Threat Intelligence
Recherche sur les menaces

Threat Intelligence Executive Report (Volume 2025, numéro 5)

Cette version du rapport bimestriel de haut niveau du CTU (Counter Threat Unit) examine les mises à jour notables du paysage des menaces au cours des mois de juillet et août.
Texte écrit par
Threat Research

L’équipe de recherche du CTU (Counter Threat Unit™) analyse les menaces de sécurité pour aider les organisations à protéger leurs systèmes. Sur la base d’observations réalisées en juillet et en août, les chercheurs du CTU™ ont identifié les problèmes et changements notables suivants dans le paysage des menaces au niveau mondial :

  • Les ransomwares restent une menace volatile malgré les perturbations.
  • L’absence d’authentification multifacteur (MFA) permet l’exploitation des identifiants volés.
  • Les vulnérabilités héritées conservent leur valeur.

Les ransomwares restent une menace volatile malgré les perturbations

Les actions lancées par les forces de l’ordre ont eu un impact sur l’écosystème des ransomwares, mais n’ont pas réduit le nombre d’attaques.

Les ransomwares restent une menace majeure pour les organisations. Même si le nombre de victimes publiées sur les sites de fuites de données a diminué depuis qu’il a atteint un pic historique en mars 2025, les chiffres de juillet et août sont restés plus élevés que ceux des mêmes mois en 2024. Malgré l’exposition médiatique offerte aux attaques de ransomware et d’extorsion de données de grande envergure menées par Scattered Spider et ShinyHunters, les deux programmes les plus prolifiques en juillet et août ont été Qilin et Akira. Les deux programmes ont été très actifs en 2025 (bien que le nombre de victimes signalées chaque mois soit inférieur au volume mensuel des opérations prolifiques précédentes menées par LockBit, par exemple). Néanmoins, dans l’ensemble, le nombre élevé d’attaques de ransomware au cours des deuxième et troisième trimestres de 2025 a été réparti de manière plus uniforme entre plusieurs groupes par rapport aux années précédentes.

Les actions menées par les forces de l’ordre contre les principaux opérateurs de ransomware en 2024 et 2025 ont entraîné une fragmentation et une volatilité du paysage des ransomwares. En règle générale, chaque perturbation des forces de l’ordre entraîne une augmentation temporaire de la création de nouveaux groupes. Trente-sept nouveaux programmes malveillants sont apparus au premier semestre 2025. Quatre autres sont apparus en juillet, suivis de quatre autres en août. Ce nombre élevé et soutenu peut être lié à la cadence régulière des activités des forces de l’ordre ciblant LockBit tout au long de l’année 2024. Plusieurs groupes qui étaient considérés comme dormants sont également redevenus actifs en juillet et août 2025. Au total, 52 programmes de ransomware étaient actifs en août, un volume mensuel qui n’a été dépassé que trois fois au cours des deux années précédentes.

Il est peu probable que les nouveaux programmes soient mis en place par de nouveaux cybercriminels. En effet, les affiliés qui ont travaillé sur des opérations perturbées par les forces de l’ordre peuvent rejoindre ou lancer un nouveau programme, soit en mettant en commun leurs efforts avec d’autres affiliés frustrés, soit en travaillant de manière indépendante. Les nouveaux programmes peuvent également être un rebranding d’anciennes opérations de ransomware. Les affiliés peuvent également se tourner vers des opérations établies telles qu’Akira, qui augmentent alors leur rythme d’attaque grâce à davantage de ressources. Ce phénomène de rebranding et la circulation des affiliés au sein de groupes existants ou nouveaux peuvent rendre les chaînes de destruction difficiles à identifier et l’attribution encore plus difficile à mener.

Même si ces développements peuvent accroître la difficulté globale de la surveillance de l’écosystème des ransomwares, ils ne modifient pas considérablement les principales défenses contre la plupart des attaques de ransomware : mise à jour rapide des correctifs, en particulier sur les appareils connectés à Internet ; authentification multifacteur (MFA) résistante au phishing ; et surveillance complète des systèmes endpoint et des réseaux. De plus, il devient de plus en plus important de surveiller les environnements Cloud et hybrides à la recherche d’activités malveillantes à mesure que les acteurs malveillants se tournent vers le Cloud.

Threat Intelligence Que devez-vous faire ?

Surveiller les initiatives gouvernementales visant à faire progresser la sécurité du Cloud.

L’absence d’authentification multifacteur (MFA) permet l’exploitation des identifiants volés

La mise en œuvre de l’authentification multifacteur empêche les acteurs malveillants de tirer profit des identifiants volés.

Les chercheurs du CTU ont observé de nombreux incidents dans lesquels des cybercriminels ou des acteurs malveillants parrainés par un État ont obtenu un accès initial à l’environnement de leur victime en abusant des identifiants VPN. Par exemple, le groupe malveillant GOLD LEAPFROG a abusé des identifiants VPN lors d’une attaque début 2025 qui a abouti au déploiement du ransomware SafePay.

Un accès non autorisé de cette nature permet aux acteurs malveillants de contourner les mesures de sécurité traditionnelles et d’accéder directement aux systèmes internes, même si l’appareil est entièrement corrigé contre les vulnérabilités connues. D’autres types d’accès fréquemment utilisés à mauvais escient incluent les connexions au bureau à distance ou les comptes administratifs. En d’autres termes, les méthodes conçues pour protéger l’accès autorisé des employés distants peuvent également donner accès aux attaquants si la protection n’est pas suffisamment forte.

