Getty Images/iStockphoto
Cybersécurité : le temps de présence des attaquants diminue, le nombre de ransomwares augmente
Le rapport « M-Trends » 2024 de Mandiant présente des signes positifs pour la cybersécurité mondiale, mais le spécialiste de cybersécurité avertit que les acteurs de la menace se tournent de plus en plus vers des techniques d’exploitation et d’évasion de type « zero-day ».
Mandiant a publié mardi son rapport spécial « M-Trends 2024 », qui présente quelques points positifs pour les organisations dans un paysage de menaces de plus en plus complexe et étendu. La filiale cybersécurité de Google, a constaté que si le temps de présence des attaquants – celui durant lequel ils sont opérants dans un système compromis – avait diminué en 2023, le nombre de ransomwares et des autres menaces ont cependant continué à augmenter.
Selon le rapport, qui se fonde sur les enquêtes menées par Mandiant Consulting en 2023, la durée médiane de séjour des attaquants dans le monde est tombée à son niveau le plus bas depuis que l’entreprise a commencé à suivre cet indicateur en 2011. Le temps de présence, c’est-à-dire le nombre de jours pendant lesquels un attaquant est présent dans un environnement avant d’être détecté, a diminué de près d’une semaine, passant de 16 jours en 2022 à 10 jours l’année dernière.
Il y a seulement six ans, la durée médiane était de 78 jours, selon Mandiant. Le rapport indique également que la détection interne des intrusions s’est améliorée en 2023, la médiane mondiale tombant à neuf jours, contre 13 jours l’année précédente.
« D’une manière générale, les tendances à long terme de la diminution de la durée médiane de séjour et de l’augmentation des taux de découverte interne des compromissions indiquent que les organisations ont apporté des améliorations significatives et mesurables à leurs capacités défensives », peut-on lire dans le rapport.
Une autre évolution positive est l’augmentation des compromissions détectées en interne par l’organisation ciblée, qui représentaient 46 % de toutes les intrusions l’année dernière, contre 37 % en 2022. « Cela indique probablement que les capacités de détection continuent de s’améliorer dans les organisations », explique Mandiant, ce qui permet aux équipes de sécurité d’attraper les acteurs de la menace pendant les phases initiales d’infection et de reconnaissance d’une attaque.
Mandiant a déclaré que la diminution globale du temps d’attente suggère que la communication s’est améliorée entre les organisations ciblées et les parties externes telles que les entreprises de cybersécurité, qui détectent les activités malveillantes et en informent les victimes. Toutefois, l’entreprise a également indiqué qu’une augmentation des attaques par ransomware pourrait également avoir joué un rôle, car les acteurs de la menace informent généralement leurs victimes des intrusions par le biais des demandes de rançon.
Ransomware et Zero-day
Comme d’autres entreprises de cybersécurité, Mandiant a observé une augmentation de l’activité des ransomwares en 2023. En atteste notre bulletin hebdo de plus en plus riche… Les enquêtes impliquant des ransomwares sont passées à 23 % l’année dernière, contre 18 % en 2022. « Cela ramène le pourcentage d’intrusions liées à des ransomwares au niveau où il était précédemment en 2021 », peut-on lire dans le rapport.
De nombreux fournisseurs de cybersécurité ont observé une baisse de l’activité des ransomwares en 2022, et les experts ont généralement attribué cette diminution temporaire à des facteurs tels que l’invasion de l’Ukraine par la Russie et les mesures d’application de la loi telles que les sanctions et les opérations de démantèlement.
Outre l’augmentation modeste du nombre d’attaques, Mandiant a également indiqué que les intrusions impliquant des ransomwares étaient plus longues à identifier que les attaques ne comportant pas de ransomwares. L’entreprise a noté que dans 70 % des intrusions par ransomware, les organisations ciblées ont été averties par des parties externes, principalement en raison des demandes de rançon des attaquants.
