Sophos vient de publier son dernier rapport sur les menaces. Ce dernier synthétise le travail de plusieurs équipes au sein de Sophos, notamment les SophosLabs, Cloud Security, Data Science et Rapid Response. Le travail quotidien de ces groupes et d’autres au sein de l’entreprise contribue à protéger les clients de Sophos contre une variété et une intensité toujours croissantes en matière d’actes malveillants visant les systèmes informatiques et les données.
L’année qui se termine a lancé au monde entier des défis auxquels les humains n’ont pas été confrontés depuis plus d’un siècle. Alors qu’Internet nous a donné la capacité de faire face à une pandémie mondiale de manière plus efficace qu’en 1918, nous avons été confrontés en 2020 à de nouvelles complications liées aux ransomwares, aux cryptojackers et au vol numérique ciblant toutes les plateformes possible, même les appliances de sécurité.
Dans notre rapport sur les menaces (que vous pouvez télécharger ici), nous avons tenté de mettre un peu d’ordre dans le chaos de l’année écoulée. Nous avons structuré le rapport de manière à mettre en évidence les quatre domaines clés sur lesquels nous avons concentré tous nos efforts de protection en 2020 et qui guideront nos pas en 2021 :
- La menace de plus en plus sérieuse des ransomwares sous toutes ses nouvelles formes.
- Les malwares Windows classiques, notamment les outils utilisés par les cybercriminels pour voler des données et propager des charges virales malveillantes.
- Des malwares non conventionnels qui ciblent des plateformes qui ne sont généralement pas considérées comme faisant partie de la surface d’attaque d’une entreprise.
- L’impact de la pandémie sur le comportement des attaquants autant que sur la façon dont nous travaillons, jouons, faisons nos courses, allons à l’école et socialisons : les défis que nous devons relever sont évidemment liés à la protection de tous ces aspects.
Cette année, les ransomwares, par exemple, ont décidé que le simple fait de chiffrer nos données et de les retenir en otage n’était pas assez maléfique. En effet, les acteurs malveillants ont découvert que même les entreprises disposant des meilleures sauvegardes sont toujours prêtes à payer beaucoup d’argent pour empêcher la fuite de données sensibles aux quatre coins du globe, transformant ainsi les attaques de ransomwares en une sorte de menace hybride de type extorsion d’otages.
Ce fut également une année durant laquelle les acteurs malveillants ont placé les exigences financières des ransomwares à un autre niveau : les demandes de rançon initiales ont grimpé en flèche pour atteindre des millions de dollars par incident, bien que certains cybercriminels aient clairement indiqué qu’ils étaient prêts à négocier avec leurs victimes.
Etant donné que les employés sont passés au télétravail confiné, les entreprises ont dû concevoir de nouvelles façons de fournir à leurs employés un accès sécurisé aux systèmes informatiques internes, étendant le périmètre de l’entreprise pour englober des milliers de foyers. Ainsi, alors que les entreprises déployaient rapidement ces fonctionnalités d’accès à distance, les attaquants ont conçu de nouvelles façons de les utiliser contre nous, ciblant avec une attention toute particulière nos VPN et d’autres services ainsi que les divers appareils connectés à Internet.
Par exemple, lors d’incidents pour lesquels nous avons été appelés pour investiguer, nous avons découvert que le RDP intégré de Windows n’était pas seulement ciblé comme porte d’entrée initiale. En effet, c’est après être parvenus à pénétrer à l’intérieur du périmètre de l’entreprise que les acteurs malveillants ont commencé à tirer parti du RDP pour se déplacer latéralement.
Lorsque l’équipe Sophos Rapid Response investigue des incidents, elle tente de déterminer la cause racine des attaques. Au-delà du RDP, l’équipe Rapid Response a également constaté que les attaquants utilisaient de plus en plus de malwares basiques, conventionnels et courants pour propager des ransomwares ainsi que d’autres charges virales plus lourdes. Toute détection, aussi banale soit-elle, peut être le signe avant-coureur d’une attaque dévastatrice.
Les attaquants se sont également efforcés de lancer des attaques ciblées au niveau de technologies qui ne sont pas traditionnellement considérées comme faisant partie de la surface d’attaque : les objets connectés (IoT) en réseau, les pare-feu, les serveurs Linux et les Mac n’ont pas échappé à l’attention des cybercriminels qui exploitaient des vulnérabilités pour installer des cryptomineurs ou d’autres codes malveillants. De plus, les attaquants qui ont ciblé les serveurs et les postes de travail Windows ont davantage utilisé les outils créés par le secteur de la sécurité lui-même pour analyser ou exploiter des faiblesses, à savoir en retournant nos propres outils d’analyse contre nous.
Un pilote dissimulé intercepte des paquets command-and-control malveillants, déguisés en trafic Web inoffensif, qui se dirigent vers un serveur Cloud lequel les achemine ensuite vers le botnet Cloud Espion.
La pandémie a intégré tout ce que nous avons fait dans le domaine de la cybersécurité cette année, et elle a mis l’accent sur un point : en temps de crise, lorsque les systèmes autour de nous sont sous tension, protéger ce qui fonctionne encore est d’une importance vitale pour maintenir notre capacité à survivre et à se développer. Attaqués de toutes parts, le secteur de la cybersécurité et les milliers de professionnels ont mis de côté la concurrence et se sont mobilisés pour travailler ensemble, en tant que communauté, pour repousser les forces du mal.
Billet inspiré de Sophos’ 2021 threat report highlights a path forward, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.