Les petites entreprises sont une cible privilégiée pour les cybercriminels, comme nous l’avons souligné dans notre dernier rapport annuel. Bon nombre des menaces cybercriminelles que nous avons abordées dans ce rapport sont restées un problème majeur en 2024, notamment les ransomwares, qui restent une véritable cybermenace pour les petites et moyennes entreprises.
Les cas de ransomware représentaient 70% des cas Sophos Incident Response pour les petites entreprises clientes en 2024, et plus de 90% des cas pour les entreprises de taille moyenne (de 500 à 5 000 employés). Les tentatives d’attaque de ransomware et de vol de données ont représenté près de 30% de tous les incidents suivis par Sophos MDR (Managed Detection and Response), (dans lesquels une activité malveillante avait été détectée, et ce quelle qu’elle soit) pour les petites et moyennes entreprises.
Bien que les attaques de ransomware aient globalement légèrement diminué d’une année sur l’autre, le coût global de ces attaques a augmenté, selon les données du rapport sur l’état des ransomwares (State of Ransomware) de Sophos. Bien que de nombreuses menaces observées en 2024 soient familières dans leur forme, d’autres menaces axées sur les données continuent de croître et de nouvelles tactiques et pratiques ont émergé et évolué :
- Les périphériques réseau compromis (pare-feu, appliances VPN [Virtual Private Network] et autres périphériques d’accès) représentent un quart des compromissions initiales ayant ciblé les entreprises dans les cas qui ont pu être confirmés par télémétrie, et ce chiffre est probablement beaucoup plus élevé.
- Les plateformes SaaS, qui ont été largement adoptées par les organisations pendant la pandémie de COVID pour faciliter le travail à distance et améliorer la posture de sécurité globale, continuent d’être utilisées de différentes manières inédites à des fins d’ingénierie sociale, ou bien pour la compromission initiale et le déploiement de malwares.
- Les activités BEC (Business Email Compromise) représentent une proportion croissante des compromissions initiales globales dans les incidents de cybersécurité, exploitées pour la diffusion de malwares, le vol d’identifiants et l’ingénierie sociale afin de mener diverses activités cybercriminelles.
- L’un des facteurs clés des attaques BEC (Business Email Compromise) est le phishing des identifiants avec la capture ‘adversary-in-the-middle’ de jetons d’authentification multifacteur (MFA), une menace en constante évolution.
- Les applications frauduleuses contenant des malwares ou bien étant liées à des escroqueries (scams) et enfin utilisant l’ingénierie sociale via des applications SMS et de messagerie constituent des menaces mobiles pour les petites et moyennes entreprises.
- D’autres menaces moins techniques exploitant le réseau continuent de représenter une menace pour les petites entreprises, avec à nouveau des modèles d’arnaque en constante évolution.
Ce rapport se concentre sur les tendances observées dans les schémas d’attaque cybercriminelle auxquels sont confrontées les petites et moyennes organisations. Des détails sur les malwares et les logiciels abusés les plus fréquemment rencontrés lors des détections et incidents au niveau des systèmes endpoint sont fournis dans une annexe à ce rapport, qui peut être consultée séparément en vous rendant sur l’article dédié.
Sommaire
- Quelques précisions sur nos données
- Théorie des fenêtres brisées (et des passerelles)
- STAC : playbooks, tactiques et outils sous forme de packages
- Tendances des techniques, tactiques et pratiques cybercriminelles
- Conclusion
Quelques précisions sur nos données
Les données utilisées dans notre rapport annuel sur les menaces proviennent des sources suivantes :
- Rapports client : télémétrie de détection du logiciel endpoint de Sophos exécuté sur les réseaux des clients, qui donne une vue d’ensemble des menaces rencontrées et analysées au sein des SophosLabs (dans ce rapport, elle sera appelée ‘données de détection endpoint’).
- Données d’incident : il s’agit à la fois de données collectées lors des remontées d’informations déclenchées par la détection d’activités malveillantes sur les réseaux des clients MDR, de données collectées par le service MDR Incident Response à partir d’incidents clients et de données collectées par Sophos Incident Response à partir d’incidents sur les réseaux clients pour les organisations de 500 employés ou moins où il y avait peu ou pas de protection MDR (Managed Detection and Response) en place. Ces ensembles de données sont traités comme un ensemble combiné de données d’incident dans ce rapport.