Toutefois, Mandiant a également fait état de certaines tendances positives. « Les intrusions impliquant des ransomwares ont été détectées en six jours lorsque la notification provenait d’une source interne, contre 12 jours en 2022 », peut-on lire dans le rapport. « Les défenseurs ont été informés d’intrusions liées à des ransomwares provenant d’une partie externe en cinq jours en 2023, soit deux jours plus rapidement que ce qui a été observé en 2022. »
Nick Richard, responsable de Mandiant Intelligence chez Google Cloud, explique que les auteurs de ransomwares n’améliorent pas nécessairement leurs techniques d’évasion. Mais ils tentent d’accélérer leurs attaques pour devancer les défenseurs.
« L’augmentation de la prévalence des intrusions liées aux ransomwares, de 5 % en 2023, combinée à l’évolution de la durée de séjour des ransomwares dans le monde, qui est passée de neuf à cinq jours, pourrait être plus révélatrice des efforts déployés par les adversaires afin d’accélérer l’exécution de la rançon en raison du risque accru d’exposition, car Mandiant a observé des améliorations de la durée de séjour dans tous les types d’enquêtes et toutes les sources de notification », nous a-t-il expliqué au cours d’un entretien avec la rédaction de nos confrères de TechTarget (maison mère du MagIT).
Malgré ces données encourageantes, Mandiant prévient que les acteurs de la menace, quel que soit leur type, se concentrent davantage sur les techniques d’évasion, principalement par le biais de l’exploitation des vulnérabilités de type « zero-day ». « En 2023, lorsque le vecteur d’intrusion initial a été identifié, un exploit a été observé dans 38 % des cas. Mandiant continue d’observer à la fois le cyberespionnage et les attaquants à motivation financière qui exploitent les vulnérabilités de type “zero-day” (ou 0day) pour mener leurs opérations. »
Mandiant a déclaré que le 0day le plus répandu en 2023 était CVE-2023-34362, une vulnérabilité critique dans le produit de transfert de fichiers géré par MoveIT Transfer de l’éditeur Progress Software. Emsisoft estime que les attaques ont touché plus de 2 000 clients de MoveIT Transfer.
Bien que les groupes de cyberespionnage chinois aient exploité le plus grand nombre de 0day en 2023, Mandiant a averti que ces menaces ne sont plus une capacité de niche limitée aux acteurs étatiques. « L’augmentation de l’exploitation 0day par les groupes d’extorsion de ransomware et de vol de données, la poursuite de l’exploitation parrainée par les États et la croissance des capacités clés en main ou prêtes à l’emploi, qui peuvent être achetées auprès des fournisseurs de surveillance commerciale, continueront à favoriser l’identification des vulnérabilités 0day et des exploits qui les ciblent », indique le rapport.
Outre les 0day, le rapport spécial « M-Trends 2024 » note que les attaquants adoptent également d’autres approches pour échapper à la détection, telles que les tactiques de survie sur le terrain. Ces tactiques impliquent que les acteurs de la menace utilisent des produits légitimes et des outils existants dans un environnement ciblé pour se déplacer latéralement et accéder à des données sensibles.
Nick Richard note que les acteurs de la menace se sont détournés de l’exploitation de portes dérobées populaires telles que Cobalt Strike Beacon au cours des trois dernières années. « Cela s’explique probablement par le fait que les attaquants sont passés de l’utilisation explicite de logiciels malveillants à l’exploitation de logiciels malveillants résidant dans la mémoire, à l’utilisation abusive d’outils d’administration à distance de tiers et à l’emploi de techniques de survie qui leur permettent généralement d’échapper plus facilement aux technologies de sécurité des points de terminaison ».
En outre, les attaquants ciblent de plus en plus les périphériques de réseau et d’autres technologies qui peuvent ne pas être protégés par des produits de détection et de réponse/remédiation. Mandiant a également mis en garde contre une augmentation des identités compromises dans le cloud par le biais d’attaques de contournement du MFA, l’authentification multifacteurs. « Le plus remarquable est l’adoption croissante de pages d’hameçonnage par proxy web qui sont capables de rendre inefficaces la plupart des implémentations MFA en volant des jetons de session de connexion sensibles. »
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Rançongiciel : quand Black Basta exploitait une vulnérabilité inédite
-
Change Healthcare victime d'une intrusion via un portail Citrix sans MFA
-
L’exploitation des vulnérabilités dans les brèches augmente de 180 % (rapport)
-
VPN : Palo Alto Networks révèle une vulnérabilité critique inédite dans GlobalProtect