Cette étude approfondie identifie les tendances relatives aux ransomware, aux malwares de base, aux outils d’attaque, aux cryptomineurs, etc. qui ont un impact sur la sécurité informatique
Sophos, un leader mondial de la cybersécurité Next-Gen, annonce la publication de son rapport sur les menaces en 2022 (Sophos 2022 Threat Report), révélant que les ransomwares forment un « trou noir » dont la force gravitationnelle attire les autres cybermenaces pour créer un seul système massif et interconnecté de diffusion de ransomwares, avec de lourdes conséquences pour la sécurité informatique. Ce rapport, rédigé par les chercheurs en sécurité de SophosLabs, les équipes de détection des menaces (MTR ou Managed Threat Response) et d’intervention rapide Sophos (Rapid Response) et les experts en intelligence artificielle de Sophos, fournit une perspective multidimensionnelle unique sur les menaces et les tendances en matière de sécurité qui attendent les entreprises en 2022.
Les tendances majeures analysées au sein de l’étude Sophos 2021 Threat Report sont les suivantes :
- Dans l’année à venir, le paysage des ransomwares deviendra à la fois plus modulaire et plus uniforme, avec des « spécialistes » offrant différents éléments d’une attaque « sous forme de service » et fournissant des guides avec des outils et techniques pour permettre à divers groupes de pirates de mettre en œuvre des attaques très similaires. Selon les chercheurs de Sophos, les attaques par des groupes isolés ont cédé la place à davantage d’offres RaaS (Ransomware as a Service) en 2021, provenant de développeurs spécialisés de ransomwares qui louent du code malveillant et une infrastructure à des tiers affiliés. Certaines des attaques de ransomwares de plus grande ampleur enregistrées au cours de l’année ont fait appel à des services RaaS, notamment celle lancée contre l’oléoduc Colonial Pipeline aux Etats-Unis par un affilié de DarkSide. Un affilié du ransomware Conti a fait fuiter le guide de mise en œuvre fourni par les opérateurs, dévoilant étape par étape les outils et techniques mis à la disposition des attaquants pour déployer ce ransomware.
Une fois qu’ils disposent du malware dont ils ont besoin, les affiliés RaaS et autres opérateurs de ransomwares peuvent se tourner vers des intermédiaires (IAB, Initial Access Brokers) afin de gagner un accès initial à une cible et des plateformes de diffusion de malwares pour trouver et cibler des victimes potentielles. Ce phénomène alimente la deuxième grande tendance prévue par Sophos.
- Les cybermenaces établies continueront de s’adapter pour diffuser des ransomwares. Il s’agit de loaders, de droppers et d’autres malwares de base, d’IAB de plus en plus avancés avec des opérateurs humains, de spams et d’adwares. En 2021, Sophos a signalé le lancement par Gootloader de nouvelles attaques hybrides associant des campagnes de masse à un soigneux filtrage afin de repérer des cibles pour des malwares spécifiques.
- Les auteurs d’attaques de ransomwares devraient continuer à utiliser de multiples moyens de pression pour contraindre leurs victimes à payer la rançon, une pratique appelée à se répandre et s’intensifier. En 2021, les équipes de réponses aux incidents de Sophos ont catalogué 10 types différents de moyens de pression, allant du vol et de la divulgation de données à des menaces téléphoniques, des attaques de déni de service distribué (DDoS), etc.
- Les cryptomonnaies vont continuer d ‘alimenter la cybercriminalité, notamment les ransomwares et le minage malveillant. Sophos s’attend à voir cette tendance se poursuivre tant que les cryptomonnaies ne seront pas mieux réglementées au niveau mondial. En 2021, les chercheurs de Sophos ont découvert des cryptomineurs tels que Lemon Duck ou encore le moins courant MrbMiner, que des opérateurs de ransomwares installent sur des postes de travail et des serveurs en exploitant l’accès fourni par des vulnérabilités nouvellement signalées et des cibles déjà attaquées précédemment.