- Les données d’incident et de détection de SecureWorks ne sont pas incluses dans ce rapport, car elles étaient basées sur une télémétrie pré-acquisition.
- Toutes les données proviennent de l’année civile 2024, sauf indication contraire.
Les données des rapports clients constituent un véritable condensé de toutes les détections provenant des systèmes endpoint, qui, dans la plupart des cas, entraînent le blocage des malwares. Les données sur les incidents, en revanche, incluent les données collectées à partir de tout événement où une activité malveillante a été détectée sur un réseau client MDR ou bien découverte dans le cadre d’un cas de réponse aux incidents, et offrent ainsi une image un peu plus approfondie, dans de nombreux cas, concernant l’intention de l’activité en question et offre aussi des liens avec d’autres renseignements sur les menaces (Threat-Intelligence).
Ce rapport se concentre sur les données spécifiques aux petites et moyennes organisations. Des analyses plus approfondies des données collectées auprès de Sophos Incident Response et de Sophos MDR Operations, notamment des données sur des organisations plus importantes, sont disponibles dans notre série Active Adversary Report (AAR).
Théorie des fenêtres brisées (et des passerelles)
Qu’ils soient simplement mal configurés, qu’ils utilisent des politiques d’identification faibles ou qu’ils fonctionnent sur des logiciels ou des firmwares vulnérables, les systèmes situés à la périphérie (edge) du réseau constituent le point de compromission initiale pour plus d’un tiers de tous les incidents impliquant une intrusion dans des organisations plus petites. Comme l’a récemment souligné Joe Levy, CEO de Sophos, les équipements (hardware) et les logiciels obsolètes et non corrigés constituent une source toujours croissante de vulnérabilités de sécurité, un phénomène qu’il a qualifié de “déchets numériques”.
Bien que les attaques zero-day visant les vulnérabilités soient relativement rares dans la cybercriminalité ciblant les petites et moyennes entreprises, les vulnérabilités publiées peuvent être très rapidement exploitées par les courtiers d’accès et d’autres cybercriminels. Ce fut le cas lorsque le fournisseur de logiciels de sauvegarde Veeam a publié un bulletin de sécurité sur la vulnérabilité CVE-2024-40711 en septembre 2024 : en un mois, les cybercriminels avaient développé un exploit pour cette vulnérabilité et l’avaient associé à un accès initial via des VPN.
La vulnérabilité Veeam et d’autres vulnérabilités similaires documentées qui n’ont pas été corrigées par les clients (certaines récentes, mais d’autres datant de plus d’un an) ont joué un rôle dans près de 15% des cas d’intrusion malveillante suivis par Sophos MDR en 2024. Dans presque tous les cas, les vulnérabilités ont été signalées pendant des semaines, voire plus, avant d’être exploitées par des attaquants, souvent dans le cadre d’attaques de ransomware. Dans d’autres cas, elles ont été utilisées par des cybercriminels pour obtenir un accès initial à d’autres fins, notamment pour obtenir un accès afin de potentiellement vendre des données à des auteurs de ransomware.
Principales vulnérabilités publiées et observées par Sophos MDR/IR lors d’incidents ayant débouché sur des intrusions.
