centre de défense. Les données télémétriques manquantes augmentent le temps de récupération, ce que la plupart des organisations ne peuvent pas se permettre. C’est pourquoi une journalisation complète et précise est très importante. « Mais nous constatons que bien trop souvent les organisations ne disposent pas des données dont elles ont réellement besoin », déclare John Shier, Field CTO chez Sophos, à propos du problème de télémétrie.
Dans le système depuis moins de cinq jours – les attaques rapides de ransomwares sont de 38 pour cent
Dans l’Active Adversary Report, Sophos classe les attaques de ransomware qui durent jusqu’à cinq jours comme des « attaques rapides ». Il y en avait 38 pour cent dans les cas examinés. Les « attaques lentes » sont celles qui durent parfois bien plus de cinq jours. Ils étaient 62 pour cent. Même si les attaques « rapides » sont encore moins courantes, leur proportion dans le tableau global ne cesse d'augmenter - et pour cause : les attaquants réagissent aux meilleures méthodes de détection des entreprises, qui leur laissent moins de temps, et les cybercriminels sont désormais également très expérimentés. . « Comme pour tout processus, la répétition et la pratique ont tendance à produire de meilleurs résultats », explique John Shier. « Les ransomwares modernes fêtent leurs dix ans cette année, une longue période avec de nombreux exemples qui transforment de plus en plus de criminels en experts. Une évolution d’autant plus dangereuse que de nombreuses stratégies de défense ne parviennent pas à suivre.»
Lors de l’examen des types rapides et lents, il y avait peu de variation dans les outils, techniques et LOLBins (binaires vivant de l’extérieur) utilisés par les attaquants. Cela suggère que les défenseurs du système attaqué n’ont pas besoin de réinventer leurs stratégies de défense à mesure que le temps d’arrêt diminue. Toutefois, les entreprises doivent être conscientes que des attaques rapides et un manque de télémétrie peuvent entraver les temps de réponse rapides et entraîner par la suite une perturbation considérablement plus importante des opérations commerciales.
De nouvelles mesures défensives ne sont pas absolument nécessaires
« Les cybercriminels sont paresseux, ils n’apportent des changements que si cela leur permet de mieux atteindre leur objectif. Les attaquants ne changent pas ce qui se passe, même si cela signifie qu’ils sont découverts plus rapidement après leur infiltration. C'est une bonne nouvelle pour les organisations, car elles n'ont pas besoin de changer radicalement leur stratégie défensive simplement parce que les attaquants allument le turbo. Les mesures défensives qui détectent les attaques rapides sont efficaces pour toutes les attaques, quel que soit le moment. Cela inclut également une télémétrie complète, une protection robuste pour toutes les zones et une surveillance omniprésente », souligne Shier. « La clé est d’augmenter la résistance. Si vous compliquez la tâche des attaquants et prolongez chaque phase de l’attaque, vous avez plus de temps pour réagir.
Le rapport Sophos Active Adversary est basé sur 232 cas de réponse aux incidents du 1er janvier 2022 au 30 juin 2023 dans 25 secteurs. Les organisations concernées étaient situées dans 34 pays différents sur six continents. 83 pour cent des cas concernaient des entreprises de moins de 1.000 XNUMX salariés. Le rapport fournit des informations exploitables sur la manière dont les professionnels de la sécurité peuvent concevoir de manière optimale leurs stratégies défensives.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.