Principales conclusions du rapport :

L’augmentation de 583 % des attaques de type Kerberoasting souligne l’escalade massive du nombre d’intrusions basées sur l’identité : CrowdStrike constate, que ce type d’attaque a quasiment été multiplié par 6 en un an. Cette technique est employée par les cybercriminels afin d’obtenir les identifiants légitimes de comptes dans l’Active Directory (AD) et ainsi disposer des privilèges les plus élevés pour échapper au radar de leurs victimes pendant de plus longues périodes. Dans l’ensemble, 62 % des intrusions interactives ont impliqué l’utilisation malveillante de comptes valides. Par ailleurs, les chercheurs notent une augmentation de 160 % des tentatives de collecte de "clés secrètes" et autres identifiants via les API de métadonnées d’instances cloud.

En un an, l’utilisation des outils RMM dits légitimes a augmenté de 312 % : Un chiffre qui confirme les informations publiées par l’Agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA). Le rapport de CrowdStrike indique que les cybercriminels ont de plus en plus recours à des applications de gestion et de surveillance à distance légitimes et bien connues. Cela leur permet de déjouer les mesures de détection mises en œuvre et de se fondre dans l’activité des entreprises ciblées pour accéder à leurs données sensibles, déployer des ransomwares ou installer des outils de suivi davantage personnalisés.

Le temps de propagation a atteint un niveau historiquement rapide, à savoir 79 minutes : après la compromission initiale d’une machine, le délai moyen observé pour qu’un adversaire commence à se déplacer latéralement vers d’autres systèmes du réseau est passé de 84 minutes, record établi en 2022, à 79 minutes en 2023. En outre, le délai de propagation le plus court enregistré durant la période est de seulement sept minutes !

Par rapport à l’année précédente, le secteur financier a connu une augmentation spectaculaire de 80 % d’intrusions interactives : définies comme des attaques manuelles de type « hands on keyboard », les intrusions interactives ont globalement augmenté de 40 %.

Au sein des communautés cybercriminelles ou clandestines, le nombre d’annonces passées par des Acces Brokers (courtiers d’accès) a progressé de 147 % : la facilité avec laquelle il est désormais possible d’acheter des comptes légitimes simplifie la tâche des cybercriminels qui souhaitent mener des opérations malveillantes. Cela permet aux acteurs établis d’affiner leurs techniques post-exploitation dans le but d’atteindre leurs objectifs avec une efficacité accrue.

L’utilisation d’un outil d’élévation des privilèges sous Linux pour exploiter les environnements cloud a été multipliée par trois : l’équipe Falcon OverWatch de CrowdStrike a constaté un triplement de l’utilisation de l’outil Linux linPEAS pour accéder aux métadonnées de l’environnement cloud, aux attributs réseau et à divers identifiants pouvant être exploités ultérieurement à des fins malveillantes.

« Au cours de l’année écoulée, nous avons suivi plus de 215 adversaires et constaté que le paysage des menaces gagne en complexité et en profondeur. Les auteurs de menaces adoptent en effet de nouvelles plateformes et de nouvelles tactiques - telles que l’utilisation d’identifiants valides à des fins malveillantes - pour cibler les vulnérabilités sur le cloud et dans les logiciels », déclare Adam Meyers, Senior VP of Intelligence de CrowdStrike. « S’agissant de la neutralisation des compromissions, il est impossible d’ignorer le fait que les adversaires sont de plus en plus rapides et qu’ils déploient des techniques spécifiquement conçues pour échapper aux méthodes de détection traditionnelles. Les responsables de la cybersécurité doivent par conséquent se demander si leurs équipes disposent réellement d’une solution capable de stopper des mouvements latéraux en seulement sept minutes. »