| CVE | Description | % d’intrusions exploitées | Date de publication de la CVE* |
| CVE-2024-1709 | Contournement de l’authentification ConnectWise ScreenConnect | 4,70% | 21/02/2024 |
| CVE-2023-4966 | Vulnérabilité de dépassement de mémoire tampon dans Citrix NetScaler ADC et NetScaler Gateway | 2,78% | 10/10/2023 |
| CVE-2023-27532 | Accès non authentifié au niveau de Veeam Backup & Replication Cloud Connect avec récupération des identifiants chiffrés stockés dans la base de données de configuration. | 2,35% | 10/03/2023 |
| CVE-2024-3400 | Vulnérabilité d’injection de commandes PAN-OS au niveau de Palo Alto Networks qui permet à un attaquant non authentifié d’exécuter des commandes avec les privilèges root au niveau du pare-feu. | 1,28% | 12/04/2024 |
| CVE-2024-37085 | VMware ESXi contient une vulnérabilité de contournement d’authentification. | 0,85% | 25/06/2024 |
| CVE-2024-40711 | Vulnérabilité de désérialisation des données Veeam, permettant l’exécution de code à distance. | 0,85% | 07/09/2024 |
| CVE-2023-48788 | Vulnérabilité d’injection SQL Fortinet FortiClient EMS qui permet à un attaquant non authentifié d’exécuter des commandes en tant que SYSTEM. | 0,64% | 12/03/2023 |
| CVE-2024-27198 | JetBrains TeamCity contient une vulnérabilité de contournement d’authentification qui permet à un attaquant d’effectuer des actions d’administration. | 0,43% | 04/03/2024 |
| CVE-2024-21762 | Vulnérabilité d’écriture hors limites chez Fortinet FortiOS qui permet à un attaquant distant non authentifié d’exécuter du code ou des commandes via des requêtes HTTP. | 0,43% | 09/02/2024 |
| CVE-2021-34473 | Microsoft Exchange Server contient une vulnérabilité non spécifiée qui permet l’exécution de code à distance. | 0,21% | 14/07/2021 |
| Total | 14,53% |
* Les données de vulnérabilité proviennent de cvedetails.com
Figure 1 : Principales vulnérabilités publiées et observées par Sophos MDR/IR lors d’incidents ayant débouché sur des intrusions.
Dans certains cas, même lorsque des correctifs ont été déployés pour des vulnérabilités connues, les appareils peuvent rester vulnérables car ils ont déjà été compromis. Par exemple, des shells Web ou d’autres méthodes d’accès post-exploitation utilisées par des malwares peuvent avoir été déployés avant que la vulnérabilité n’ait été corrigée. Dans d’autres cas, le processus de correction n’a peut-être pas été entièrement finalisé. Dans un cas Sophos MDR, une passerelle Citrix Netscaler a été utilisée par un attaquant pour établir l’accès initial en exploitant des sessions qui n’ont pas été réinitialisées après le déploiement du correctif “Citrix Bleed”.
De nombreuses intrusions auxquelles Sophos MDR et IR ont répondu impliquaient d’autres types de vulnérabilité qui n’étaient pas nécessairement couvertes par la base de données “Common Vulnerabilities and Exposures” : configurations par défaut, mauvaises configurations, authentification à deux facteurs faible (nom et mot de passe) et d’autres problèmes avec les appareils connectés à Internet qui les rendaient vulnérables aux attaques, ainsi que des vulnérabilités qui ont pu être corrigées dans des mises à jour ultérieures par les éditeurs mais qui n’ont jamais reçu d’identifiants CVE. D’autres étaient potentiellement liés à des vulnérabilités beaucoup plus anciennes dans des appareils non corrigés ou en fin de vie qui avaient été laissés malgré tout en service.
Les périphériques edge du réseau en particulier, notamment les appareils VPN (Virtual Private Network), les pare-feu dotés de fonctionnalités VPN et d’autres appareils d’accès à distance, contribuent largement aux incidents de sécurité. Ces appareils représentent collectivement la plus grande source unique de compromission initiale des réseaux dans les incidents ayant débouché sur des intrusions suivis par Sophos MDR.
Figure 2 : Fréquence relative des points de compromission initiaux utilisés par les cybercriminels contre les petites et moyennes entreprises, sur la base de toutes les données d’incident. La compromission initiale entraîne des chevauchements dans certains cas .
Figure 3 : Fréquence relative des points de compromission initiaux spécifiquement observés dans les attaques de ransomware et d’exfiltration/extorsion de données lancées par des cybercriminels contre les petites et moyennes entreprises, sur la base des données d’incidents de Sophos MDR et Incident Response.
Ces chiffres n’incluent pas les incidents où l’exécution du ransomware ou bien l’exfiltration de données n’a jamais eu lieu en raison du blocage du C2 et d’autres outils de post-exploitation.
