De l’intensification des attaques dîtes « par force brute » et de celles ciblées dans le cloud, à la montée en puissance des attaques par smishing conversationnel qui engendrent une prolifération des contournements de l’authentification multifactorielle (MFA), en 2022 le paysage des cyberattaques a connu des évolutions significatives sur plusieurs fronts.
Pour Ryan Kalember, vice-président exécutif de la stratégie de cybersécurité de Proofpoint, « Microsoft 365 constituant un pourcentage important de la surface d’attaque de l’organisation type, l’utilisation abusive de cette plateforme, des macros Office aux documents OneNote, continue de façonner les grandes lignes du paysage de la menace cyber. » Il ajoute que « alors que les contrôles de sécurité se sont lentement améliorés, les acteurs de la menace ont innové et étendu leurs méthodes de contournement ; autrefois du seul ressort des plus chevronnés, des techniques telles que le contournement du MFA et les attaques par téléphone, par exemple, sont aujourd’hui monnaie courante. Si de nombreux acteurs de la menace continuent d’expérimenter, il n’en reste pas moins que les attaquants exploitent les personnes et que celles-ci constituent la variable la plus critique tout au long de la chaîne d’attaque d’aujourd’hui ».
À propos de l’étude
The Human Factor est le rapport le plus complet du secteur émanant d’un seul fournisseur. Il examine depuis sa première édition en 2014, les nouveaux développements dans le paysage de la menace cyber, en se concentrant sur la combinaison de la technologie et de la psychologie qui rend les cyberattaques modernes si dangereuses ; la vulnérabilité, les attaques et les privilèges d’accès étant les trois principales facettes du risque utilisateur.
Le rapport s’appuie sur l’un des ensembles de données de cybersécurité les plus importants et les plus diversifiés de l’industrie, couvrant la messagerie électronique, l’informatique en cloud et l’informatique mobile ; l’analyse se fonde sur plus de 2,6 milliards de messages électroniques échangés, 49 milliards d’URL, 1,9 milliard de pièces jointes, 28 millions de comptes cloud, 1,7 milliard de messages SMS suspects, etc.
Conclusions principales
Avec des techniques complexes telles que le contournement de l’authentification multifactorielle, les attaques par téléphone, ou encore les menaces conversationnelles qui reposent uniquement sur le charme déployé par l’attaquant, l’année 2022 a été celle d’une créativité sans précédent déployée par les acteurs de la menace, qui ont varié méthodes et chaînes d’attaque, et ont rapidement testé et écarté les mécanismes de diffusion. Les principales conclusions du rapport 2023 de Proofpoint sur le facteur humain sont les suivantes :

• L’utilisation des macros Office s’est effondrée après que Microsoft ait déployé des contrôles pour les bloquer : méthode populaire de distribution de logiciels malveillants pendant près de trois décennies, l’utilisation des macros Office a finalement commencé à se tarir depuis que Microsoft a mis à jour la façon dont son logiciel traite les fichiers téléchargés à partir du Web. Ces changements ont déclenché une vague d’expérimentation de la part des acteurs de la menace, qui ont cherché d’autres techniques pour compromettre leurs cibles.

• Les acteurs de la menace ont commencé à associer à leur ingéniosité une précision et une patience nouvelles : les menaces de smishing conversationnel et de « pig butchering » — qui commencent par l’envoi de messages apparemment inoffensifs par les attaquants — ont explosé l’année dernière. Dans l’espace mobile, il s’agit de la menace qui a connu la croissance la plus rapide de l’année, avec un volume multiplié par douze. Les attaques par téléphone (TOAD) ont culminé à 13 millions de messages par mois. Plusieurs acteurs APT alliés à certains régimes, ont été observé passer beaucoup de temps à échanger des messages anodins avec leurs cibles, et ce afin d’établir une relation proche au fil des semaines et des mois.