« Les ransomwares prospèrent en raison de leur capacité à s’adapter et à innover », souligne Chester Wisniewski, chercheur principal chez Sophos. « A titre d’exemple, si les offres RaaS ne sont pas une nouveauté, dans les années précédentes, leur rôle consistait principalement à mettre les ransomwares à la portée d’attaquants disposant de moins de compétences ou de moins de moyens financiers. La situation a changé et, en 2021, les développeurs de RaaS consacrent leur temps et leur énergie à créer du code complexe et à déterminer la meilleure façon d’extorquer les plus fortes sommes à leurs victimes, aux compagnies d’assurance et aux négociateurs. Ils sous-traitent à présent à d’autres les tâches de trouver des victimes, d’installer et d’exécuter les malwares et de blanchir le butin dérobé en cryptomonnaies. Cela bouleverse le paysage des cybermenaces et des menaces courantes, telles que les loaders, les droppers et les IAB qui circulaient et causaient des dommages bien avant la montée des ransomwares, sont aujourd’hui apparemment toutes aspirées dans le “trou noir” formé par ceux-ci. »
« Les entreprises ne peuvent plus se contenter, pour s’estimer à l’abri, de veiller à ce que les outils de sécurité détectent les codes malveillants. Certaines combinaisons de détections ou même d’alertes sont l’équivalent moderne d’un cambrioleur qui casse un vase en s’introduisant dans les lieux par une fenêtre de derrière. Les défenseurs doivent donc examiner toutes les alertes, y compris celles qui pouvaient jusque-là leur paraître insignifiantes, car ces intrusions banales se multiplient pour constituer un point d’entrée permettant de prendre le contrôle d’un réseau entier. »
Parmi les autres tendances analysées par Sophos :
- Après la découverte – et la correction – des failles ProxyLogon et ProxyShell en 2021, la vitesse à laquelle celles-ci ont été exploitées par des attaques a été telle que Sophos prévoit la poursuite des tentatives d’utilisation abusive massive d’outils d’administration informatique et de services vulnérables connectés à Internet aussi bien par des attaquants chevronnés que par des cybercriminels ordinaires.
- Sophos s’attend également à voir les cybercriminels intensifier les abus d’outils de simulation d’adversaire, tels que Cobalt Strike Beacons, mimikatz ou PowerSploit. Les défenseurs doivent vérifier chaque alerte liée à l’abus d’outils légitimes ou d’une combinaison de ces outils, et ce avec le même soin qu’une détection d’activité malveillante, car cela pourrait trahir la présence d’un intrus sur le réseau.
- En 2021, les chercheurs de Sophos ont détaillé un certain nombre de nouvelles menaces ciblant les systèmes Linux et ils s’attendent à voir un intérêt croissant pour ceux-ci en 2022, que ce soit dans le cloud ou sur les serveurs web et virtuels.
- Les menaces mobiles et les escroqueries à base d’ingénierie sociale, notamment Flubot et Joker, devraient se poursuivre et se diversifier pour cibler à la fois des particuliers et des entreprises.
- L’application de l’intelligence artificielle (IA) à la cybersécurité va se poursuivre et s’accélérer, à mesure que de puissants modèles de Machine Learning font leurs preuves dans la détection des menaces et la hiérarchisation des alertes par priorité. Cependant, les adversaires devraient eux aussi utiliser de plus en plus l’IA, passant au cours des prochaines années de campagnes de désinformation et de l’usurpation de profils sur les réseaux sociaux à des contenus web malveillants pour des attaques de type watering hole, des e-mails de phishing et autres, avec l’apparition de technologies avancées de synthèse vocale et vidéo (deepfake).
Pour en savoir plus sur le paysage des menaces en 2021 et sa signification pour la sécurité informatique en 2022, lisez le rapport complet Sophos 2022 Threat Report.
Contenus complémentaires de l’étude Sophos 2022 Threat Report :
- Vidéo couvrant les enseignements marquants, présentée par Chester Wisniewski, chercheur principal chez Sophos
- Article sur SophosLabs Uncut récapitulant les différentes parties de l’étude
- Tribune de Chester Wisniewski sur Sophos News au sujet des guerres de territoires dans le domaine des ransomwares
- Article sur Naked Security présentant l’étude