Les acteurs malveillants achètent souvent identifiants sur des marketplaces underground. Le malware Infostealer vole les identifiants et d’autres données des systèmes qu’il infecte. Les données volées sont ensuite regroupées dans des logs et vendues en ligne à d’autres acteurs malveillants. Des millions de logs sont disponibles à la vente, et leur nombre continue d’augmenter fortement chaque année. Par conséquent, la protection des systèmes contre les infections par des infostealers constitue un élément clé de la défense contre les attaques ultérieures de ransomware ou d’extorsion de données.

Les acteurs malveillants qui obtiennent des identifiants partiels peuvent également tenter d’accéder par force brute aux comptes VPN. S’ils parviennent à accéder au site, c’est presque toujours parce que le VPN ne nécessite pas de MFA pour s’authentifier. L’authentification multifacteur (MFA) à elle seule n’empêche pas tous les accès non autorisés, mais elle réduit la menace venant d’un cybercriminel opportuniste. La mise en œuvre d’un MFA résistant au phishing sur tous les services et appareils connectés à Internet réduit encore davantage les niveaux de risque. Ce type d’authentification multifacteur utilise des méthodes matérielles pour empêcher le vol de jetons.

Threat Intelligence Que devez-vous faire ?

Consultez les directives publiées par la CISA (Cybersecurity and Infrastructure Security Agency) américaine sur la mise en œuvre d’un MFA résistant au phishing.

Les vulnérabilités héritées conservent leur valeur

Même si une vulnérabilité date de plusieurs années, il est rarement trop tard pour la corriger.

En août, le Federal Bureau of Investigation (FBI) a découvert que des acteurs parrainés par l’État russe et liés au Center 16 du FSB (Russian Federal Security Service) menaient des attaques de cyberespionnage contre des entités américaines, entre autres, en ciblant activement les appareils Cisco non corrigés contre une vulnérabilité de 2018. Les chercheurs du CTU ont observé une activité similaire de la part d’acteurs malveillants parrainés par l’État russe en 2023.

Le FBI a également été l’une des nombreuses agences aux États-Unis et au-delà à émettre un avertissement concernant les acteurs malveillants parrainés par l’État chinois qui compromettent les réseaux dans le monde entier à des fins d’espionnage. La partie du document qui décrit la manière dont les attaquants ont obtenu l’accès initial indique qu’ils “ont rencontré un succès considérable en exploitant des vulnérabilités courantes connues du public” plutôt que des vulnérabilités zero-day jusque-là inconnues. Le document répertorie la vulnérabilité Cisco de 2018, ainsi que d’autres de 2023 et 2024 qui affectent les périphériques edge.

Les organisations peuvent ne pas installer les correctifs rapidement pour de nombreuses raisons. Les restrictions budgétaires et le personnel limité ne sont que deux facteurs qui peuvent avoir un impact sur un programme de correctifs. Le personnel peut ne pas être conscient de la vulnérabilité ou ne pas se rendre compte que l’équipement concerné est en cours d’utilisation. Certains correctifs peuvent nécessiter une évaluation supplémentaire ou doivent être remplacés par des solutions de contournement pour éviter tout impact potentiel sur d’autres opérations critiques pour l’entreprise. Dans certains cas, l’équipement est si ancien que les fournisseurs ne publient plus de mises à jour de sécurité. Néanmoins, les périphériques edge non corrigés mettent les organisations en danger. Lors des interventions de réponse aux incidents observées par les chercheurs du CTU en 2024, les vulnérabilités des appareils connectés à Internet étaient les vecteurs d’accès initiaux les plus courants.

Le risque que représente les appareils non corrigés ne va pas diminuer. Il est déjà facile d’utiliser des systèmes d’analyse disponibles gratuitement et des codes d’exploitation accessibles au public pour trouver et exploiter des systèmes vulnérables, et il est possible que l’IA puisse automatiser davantage cette opération. La mise en œuvre rapide de correctifs en fonction de l’évaluation des risques commerciaux encourus ou le remplacement des systèmes en fin de vie restent plus importants que jamais.

Threat Intelligence Que devez-vous faire ?

Surveillez les alertes des gouvernements et des éditeurs ainsi que d’autres sources de renseignements sur les menaces (Threat-Intelligence) concernant le comportement des acteurs malveillants, et suivez les conseils en matière d’installation de correctifs appropriés à votre environnement.

Conclusion

Malgré les changements dans la composition des groupes malveillants et l’augmentation du nombre d’attaques, certains aspects propres aux cybermenaces restent les mêmes. Les cybercriminels et les acteurs malveillants parrainés par un État continuent de profiter de l’accès facile aux environnements des organisations. Heureusement, les bases d’une bonne cyberdéfense restent également constantes : mise à jour rapide des correctifs, MFA résistant au phishing et enfin surveillance et réponse complètes.

Billet inspiré de Threat Intelligence Executive Report – Volume 2025, Number 5, sur le Blog Sophos.

À propos de l’auteur

Sophos Counter Threat Unit™ (CTU) researchers are recognized authorities in the cybersecurity field, regularly contributing expert analysis to global media, publishing technical analyses for the security community, and presenting about emerging threats at leading security conferences. Backed by Sophos’ advanced security technologies and a broad network of intelligence contacts and partners, the CTU™ plays a critical role in identifying and tracking threat actors and analyzing anomalous activity, uncovering new attack techniques, threats, and major shifts in the threat landscape.

Lire des articles similaires