Ces statistiques soulignent la nécessité, même pour les petites organisations, de déployer l’authentification multifacteur pour tous les comptes utilisateurs, et en particulier ceux disposant de droits d’accès à distance via un VPN ou d’autres moyens. Elles montrent également la nécessité d’auditer les appareils utilisés pour la connexion à distance aux réseaux et de mettre à jour régulièrement leurs logiciels ou firmwares, ainsi que de remplacer les logiciels et les systèmes d’exploitation qui ne bénéficient plus d’une prise en charge régulière des mises à jour de sécurité.
STAC : playbooks, tactiques, outils et procédures sous forme de packages
Plutôt que de suivre les “groupes malveillants”, Sophos MDR se concentre sur l’identification de modèles de comportement spécifiques pour suivre un ensemble d’acteurs au niveau de plusieurs incidents. Il s’agit notamment d’outils, de tactiques et de procédures (TTP), d’une infrastructure support et d’autres caractéristiques qui reflètent l’utilisation d’un playbook partagé ou d’un ensemble d’outils scriptés. Nous les appelons des STAC (Security Threat Activity Clusters) et suivons leurs activités sous forme de campagnes.
Les STAC ne représentent pas seulement un ensemble unique d’acteurs, mais un playbook partagé :
tactiques, outils et procédures (TTP), notamment des scripts d’attaque et des méthodes similaires pour cibler les victimes. Ces playbooks peuvent avoir été packagés pour être utilisés par plusieurs affiliés d’une même organisation de ransomware, vendus sur des marchés clandestins/underground ou purement et simplement volés par des individus passant d’une activité cybercriminelle à une autre.
Par exemple, lors d’une chasse aux menaces exploitant la vulnérabilité Veeam CVE-2024-40711, Sophos MDR Threat Intelligence a identifié un STAC l’utilisant, ainsi qu’une exploitation VPN et des TTP presque identiques. Le cluster est suivi sous le nom STAC5881. Dans cette campagne, la vulnérabilité Veeam a été utilisée pour créer des comptes administrateurs portant le même nom (appelés “point“). Cependant, le ransomware déployé dans ces cas variait : Akira, Fog et un nouveau ransomware nommé Frag.
Figure 4 : Demande de rançon du ransomware Frag associée à une attaque STAC5881.
Frag semble être un ransomware de type “junk gun” : un ransomware bon marché et grossièrement codé, produit comme une alternative au ransomware-as-a-service, et soit développé par les cybercriminels eux-mêmes, soit obtenu sur un marché clandestin à un prix moyen de 375 $.
Les campagnes STAC les plus actives suivies par Sophos MDR en 2024 étaient liées aux ransomwares dans tous les cas sauf un, et cette campagne était la plateforme de malware-as-a-service connue de longue date et appelée DanaBot, qui peut être un précurseur d’attaques de ransomware.
STAC (Security Threat Activity Clusters) les plus actifs en 2024 :
| STAC4265 | Campagne DanaBot utilisant l’ingénierie sociale Facebook, avec des liens vers des sites de “recherche de sommes non réclamées” qui redirigent vers des malwares tentant de voler les données du navigateur et de les exfiltrer via le réseau d’anonymisation Tor. |
| STAC4529 | Contournement de l’authentification à l’aide d’une RCE de ConnectWise Screen Connect avant la version 23.9.8. |
| STAC4556 | Déploiement du ransomware Crytox, diffusion de l’application de messagerie uTox, utilisation d’un pilote de noyau vulnérable déployé pour désactiver le logiciel EDR. Les attaquants de ce cluster ont également utilisé des outils légitimes à “double usage” : Advanced Port Scanner pour la découverte du réseau et les outils Mimikatz et Lazagne pour la découverte et le dumping des identifiants. |
| STAC6451 | Les affiliés du ransomwares Mimic, utilisant Cloudflare pour masquer les domaines “command & control”, exploitant Microsoft SQL Server pour obtenir un accès non autorisé et déployant Impacket pour créer une backdoor avec des identifiants courants. Ils font également preuve d’une grande compétence en matière d’évasion des réseaux en redirigeant les domaines de probing vers des sites légitimes et en exfiltrant des données via des services de transfert de fichiers bien connus. |
