Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs. : “Nous assistons à une recrudescence de cyberattaques efficaces et dévastatrices, capables de toucher des milliers d’entreprises en une seule campagne, créant ainsi un point d’inflexion majeur dans la lutte contre la cybercriminalité. Aujourd’hui, plus que jamais, chacun a un rôle important à jouer dans cette lutte et la collaboration entre les différents acteurs doit être une priorité pour perturber les filières criminelles. Le partage des données et les partenariats apportent des réponses plus efficaces et une meilleure compréhension des techniques futures, pour ainsi juguler les efforts de l’adversaire. La sensibilisation quotidienne des collaborateurs face aux menaces, ainsi que les technologies de prévention, de détection et de réponse basées sur l’IA et intégrées aux endpoints, aux réseaux et au cloud restent essentielles pour contrer les cybercriminels.”

Pour une synthèse du rapport et les points importants à retenir :

1) Le ramsomware n’est pas qu’une question d’argent. Les données de FortiGuard Labs montrent que l’activité hebdomadaire moyenne des ransomwares en juin 2021 a été plus que décuplée par rapport à juin 2020, preuve d’une augmentation constante et régulière sur la période. Les attaques ont paralysé les chaînes d’approvisionnement de plusieurs entreprises stratégiques et ont eu un impact sur la vie quotidienne, la productivité et le business en général. Les entreprises du secteur des télécommunications ont été les plus visées, suivies par les administrations publiques, les fournisseurs de services de sécurité, le secteur automobile et l’industrie manufacturière.
En outre, certains auteurs de ransomwares ont repensé leur stratégie, abandonnant les attaques initiées par email pour se concentrer sur l’obtention et la revente d’accès initiaux (Initial Access) aux réseaux des entreprises, ce qui témoigne de l’évolution continue du Ransomware-as-a-Service (RaaS). Il faut retenir que les ransomwares constituent un danger évident et constant pour toute entreprise, quel que soit son secteur d’activité ou sa taille. Il s’agit d’adopter une approche proactive avec des solutions de protection des endpoints, de détection et de réponse automatisée en temps réel pour sécuriser les environnements. Au-delà, c’est aussi une approche d’accès zero trust au réseau, une segmentation de ce réseau et un chiffrement des données qui s’imposent.

2) Une entreprise sur quatre a détecté des publicités malveillantes. L’étude de la prévalence des principales familles de malware montre une augmentation de la publicité malveillante (malvertising) et des alarmiciels (scareware). Plus d’une entreprise sur quatre a détecté de telles tentatives, Cryxos étant la famille de malware la plus fréquente. Toutefois, un grand nombre de ces détections est probablement associé à des campagnes JavaScript similaires qui seraient considérées comme du malvertising. Le travail hybride a sans doute encouragé les cybercriminels à développer de nouvelles tactiques qui visent non seulement à faire peur mais aussi à extorquer des fonds. La sensibilisation des collaborateurs s’impose plus que jamais pour identifier et déjouer ces tactiques de scareware ou de malvertising.

3) Les assaillants tirent parti des botnets pour cibler les endpoints. Le suivi du nombre de botnets détectés témoigne d’une augmentation de l’activité de ce type de malware. Au début de l’année, 35 % des entreprises avaient détecté une activité de botnet. Six mois plus tard, elles sont 51 %. L’activité dynamique de TrickBot est à l’origine de ce pic identifié en juin. TrickBot est apparu sur la scène de la cybercriminalité sous la forme d’un cheval de Troie bancaire. Il s’est depuis transformé en une boîte à outils sophistiquée et polyvalente permettant de multiples activités illicites.

Mirai a été le botnet le plus prévalent dans l’ensemble. Il a surclassé Gh0st au début de l’année 2020 et règne depuis lors sur l’ensemble de l’année 2021. Mirai a enrichi son arsenal offensif mais il est probable que sa domination soit notamment due aux criminels qui cherchent à pirater les objets connectés utilisés par les télétravailleurs ou étudiants distants.

Gh0st reste néanmoins actif : ce botnet d’accès à distance permet aux assaillants de prendre le contrôle total du système infecté, de capturer des flux de webcam et audio en direct ou de télécharger des fichiers.

Plus d’un an après la migration massive vers le travail et l’apprentissage à distance, les cybercriminels continuent de cibler nos habitudes quotidiennes, en constante évolution, pour exploiter toute opportunité qui se présente. Pour protéger les réseaux et les applications, les entreprises ont besoin d’une approche d’accès réseau zero trust et de fournir des accès à moindre privilège pour sécuriser les endpoints et objets qui se connectent au réseau.

