Les ransomwares demeurent l’une des principales cybermenaces pour les entreprises
Sophos, leader mondial de la cybersécurité innovante « as a Service », publie son Rapport des menaces 2023. Ce rapport décrit le niveau de commercialisation et de banalisation du paysage des cybermenaces. Ainsi que l’évolution du modèle « as a Service ». Il montre aussi la prépondérance des ransomwares dans le paysage des attaques et l’augmentation du nombre de vols d’identifiants.
Des places de marché clandestines telles que Genesis permettent d’acquérir des malwares ‘clés en main’ et des services de déploiement de malwares (« Malware as a Service »), ainsi que des identifiants volés et autres données. Au cours de la dernière décennie, avec le succès croissant des ransomwares, c’est toute une économie d’offres de type « Ransomware as a Service » qui a émergé. Aujourd’hui, en 2022, ce modèle « as a Service » s’est répandu et propose désormais à l’achat la quasi-totalité des éléments d’un kit de cyberattaque, depuis l’infection initiale jusqu’aux moyens d’échapper à la détection.
« Il ne s’agit plus seulement de la vente habituelle de malwares, d’escroqueries et de kits de phishing », observe Sean Gallagher, chercheur principal en menaces chez Sophos. « Des criminels de plus haut rang vendent désormais à d’autres acteurs, sous forme de services, des outils et capacités naguère réservés à une poignée de cyberattaquants chevronnés. Par exemple, l’an dernier, nous avons vu des annonces de type OPSEC as a Service, où les vendeurs offraient d’aider des auteurs d’attaques à dissimuler des infections Cobalt Strike, ou Scanning as a Service, donnant aux acheteurs accès à des outils légaux du commerce, tels que Metasploit, pour leur permettre de découvrir puis d’exploiter des vulnérabilités. La commercialisation de pratiquement chaque composante d’une cyberattaque a un impact sur le paysage des menaces et ouvre de nouvelles possibilités pour tout type d’assaillant, quel que soit son niveau de compétences. »
Avec l’essor de l’économie « as a Service », les places de marché clandestines fonctionnent de plus en plus comme de véritables entreprises commerciales. Les vendeurs n’y font pas seulement la publicité de leurs services cybercriminels mais ils y publient aussi des offres d’emploi afin de recruter des attaquants possédant des compétences spécifiques. Certaines places de marché affichent désormais des pages de recrutement, tandis que des candidats y déposent leur CV.
« Les premiers opérateurs de ransomwares étaient plutôt limités dans leurs possibilités en raison de leur mode opératoire centralisé, dans lequel les membres d’un groupe exécutaient eux-mêmes chaque phase d’une attaque. Cependant, les ransomwares étant devenus extrêmement rentables, ils ont cherché des moyens de changer d’échelle. C’est pourquoi ils ont commencé à externaliser certains aspects de leurs opérations, créant ainsi une infrastructure complète de support pour les ransomwares. Dorénavant, d’autres cybercriminels se sont inspirés du succès de cette infrastructure et leur ont emboîté le pas », explique Sean Gallagher.
De fait, avec l’extension de l’infrastructure cybercriminelle, les ransomwares demeurent extrêmement répandus et rentables. L’an dernier, les opérateurs de ransomwares se sont efforcés d’élargir leur potentiel d’attaque en ciblant d’autres plateformes que Windows, tout en adoptant de nouveaux langages tels que Rust et Go afin d’échapper à la détection. Certains groupes, notamment Lockbit 3.0, ont diversifié leurs actions et imaginé des techniques d’extorsion « innovantes ».
« La complexité croissante du paysage cybercriminel concerne également le milieu des ransomwares. Par exemple, Lockbit 3.0 propose désormais des programmes qui récompensent ceux qui trouvent des bugs dans ses malwares et fait appel aux idées contributives de la communauté des hackers pour améliorer ses opérations. Certains groupes se sont orientés vers un modèle d’abonnement donnant accès à des informations confidentielles tandis que d’autres les revendent aux enchères. Les ransomwares sont avant tout devenus un commerce », conclut Sean Gallagher.
L’évolution de l’économie cybercriminelle a non seulement favorisé la croissance des ransomwares et du modèle « as a Service » mais aussi renforcé la demande de vol d’identifiants. Avec le développement des services web, divers types d’identifiants, en particulier les cookies, peuvent être exploités de multiples façons pour une intrusion poussée dans des réseaux, permettant même de contourner l’authentification multifacteur (MFA). Le vol d’identifiants reste également l’un des moyens les plus simples, pour des cybercriminels néophytes, d’accéder à des places de marché clandestines pour y entamer leur « carrière ».
Sophos a également analysé les tendances suivantes :
- La guerre en Ukraine a eu des répercussions sur le paysage des cybermenaces au niveau mondial. L’invasion du pays a été Immédiatement suivie d’une explosion des tentatives d’escroqueries financières, tandis que le nationalisme bouleversait les alliances entre criminels ukrainiens et russes, en particulier dans le milieu des ransomwares.
- Les cybercriminels continuent d’exploiter des exécutables légitimes de type LOLBins (Living Off The Land Binaries) pour lancer divers types d’attaques, notamment de ransomwares. Dans certains cas, ils déploient des drivers légitimes mais vulnérables dans le cadre d’attaques BYOD (Bring Your Own Driver) pour tenter de neutraliser les dispositifs de détection sur les terminaux.
- Les appareils mobiles sont désormais au cœur de nouveaux modes de cybercriminalité. Non seulement les auteurs d’attaques continuent d’utiliser de fausses applications pour injecter des logiciels malveillants, des spywares et des malwares bancaires mais de nouvelles formes de cyberfraude gagnent du terrain, à l’instar du « pig butchering ». De plus, cette criminalité ne se limite plus aux utilisateurs d’Android mais touche aussi ceux d’iOS.
- La dévaluation du Monero, l’une des cryptomonnaies les plus prisées des cryptomineurs a entraîné le déclin de l’une cette forme de cybercriminalité parmi les plus anciennes et répandues. Pour autant, des malwares de minage continuent de se propager via des « bots » automatisés sur les systèmes Windows et Linux.
Pour en savoir plus sur l’évolution du paysage des menaces en 2022 et ses conséquences pour les équipes de sécurité en 2023, lisez l’intégralité du Rapport Sophos 2023 sur les menaces.
Le Rapport Sophos 2023 sur les menaces est issu des recherches et analyses de Sophos X-Ops, une nouvelle unité transversale qui relie trois équipes d’experts Sophos reconnus dans le domaine de la cybersécurité (SophosLabs, Sophos Secops et Sophos AI). Sophos X-Ops regroupe plus de 500 experts en cybersécurité à travers le monde, parfaitement armés pour dresser un tableau pluridisciplinaire complet d’un paysage des menaces de plus en plus complexe. Pour en savoir plus sur les cyberattaques et TTP (tactiques, techniques et procédures) des cybercriminels au quotidien, suivez Sophos X-Ops sur Twitter et abonnez-vous pour recevoir des études à jour sur les menaces et ainsi que des articles et rapports sur les opérations de cybersécurité en première ligne.