| STAC5881 | Un cluster utilisant les attaques de ransomware Akira, Fog et Frag, exploitant les VPN et CVE-2024-4071 (décrit ci-dessus). |
| STAC5464 | Un cluster lié à un ransomware et associé à Hunters International, utilisant le même serveur d’exfiltration SFTP pour tous les incidents, le dumping d’identifiants NTDS et les proxys réseau via Plink, le malware SystemBC et d’autres outils. |
| STAC5397 | Un acteur ou un ensemble d’acteurs malveillants associés aux ransomwares Akira et Fog. Il crée des comptes backdoor avec un mot de passe courant. Le cluster a été observé en train de déployer des outils légitimes à “double usage” : AnyDesk pour l’exécution et le mouvement latéral, et Rclone et FileZilla pour l’exfiltration des données. |
| STAC4663 | Un cluster lié à un ransomware qui utilise des malwares personnalisés et obfusqués pour lancer des intrusions. Le groupe utilise souvent la vulnérabilité CVE-2023-3519 pour exploiter les appliances Citrix NetScaler et obtenir un accès initial, et utilise la bibliothèque OpenSSH légitime pour le tunneling du trafic réseau dans les environnements victimes. |
| STAC5304 | Un ransomware affilié à RansomHub, identifié pour la première fois à l’été 2024, a réutilisé des adresses IP d’exfiltration lors de plusieurs incidents, en exploitant des outils légitimes (le logiciel de gestion des machines à distance Atera Agent, FileZilla pour l’exfiltration de données) et un script nommé HideAtera.bat pour l’évasion de la défense. |
Figure 5 : Les STAC les plus actifs en 2024 classés par nombre d’incidents.
Tendances des techniques, tactiques et pratiques cybercriminelles
Les ransomwares distants ne cesse de se développer
Bien que le nombre total d’incidents en 2024 ait légèrement diminué, en partie grâce à de meilleures défenses et à la perturbation de certains grands opérateurs de ransomware-as-a-service, la cybercriminalité liée aux ransomwares ne disparaît pas. En fait, les tactiques des auteurs de ransomware évoluent pour être plus rapides lors des attaques et davantage disposées à extorquer à la victime les données volées lorsqu’ils ne parviennent pas à chiffrer les fichiers de cette dernière. Parfois, les attaquants ne prennent même pas la peine d’essayer de chiffrer les fichiers.
Lorsque les attaquants exécutent des ransomwares, ils le font souvent hors de la zone de détection du logiciel endpoint, c’est-à-dire à partir d’un appareil non géré, connecté à distance ou directement au réseau ciblé. Ces attaques de ransomware “distant” utilisent des connexions au niveau du partage de fichiers réseau pour accéder et chiffrer ces derniers sur d’autres machines, afin que le ransomware ne s’exécute jamais directement sur ces dernières. Cette technique peut cacher le processus de chiffrement aux yeux des analyses de malware, de la détection comportementale et d’autres outils de défense.
Sophos X-Ops a constaté, lors d’un examen de la télémétrie, que l’utilisation de ransomwares distants a augmenté de 50% en 2024 par rapport à l’année dernière et de 141% depuis 2022.
Figure 6 : Attaques de ransomware distant de 2022 à 2024 par trimestre.
Ingénierie sociale via le vishing sur Teams
Au cours du second semestre 2024, et en particulier au quatrième trimestre, nous avons assisté à l’adoption d’une combinaison d’attaques techniques et d’ingénierie sociale utilisées par des acteurs malveillants pour cibler des organisations utilisant Microsoft 365 (anciennement Office 365). L’une de ces attaques a réussi à exfiltrer des données, mais n’a pas réussi à passer à l’exécution du ransomware. Plusieurs autres attaques ont été bloquées lors de tentatives de collecte d’identifiants et d’accès au réseau des organisations ciblées (et potentiellement, à leurs instances de type software-as-a-service ainsi qu’ à leurs données).
Ces attaques menées par deux groupes malveillants différents ont utilisé la technique appelée “email bombing” (l’envoi d’un grand volume d’emails à des personnes ciblées au sein des organisations attaquées), suivi de faux appels du support technique via Microsoft Teams passés à ces personnes, en utilisant leur propre compte 365 pour envoyer des messages Teams et passer des appels vocaux et vidéo Teams aux organisations ciblées.