4) Les actions de déstabilisation de la cybercriminalité se traduisent par une réduction du volume des menaces. Dans le domaine de la cybersécurité, toutes les actions n’ont pas un effet immédiat ou durable, mais plusieurs événements survenus en 2021 indiquent une évolution positive. Le développeur à l’origine de TrickBot a été inculpé de plusieurs chefs d’accusation en juin. De même, le démantèlement coordonné d’Emotet, l’une des opérations de logiciels malveillants les plus prolifiques de l’histoire récente, ainsi que les actions visant à perturber les ransomwares Egregor, NetWalker et Cl0p témoignent d’un élan significatif de la part des professionnels de la sécurité IT, des gouvernements et des forces de l’ordre du monde entier pour enrayer la cybercriminalité.
En outre, l’attention portée à certaines attaques a effrayé quelques opérateurs de ransomwares qui ont annoncé cesser leurs activités. Les données de FortiGuard Labs témoignent d’un ralentissement de l’activité après le démantèlement d’Emotet. L’activité liée aux variantes de TrickBot et de Ryuk a persisté après l’arrêt du botnet Emotet, mais avec un volume réduit. Ces événements constituent néanmoins des avancées importantes, même si nous constatons qu’il est difficile d’éradiquer les cybermenaces ou les sources d’attaques.

5) Techniques de contournement et d’usurpation de privilèges par les cybercriminels. L’étude des menaces complexes permet de tirer de précieux enseignements sur l’évolution des techniques malveillantes. FortiGuard Labs a analysé les fonctionnalités spécifiques de logiciels malveillants en en exécutant des échantillons, puis en observant les conséquences, celles qu’attendent les cybercriminels. Le résultat est une liste de préjudices que les logiciels malveillants auraient pu provoquer si les attaques avaient été exécutées dans les environnements ciblés. Il en ressort que les cybercriminels ont cherché, entre autres techniques, à détourner des privilèges élevés, contourner les défenses, se déplacer en interne d’un système à l’autre et exfiltrer les données compromises. Par exemple, 55 % des usurpations de privilèges ont utilisé la technique du hooking et 40 % l’injection de code dans un processus. Il est évident que les cybercriminels mettent l’accent sur des tactiques de contournement des défenses et d’usurpation de privilèges. La connaissance de ces tactiques, qui ne sont guère nouvelles, permet aux opérationnels de la sécurité IT d’être mieux armés. Des approches intégrées et basées sur des plateformes d’intelligence artificielle (IA), alimentées par une veille décisionnelle sur les menaces sont essentielles pour assurer une défense sur tous les fronts et neutraliser les menaces en évolution auxquelles les entreprises sont confrontées en permanence.

Les partenariats, la formation, ainsi que la prévention, la détection et la réponse aux menaces assistées par AI, sont essentiels

Bien que les organismes gouvernementaux et les forces de l’ordre aient pris des mesures relatives à la cybercriminalité par le passé, le premier semestre de 2021 pourrait initier une nouvelle dynamique pour l’avenir. Ces acteurs collaborent désormais avec les éditeurs de solutions de sécurité et avec d’autres acteurs, au travers de partenariats, pour associer les ressources et agréger les informations de veille en temps réel, et donc agir concrètement contre les cybercriminels. Quoi qu’il en soit, la détection automatisée des menaces et l’IA restent essentielles pour permettre aux entreprises de faire face aux attaques en temps réel, et de les maîtriser, à grande échelle et sur tous les fronts. En outre, la formation des utilisateurs à la cybersécurité est plus importante que jamais, n’importe qui pouvant être la cible de cyberattaques. Une sensibilisation continue sur les meilleures pratiques s’impose pour assurer la sécurité des collaborateurs et donc de l’entreprise.

Synthèse du rapport

Ce dernier rapport sur le panorama mondial des menaces est une synthèse des informations de veille de FortiGuard Labs, tirées du réseau mondial de capteurs de Fortinet qui a recueilli des milliards d’événements observés dans le monde, au cours du premier semestre 2021.

De la même manière que MITRE ATT&CK classifie les tactiques, techniques et procédures des cybercriminels, les trois premières catégories étant la reconnaissance, le développement des ressources et l’accès initial, le rapport FortiGuard Labs Global Threat Landscape s’appuie sur ce modèle pour décrire comment les auteurs de menaces identifient les vulnérabilités, bâtissent leur stratégie malveillante et attaquent leurs cibles. Le rapport propose tant des perspectives mondiales que par région.