Afiq Sam - stock.adobe.com
Verizon 2023 DBIR : les ransomwares restent stables, mais bien présents
Chris Novak, directeur général des services de conseil en cybersécurité chez Verizon Business, a déclaré que 2023 était une « année de réoutillage » pour les acteurs de la menace des ransomwares, qui se sont adaptés à des défenses améliorées.
Les attaques avec ransomware ont atteint un plateau l’année dernière, selon le 2023 Verizon Data Breach Investigations Report. Ce qui conforte des observations déjà concordantes. Mais le géant des télécommunications estime que la réalité de la situation est un peu plus compliquée.
Verizon a publié, début juin, l’édition 2023 de son DBIR, un rapport couvrant les informations obtenues par l’équipe de sécurité de Verizon à partir des 16 312 incidents et 5 199 violations de données confirmées qu’elle a analysés entre le 1er novembre 2021 et le 31 octobre 2022. Parmi les principaux thèmes abordés dans le rapport 2023 figurent les ransomwares, les attaques par ingénierie sociale et l’exploitation de la vulnérabilité Log4Shell.
Pour le géant des télécommunications, bien que les ransomwares continuent d’être extrêmement populaires parmi les acteurs malveillants, la part des brèches impliquant des rançongiciels est restée stable d’une année sur l’autre, à 24 %.
Chris Novak, directeur général du conseil en cybersécurité chez Verizon Business et responsable du DBIR, décrit l’histoire des ransomwares au cours de l’année écoulée comme celle où les acteurs malveillants ont réorganisé leurs tactiques pour s’adapter à l’amélioration des postures de sécurité des victimes grâce à l’amélioration des technologies de sécurité et à une réponse plus efficace des organisations aux brèches et à leur endiguement.
« Je pense que ce que nous commençons à constater, c’est que les groupes d’acteurs malveillants reconnaissent que [l’amélioration des défenseurs] a un impact sur leur capacité à gagner de l’argent, alors ils réoutillent leur technologie », explique-t-il. « Ils trouvent d’autres moyens d’introduire leurs ransomwares dans l’environnement et dans des parties plus sensibles de l’entreprise afin de pouvoir mieux extraire des sommes plus importantes pour le paiement des rançons ».
Les fournisseurs de solutions de sécurité et les agences gouvernementales ont observé que les gangs de ransomwares ont changé de tactique et opté exclusivement pour le vol de données et l’extorsion simple afin d’éviter d’être détectés. Dans le même temps, les acteurs malveillants s’attaquent massivement aux institutions sensibles telles que les hôpitaux depuis un an, malgré des promesses contradictoires faites au début de la pandémie de COVID. Chris Novaks estime qu’il existe un lien possible entre ces deux tendances, en notant une augmentation des atteintes aux organismes de santé dans le présent DBIR.
« Je pense que c’est dû en partie au fait que les acteurs de la menace des ransomwares se sentent à l’étroit », a-t-il déclaré. « Pour les secteurs cibles que les acteurs de la menace viseraient normalement, ils constatent que ce qu’ils visent est de plus en plus petit, car ces organisations mettent en place de meilleures défenses. Par conséquent, je pense que [les organisations] qui étaient autrefois hors limites sont maintenant les cibles les plus faciles à atteindre. Et je n’aime pas dire cela, mais il y a là un levier avec lequel il est difficile de négocier ».
Le DBIR 2023 note que le secteur de la santé continue d’être une cible populaire pour les gangs de ransomwares, bien que les tactiques des acteurs de la menace aient quelque peu changé. « Alors que le nombre d’incidents liés aux ransomwares a atteint son maximum dans ce secteur en 2021, les trois dernières années ont été marquées par une augmentation des violations de données (où il est confirmé que les données ont été volées et que le cryptage a été déclenché) causées par des ransomwares », indique le rapport.