Phishing MFA
Les cybercriminels ont également adapté leurs techniques de tromperie pour collecter les identifiants des utilisateurs. Le MFA a nettement compliqué l’utilisation des noms d’utilisateur et des mots de passe pour obtenir un accès. Le marché de la cybercriminalité a réagi avec de nouvelles façons de capturer, à la fois, les identifiants et les jetons multifacteur en temps réel pour surmonter cet obstacle.
Le phishing MFA repose sur une approche de type “adversary-in-the-middle“, où la plateforme de phishing agit comme un proxy du processus d’authentification réel au niveau du service protégé par MFA. La plateforme transmet ensuite les identifiants capturés et le cookie de session renvoyé par la connexion au cybercriminel via un canal séparé, lui permettant ainsi à son tour de transmettre les identifiants et le jeton au site du service légitime de la cible et d’y accéder.
Une plateforme de phishing MFA appelée Dadsec est apparue à l’automne 2023 et sera plus tard liée à des campagnes en 2024 lancées par une plateforme de type phishing-for-hire connue sous le nom de Tycoon. Mais Tycoon n’était pas le seul réseau de phishing à utiliser des outils dérivés de Dadsec. Rockstar 2FA et FlowerStorm semblent tous deux être basés sur des versions mises à jour de la plateforme Dadsec, utilisant Telegram comme canal command-&-control. Rockstar 2FA était très actif au milieu de l’année 2024 et semblait souffrir de problèmes techniques en novembre, mais a été rapidement supplanté par FlowerStorm.
Les renseignements recueillis sur les deux plateformes ont révélé un grand nombre de comptes compromis, mais le nombre exact de comptes qui avaient réellement été utilisés par des cybercriminels n’était pas clair.
Figure 7 : Aperçu du navigateur en mode développeur affichant une page de phishing FlowerStorm
Utilisation de l’IA à des fins malveillantes
Les cybercriminels impliqués dans des attaques de type intrusion ont fait un usage limité de l’intelligence artificielle. La plupart des cybercriminels utilisent l’IA générative pour des tâches d’ingénierie sociale : créer des images, des vidéos et du texte pour de faux profils, et les utiliser dans la communication avec des cibles pour masquer des problèmes de maîtrise de la langue et dissimuler leur identité. Ils l’utilisent également pour donner à leurs propres outils un aspect plus professionnel, comme l’ont fait les développeurs de RaccoonStealer pour le visuel de la page de connexion de leur portail.
Figure 8 : L’écran de connexion d’un portail de vol d’identifiants RaccoonStealer Office365 .
Figure 9 : La source de l’image, sur le site d’IA générative OpenArt.
L’un des domaines dans lesquels l’IA générative est de plus en plus utilisée est celui des emails de phishing. Les grands modèles de langage (LLM) tels que ChatGPT peuvent être utilisés pour créer du contenu grammaticalement correct dans un format qui varie d’une cible à l’autre, en contournant les filtres de contenu qui identifient les signatures dans les courriers indésirables et les emails de phishing. SophosAI a démontré qu’une campagne entière d’emails ciblés pouvait être créée en utilisant des processus orchestrés par l’IA basés sur des informations recueillies à partir des profils de réseaux sociaux des individus ciblés, et ce à l’aide d’outils existants.
Sophos X-Ops s’attend à ce que l’utilisation de ces capacités par les cybercriminels se développe à l’avenir. Actuellement (en se basant sur nos recherches ciblant les diverses discussions concernant les LLM sur les forums cybercriminels, notamment une investigation initiale fin 2023, suivie d’une mise à jour début 2025), il subsiste un scepticisme considérable au sein de certaines communautés d’acteurs malveillants. Certains expérimentent et utilisent l’IA pour des tâches de routine, mais les utilisations malveillantes restent largement théoriques, bien que dans notre mise à jour la plus récente, nous ayons remarqué qu’une poignée d’acteurs malveillants commencent à intégrer l’IA générative dans les services de spam et des outils similaires.
Quishing
À peu près au même moment où RockStar était à son apogée, Sophos X-Ops a découvert une campagne de “quishing” ciblant les employés de Sophos (aucun d’entre eux n’est tombé dans le piège). Des emails contenant des QR codes censés fournir un accès sécurisé à un document étaient intégrés dans une pièce jointe PDF ; le QR code contenait en fait un lien vers un site frauduleux de partage de documents qui était, en fait, une instance de phishing de type adversary-in-the-middle, avec des caractéristiques très similaires à Rockstar 2FA et FlowerStorm.
