Aujourd’hui, nous publions l’édition 2023 de notre rapport Sophos annuel sur les menaces. En se basant sur une combinaison mêlant télémétrie, données de réponse aux incidents et collecte d’intelligence sur les menaces, le rapport présente un aperçu du paysage des menaces actuel et examine les tendances que nous avons vues émerger au niveau des activités malveillantes. L’une des tendances les plus évidentes est l’évolution continue des activités cybercriminelles matures qui reflètent, à bien des égards, les tendances des logiciels légitimes et des services numériques.
Les opérateurs de ransomwares ont adopté massivement le modèle “as-a-service” pour leurs activités cybercriminelles. En 2022, nous avons vu ce modèle être adopté plus largement dans l’univers de la cybercriminalité, avec des marketplaces numériques underground offrant désormais pratiquement toutes les composants/éléments de la boîte à outils du cybercrime à ceux qui sont prêts à payer pour les obtenir : ciblage et compromission initiale des victimes, évasion et sécurité opérationnelle, et la diffusion de malwares, entre autres.
Les outils d’attaque professionnels sont également largement disponibles, avec des licences “craquées” ou contournées. Cobalt Strike, destiné à être utilisé par les professionnels de la sécurité pour émuler des attaquants avancés, est désormais impliqué dans la majorité des incidents de ransomware. Brute Ratel, un autre outil d’exploitation avancé annoncé comme étant un remplaçant de Cobalt Strike, est également désormais largement disponible et a été vu, jusqu’à présent, dans quelques incidents de ransomware.
Les activités opérationnelles des acteurs utilisant des ransomwares continuent, elles aussi, de gagner en maturité. LockBit 3.0, par exemple, propose désormais un programme bug bounty pour tester ses malwares via le crowdsourcing et réalise des études de marché au sein de la communauté cybercriminelle afin d’améliorer les activités opérationnelles du groupe. D’autres groupes ont proposé des programmes “d’abonnement” pour accéder à leurs données volées.
Tous ces changements ont eu lieu dans le contexte de la guerre en Ukraine, qui a conduit à des divisions et des ruptures au sein des groupes cybercriminels de langue russe, avec pour résultat le doxing et les violations de données de Conti et d’autres groupes de ransomwares. Ce contexte particulier a également généré une vague de nouvelles fraudes, utilisant l’appel de fonds du gouvernement ukrainien comme leurre pour lancer une vague d’escroqueries à la cryptomonnaie ainsi que d’autres fraudes financières.
L’abus d’autres logiciels légitimes, ainsi que des composants du système d’exploitation Windows lui-même, continue de représenter un véritable défi pour les défenseurs. Les acteurs cybercriminels ont continué à étendre l’utilisation d’exécutables légitimes (tels que les versions “d’essai” de produits logiciels commerciaux, y compris les outils d’accès à distance) et de “living off the land binaries” (LOLBins) pour échapper à la détection et lancer des malwares.
Nous avons également constaté un retour des attaques de type “Bring Your Own Driver“, avec des acteurs malveillants utilisant des pilotes vulnérables à partir de logiciels légitimes pour élever les privilèges et tenter de désactiver les produits EDR (Endpoint Detection and Response) afin d’échapper à la détection.
Du côté des appareils mobiles, nous continuons à voir de fausses applications malveillantes ou frauduleuses échapper à la détection au niveau des principales marketplaces d’applications mobiles. Certaines de ces applications font partie d’une classe de cybercriminalité en pleine expansion : la fraude visant les activités de trading financier. Sophos a suivi le développement rapide de la cryptomonnaie et d’autres escroqueries ciblant les activités de trading, telles que les techniques d’arnaque de type “pig butchering“, au cours de l’année écoulée. Ces tactiques ont trouvé de nouvelles façons d’utiliser de fausses applications pour duper les victimes afin qu’elles exposent leurs portefeuilles de cryptomonnaie mobiles ou de les inciter à transférer directement des fonds, notamment en abusant des schémas de déploiement des applications iOS ad hoc d’Apple.
Pour obtenir plus de détails sur nos résultats et nos autres découvertes, n’hésitez pas à parcourir le rapport complet.
Billet inspiré de Sophos 2023 Threat Report: the continued evolution of “Crime-as-a-Service”, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.