En France, le secteur de la santé semble toutefois de mieux en mieux équipé pour résister. Les données du CERT Santé pour 2022 le suggèrent fortement. Les indicateurs du mois de mai 2023, récemment publiés, confortent cette analyse, avec 7 compromissions déclarées, mais pas un seul cas de déploiement de rançongiciel.
Menaces d’ingénierie sociale
Quatre-vingt-quinze pour cent des violations recensées par le DBIR au cours de l’année considérée étaient motivées par des raisons financières. Toutefois, selon Chris Novak, les tensions géopolitiques croissantes, telles que l’invasion de l’Ukraine par la Russie l’année dernière, ont conduit à des attaques dont l’objectif est d’infliger de la douleur, de la détresse ou du chaos dans un environnement.
Une part importante du DBIR 2023 concerne l’« élément humain », que Verizon définit comme des violations causées par des attaques d’ingénierie sociale, des identifiants volés, des erreurs ou des abus, tels que les menaces internes. L’année dernière, 74 % des brèches impliquaient l’élément humain, contre 82 % en 2021. Bien que Chris Novak considère qu’il s’agit là d’une bonne nouvelle, il précise qu’il s’agit toujours d’un facteur contribuant largement au paysage des violations grâce à des problèmes tels qu’une mauvaise hygiène des mots de passe et la réutilisation de ces derniers.
Les attaques par ingénierie sociale représentent 17 % des brèches et 10 % des incidents en général. Il s’agit d’une augmentation par rapport à l’année précédente, qui, selon Verizon, est due en grande partie aux attaques par faux-semblant – dans lesquelles une partie ment à une autre pour obtenir un accès, par exemple en se faisant passer pour le service informatique ou le directeur général d’une organisation – qui ont doublé d’une année sur l’autre.
Selon Chris Novak, l’ingénierie sociale a le vent en poupe, notamment parce que les entreprises tentent de résoudre les problèmes de sécurité en modernisant leurs produits et leurs services. Mais les gens restent « les points sensibles et fragiles de l’organisation ». Bien que des solutions telles que l’éducation et la sensibilisation des utilisateurs puissent être utiles, elles ne peuvent pas tout faire pour corriger les mauvaises habitudes.
« Beaucoup d’organisations, je dirais, comptent un peu trop sur le fait qu’elles organisent une formation en ligne une fois par an pour informer les gens sur la sécurité et sur ce qu’il ne faut pas faire », a déclaré Chris Novak. « La plupart des organisations supposent qu’une fois la formation dispensée, les gens la comprennent et la retiennent. Mais elles ne se rendent pas compte que lorsque les gens sortent dans le monde extérieur, ils ne sont pas formés tous les jours. Je pense qu’un grand nombre de ces interactions quotidiennes nous ont désappris plus vite que les entreprises ne peuvent nous former ».
Effets de Log4Shell
Le rapport aborde également l’exploitation de Log4j qui s’est produite dans le sillage de la faille catastrophique Log4Shell divulguée en décembre 2021, qui se situe dans la fenêtre de rapport du DBIR 2023. Plus de 32 % de toutes les activités de balayage de Log4j ont eu lieu dans les 30 jours suivant la publication de la faille, le pic le plus important se produisant dans les 17 jours.
« Log4j était tellement présent dans les réponses aux incidents de nos fournisseurs de données que 90 % des incidents [concernant l’exploitation de la vulnérabilité] contenaient “Log 4j” ou “CVE-2021- 44 228” dans la section des commentaires », peut-on lire dans le rapport. « Toutefois, seuls 20,6 % des incidents comportaient des commentaires ».
Le DBIR constate que la vulnérabilité Log4Shell était citée dans 0,4 % des incidents de sécurité, soit un peu moins de 100 cas dans le monde. Toutefois, le rapport indique également que dans 26 % de ces cas, la vulnérabilité a été exploitée dans le cadre d’attaques avec ransomware.
Bien que le nombre d’attaques impliquant Log4Shell soit faible, Chris Novak estime que le battage médiatique a également joué un rôle dans l’atténuation de certains dommages potentiels.