• Les kits d’hameçonnage de contournement de la MFA sont devenus omniprésents, permettant même à des cybercriminels débutants de lancer une campagne d’hameçonnage de grande ampleur : les cadres de contournement de MFA tels que EvilProxy, Evilginx2 et NakedPages ont représenté plus d’un million de messages d’hameçonnage par mois.

• L’infrastructure de confiance joue un rôle clé dans l’exécution de nombreuses attaques basées sur le cloud, et montre les limites des protections basées sur l’attribution de règles : la plupart des organisations ont été confrontées à des menaces provenant des géants de l’informatique cloud tels que Microsoft et Amazon, dont l’infrastructure héberge de nombreux services desquels dépendent beaucoup d’organisations.

• De nouvelles méthodes de distribution ont propulsé SocGholish dans le top 5 des logiciels malveillants en termes de volume de messages : grâce à une nouvelle méthode de distribution impliquant des téléchargements « drive-by » et de fausses mises à jour de navigateur, l’acteur de la menace derrière SocGholish — TA569 — a été de plus en plus en mesure d’infecter des sites web pour diffuser des logiciels malveillants exclusivement par le biais de téléchargements « drive-by », en incitant les victimes à les télécharger par le biais de fausses mises à jour de navigateur. De nombreux sites hébergeant le logiciel malveillant SocGholish ne savent pas qu’ils l’hébergent, ce qui favorise sa diffusion.

• Les menaces liées au cloud sont devenues omniprésentes : chaque mois, 94 % des utilisateurs cloud analysés ont été la cible d’attaques de précision ou par force brute, ce qui indique une fréquence équivalente à celle des attaques par d’autres vecteurs, messagerie et téléphonie mobile. Le nombre d’attaques par force brute — notamment celles par la « pulvérisation de mots de passe » (password spraying) — est passé d’une moyenne mensuelle de 40 millions en 2022 à près de 200 millions début 2023.

• Abuser de la familiarité et de la confiance envers de grandes marques reconnues est l’une des formes les plus répandues d’ingénierie sociale : les produits et services Microsoft occupent quatre des cinq premières places dans le classement des marques exploitées, Amazon étant la marque la plus exploitée.

• Un accès initial réussi peut rapidement conduire à des attaques à l’échelle du domaine, tel que l’infection par un ransomware ou le vol de données : jusqu’à 40 % des identités d’administrateurs mal configurées ou « fantômes » peuvent être exploitées en une seule étape, par exemple en réinitialisant le mot de passe d’un domaine pour élever les privilèges. En outre, 13 % des administrateurs fictifs disposent déjà de privilèges d’administrateur de domaine, ce qui permet aux attaquants de récupérer des informations d’identification et d’accéder aux systèmes de l’entreprise. Environ 10 % des terminaux ont un mot de passe de compte privilégié non protégé, 26 % de ces comptes exposés étant des administrateurs de domaine.

• Le groupe Emotet est redevenu l’acteur de menace le plus important au monde, un an après que les forces de l’ordre aient mis le botnet hors ligne en janvier 2021 : malgré l’envoi de plus de 25 millions de messages en 2022, soit plus du double du volume envoyé par le deuxième acteur le plus important, la présence d’Emotet a été intermittente, le groupe montrant également des signes de ralentissement dans son adaptation au paysage des menaces post-macro.

• Si la criminalité financière domine largement le paysage des menaces, une seule attaque menée par un acteur de la menace persistante avancée (APT) peut avoir un impact considérable : une vaste campagne menée par TA471, un groupe APT d’obédience russe qui se livre à l’espionnage d’entreprises et de gouvernements, a propulsé cet acteur au sommet du classement des volumes de messages APT. TA416, un acteur APT aligné sur l’État chinois, a été l’un des plus actifs. En particulier, de nouvelles campagnes importantes menées par TA416 ont coïncidé avec le début de la guerre entre la Russie et l’Ukraine, ciblant des entités diplomatiques européennes impliquées dans les services d’aide aux réfugiés et aux migrants.