Figure 10 : Un email de phishing avec un QR code ciblant les employés de Sophos.
Figure 11 : La fausse fenêtre d’authentification du site de phishing vers lequel le QR code dirigeait les personnes ciblées, avec un contrôle de sécurité Cloudflare pour valider la cible en question.
Malvertising et SEO poisoning
Le malvertising est l’utilisation de publicités Web malveillantes, notamment des listes payantes dans les résultats de recherche. Il s’agit toujours d’une méthode privilégiée en matière de diffusion de malwares. Longtemps utilisé par des droppers tels que ChromeLoader, le malvertising est devenu la méthode de diffusion privilégiée pour les malwares voleurs d’informations (infostealers), mais Sophos MDR a observé d’autres mécanismes d’injection de malwares exploitant également le malvertising.
Une publicité malveillante peut soit renvoyer vers une page Web malveillante, soit directement vers un script malveillant téléchargé et lancé par la victime, entraînant ainsi l’installation de malwares ou d’autres outils offrant à l’attaquant une persistance sur l’ordinateur de cette dernière. Par exemple, au cours du second semestre 2024, Sophos X-Ops a observé une campagne de piratage de navigateur associée à une publicité malveillante sur les recherches Google exploitant des mots-clés ciblant les utilisateurs recherchant le téléchargement d’un outil PDF. Les publicités ont conduit au téléchargement de fichiers d’installation Microsoft malveillants (.MSI) qui ont installé ce qui semblait être un véritable outil PDF fonctionnel. Cependant, ils ont également créé une tâche système, un élément de démarrage et des clés de registre pour établir la persistance des malwares qui détournent les navigateurs, redirigeant les recherches Web des cibles vers des sites contrôlés par les opérateurs du malware en question.
Des publicités malveillantes ont été observées par Sophos MDR dans des cas associés à certaines des autres campagnes de malware les plus actives de 2024 : DanaBot, Lumma Stealer et GootLoader. D’autres vecteurs d’attaque ont également été observés à l’aide de publicités malveillantes (malvertising), notamment des backdoors et des Remote Administration Trojans (dont SectopRat), l’ensemble d’outils d’attaque Cobalt Strike et des logiciels d’accès à distance légitimes abusés tels qu’AnyDesk.
EDR killers
Sophos X-Ops a observé une variété d’outils logiciels malveillants développés pour le marché cybercriminel au cours des deux dernières années, appelés “EDR killers“. Ces outils sont destinés à exploiter les pilotes du noyau pour obtenir un accès privilégié au système d’exploitation et tuer les processus protégés ciblés, en particulier les logiciels de sécurité endpoint, afin que les ransomwares ou autres malwares puissent être déployés sans entrave. De plus en plus, nous voyons les développeurs de ces outils s’appuyer sur un ensemble de pilotes légitimes mais vulnérables pour les alimenter, dans ce que l’on appelle des attaques de type “Bring Your Own Vulnerable Driver” (BYOVD).
Sophos X-Ops a vu une variété d’EDR killers potentiels utilisés par les auteurs de ransomware en 2024. L’outil le plus fréquemment rencontré était EDRSandBlast, un outil utilisé par de multiples acteurs. Observées à la fois dans les cas MDR et de réponse aux incidents (IR), les variantes EDRSandBlast ont été détectées dans des tentatives d’attaque par ransomware tout au long de l’année, notamment un pic spectaculaire autour des vacances de Thanksgiving aux États-Unis en novembre.
Figure 12 : Top 10 des malwares EDR-killer détectés par Sophos Endpoint Protection.
La protection antialtération, la détection comportementale et les détections spécifiques d’utilisation malveillante des pilotes du noyau pour désactiver les défenses de Sophos aident à empêcher ces outils de rendre les attaques de ransomware plus dommageables. Mais l’évolution constante de ces outils met encore plus de pression sur les défenseurs pour détecter et stopper les attaquants avant qu’ils ne puissent les déployer.
