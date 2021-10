Rapport McAfee des menaces T2 2021 : Prolifération des ransomwares REvil et DarkSide

octobre 2021 par McAfee

McAfee Entreprise publie son rapport sur les menaces avancées (Octobre 2021), qui examine l’activité cybercriminelle liée aux ransomwares et aux menaces liées au cloud au cours du deuxième trimestre 2021. Suite au passage à une main-d’œuvre pandémique plus flexible et à l’attaque très médiatisée de Colonial Pipeline, les cybercriminels ont introduit des menaces et des tactiques nouvelles et actualisées, notamment dans le cadre de campagnes ciblant des secteurs de premier plan, tels que le gouvernement, les services financiers et le secteur du divertissement.

« Les ransomwares ont connu une évolution fulgurante depuis leurs débuts, et les cybercriminels sont devenus plus intelligents et plus rapides pour faire évoluer leurs tactiques avec toute une série de nouveaux schémas d’acteurs malveillants » déclare Raj Samani, McAfee Enterprise fellow and chief scientist. « Des noms tels que REvil, Ryuk, Babuk et DarkSide sont désormais connus du grand public et ont été associés à des perturbations de services essentiels dans le monde entier. Et avec raison, puisque les cybercriminels derrière ces groupes, ainsi que d’autres, ont réussi à extorquer des millions de dollars pour leur profit personnel. »

Chaque trimestre, McAfee évalue l’état du paysage des cybermenaces en se basant sur des recherches approfondies, des analyses d’investigation et des données sur les menaces recueillies par le cloud McAfee Global Threat Intelligence à partir de plus d’un milliard de capteurs sur de multiples vecteurs de menaces dans le monde.

Les ransomwares renforcent leur domination avec l’impact de l’attaque Colonial Pipeline

Le deuxième trimestre de 2021 a été un temps fort pour les ransomwares, qui ont fait leur place dans l’agenda cybernétique de l’administration américaine à la suite de l’attaque de Colonial Pipeline. L’impact de l’arrêt brutal de la chaîne d’approvisionnement a touché une grande partie de l’Est des États-Unis, créant une course effrénée des consommateurs pour le carburant. Au-delà de l’impact sur la chaîne d’approvisionnement, les ransomwares ont été bannis des anciens forums clandestins des cybercriminels. La réponse politique à l’attaque du Colonial Pipeline a entraîné l’annonce par deux des forums clandestins les plus influents, XSS et Exploit, d’une interdiction des annonces de ransomware. Il semble également que le groupe ransomware DarkSide ait brusquement interrompu ses activités, bien que McAfee Enterprise soit convaincu que son silence, au moment où est apparu le groupe BlackMatter, est bien plus qu’une coïncidence. D’autant plus qu’il reflète la même réaction effectuée avant et après la période de silence de REvil. Malgré ces changements de comportement notables, le réseau mondial détecteur de menaces de McAfee Enterprise a identifié une recrudescence des attaques DarkSide du groupe contre des cibles dans les domaines des services juridiques, de la vente en gros et de la manufacture aux États-Unis.

D’autres groupes de ransomware utilisant des modèles d’affiliation similaires, tels que Ryuk, REvil, Babuk et Cuba, sont tout aussi préoccupants que DarkSide. Ils ont déployé des modèles commerciaux soutenant l’implication de tiers pour exploiter des vecteurs d’entrée communs et des apparences similaires afin de se déplacer dans un environnement. Dans les faits, REvil/Sodinokibi a été en tête des détections de ransomware au T2 2021, représentant 73 % des 10 premières détections de ransomware de McAfee Entreprise.

L’impact du Covid-19 sur la main-d’œuvre continue de renforcer les menaces liées au cloud.

Au deuxième trimestre 2021, McAfee Entreprise a de nouveau observé les défis liés à l’évolution de la sécurité du cloud pour s’adapter à une main-d’œuvre pandémique plus flexible et à une charge de travail accrue, lesquelles représentaient pour les cybercriminels davantage de cibles potentielles et d’exploits possibles.

D’après l’étude McAfee Entreprise, au T2 2021, les attaques et les cibles suivantes en matière de menaces liées au cloud se sont classées en tête des 10 premiers pays répondants (États-Unis, Inde, Australie, Canada, Brésil, Japon, Mexique, Grande-Bretagne, Singapour et Allemagne) :

• Les services financiers ont été ciblés le plus souvent parmi les incidents de cloud signalés, suivis par les soins de santé, la manufacture, le commerce de détail et les services professionnels.

• Les services financiers ont été ciblés dans 50 % des 10 principaux incidents de cloud, y compris les incidents aux États-Unis, à Singapour, en Chine, en France, au Canada et en Australie.

• Les incidents liés au cloud ciblant des secteurs verticaux aux États-Unis ont représenté 34 % des incidents enregistrés, avec une baisse de 19 % en Grande-Bretagne.

• Le plus grand nombre d’incidents liés au cloud ciblant des pays a été signalé aux États-Unis, suivis par l’Inde, l’Australie, le Canada et le Brésil.

• Les incidents liés au cloud ciblant les États-Unis ont représenté 52 % des incidents enregistrés.

Activité des menaces au T2 2021

Le gouvernement est la cible des ransomwares. Le secteur le plus ciblé par les ransomwares au deuxième trimestre 2021 était le secteur public, suivi par les télécommunications, le secteur énergétique, puis les médias et la communication.

Vecteurs d’attaque. Au T2 2021, les logiciels malveillants étaient la principale attaque utilisée dans le cadre des incidents signalés. Le spam a connu la plus forte augmentation des incidents signalés - 250 % - entre le premier et le deuxième trimestre 2021, suivi par les scripts malveillants (125 %) et les logiciels malveillants (47 %).

Activité du secteur. McAfee Entreprise a constaté une augmentation de 64 % des cyberincidents signalés officiellement et visant le secteur public au cours du deuxième trimestre 2021, suivi du secteur du divertissement avec une augmentation de 60 %. A noter que le secteur de l’information et de la communication a connu une baisse de 50 % au T2 2021, tandis que le secteur de la manufacture a enregistré une baisse de 26 %.

Régions. Ces incidents ont surtout augmenté aux États-Unis et en Europe au deuxième trimestre 2021. Les États-Unis ont connu le plus grand nombre d’incidents signalés auT2, et l’Europe a connu les plus fortes augmentations d’incidents signalés sur la même période avec 52 %.