Conclusion
Le paysage des menaces pour les petites et moyennes entreprises reste très dynamique, les cybercriminels adaptant constamment leurs tactiques à de nouvelles mesures défensives et exploitant les vulnérabilités nouvelles et anciennes à mesure que des opportunités apparaissent. Répondre à cet environnement dépasse ce que la plupart des petites organisations peuvent gérer sans soutien externe et constitue une contrainte même pour celles dotées d’équipes informatiques dédiées.
La gestion du cycle de vie de tous les systèmes, notamment les routeurs Internet, les pare-feu, les appliances VPN et les applications et serveurs connectés à Internet, est un élément essentiel pour dissuader un pourcentage important d’attaques. Les appareils laissés en service sans correctifs ou après la fin du support proposé par les éditeurs peuvent servir de point d’entrée pour les courtiers d’accès et les auteurs de ransomware qui effectuent des analyses du réseau étendues sur Internet à la recherche de systèmes vulnérables à attaquer.
Les données de cette année montrent que les cybercriminels attaquent de plus en plus là où nous ne regardons pas :
- Sophos MDR constate de plus en plus l’exploitation des vulnérabilités et des mauvaises configurations des périphériques réseau, qui sont utilisés pour obtenir et dissimuler l’accès cybercriminel aux réseaux.
- S’il existe un risque que les outils de chiffrement utilisés par leurs ransomwares soit détectés par votre protection de sécurité endpoint, les attaquants utiliseront tout simplement des techniques de “ransomwares distants” à partir d’actifs sous-protégés.
- S’ils parviennent à trouver un moyen d’élever leurs privilèges, ils utiliseront un pilote de périphérique vulnérable dans le but d’empêcher vos outils de sécurité de détecter leurs intentions malveillantes.
Qu’il s’agisse de voler des codes MFA, d’utiliser des QR codes pour inciter les utilisateurs à accéder à des identifiants malveillants depuis leur téléphone ou de convaincre les utilisateurs de les inviter via des attaques de type email bombing et vishing, les cybercriminels s’adaptent et évoluent continuellement pour s’adapter à nos défenses.
Dans leur ensemble, les données et les tendances présentées dans ce rapport illustrent la nécessité d’adopter une approche de défense en profondeur pour protéger les organisations de toute taille. Pour la plupart de ces organisations, il n’est pas nécessaire de réaliser un investissement plus important en matière de sécurité, mais plutôt un changement d’état d’esprit pour s’adapter à l’évolution des menaces. Les petites et moyennes organisations peuvent réduire leur profil de risque en suivant ces étapes :
- Passez des mots de passe aux clés d’accès pour les identifiants du compte. Les clés d’accès sont des clés numériques stockées et attribuées à des appareils spécifiques et ne peuvent pas être interceptées par des kits de phishing de type “adversary-in-the-middle“.
- Pour les comptes qui ne peuvent pas être sécurisés avec des clés d’accès, utilisez l’authentification multifacteur et migrez vers la protection par clé d’accès lorsque cela est possible.
- Si les comptes ne peuvent être sécurisés par aucune des deux méthodes, surveillez-les de près grâce à une stratégie de détection et de réponse aux menaces basée sur l’identité, soit en interne, soit avec un fournisseur de services managés.
- Donnez la priorité à la mise à jour des correctifs des périphériques de type edge tels que les pare-feu et les périphériques VPN, et suivez toutes les étapes requises pour la mise à jour (notamment la réinitialisation des périphériques).
- Assurez-vous que le logiciel de sécurité endpoint soit déployé sur tous vos actifs afin que les appareils non gérés ne puissent pas être exploités par des attaquants.
- Faites appel à une aide extérieure pour auditer et surveiller régulièrement vos surfaces d’attaque externes afin de vous assurer que vous ne disposez pas de points d’entrée exploitables pour les attaquants à la recherche de cibles potentielles.
Remerciements
Sophos X-Ops remercie Anna Szalay, Colin Cowie et Morgan Demboski de Sophos MDR Threat Intelligence et Chester Wisniewski, Director, Global Field CISO pour leur soutien dans l’élaboration de ce rapport.
Billet inspiré de The Sophos Annual Threat Report: Cybercrime on Main Street 2025, sur le Blog Sophos.
