Dans ce rapport, l’Unit 42 a déterminé que les secteurs de la finance et de l’immobilier figuraient parmi ceux qui recevaient les montants moyens de demandes de rançon les plus élevés : en moyenne, environ 8 millions et 5,2 millions de dollars, respectivement. Dans l’ensemble, les ransomware et la compromission des emails professionnels (BEC) ont été les deux principaux types d’incidents que l’équipe de réponse aux incidents a dû gérer au cours des 12 derniers mois. Ils représentent environ 70 % des cas de réponse aux incidents.

« A l’heure actuelle, la cybercriminalité est une activité dans laquelle il est facile de se lancer, en raison de son faible coût et de sa rentabilité souvent élevée. Dans ce contexte, des acteurs de la menace novices et non qualifiés peuvent très bien se lancer grâce à des outils tels que le hacking-as-a-service (piratage en tant que service), qui connaissent une popularité grandissante et sont disponibles sur le dark web », explique Wendi Whitmore, SVP et responsable de l’Unit 42 de Palo Alto Networks. « Les auteurs des attaques par ransomware ont en outre perfectionné leur organisation, en proposant un service client et des enquêtes de satisfaction lorsqu’ils interagissent avec les cybercriminels et les organisations victimes. »

Le rapport traite des grandes tendances suivantes :

Ransomware

Le nom d’une nouvelle victime des ransomware est publié sur les sites de fuite toutes les quatre heures. Il est vital pour les entreprises d’identifier très tôt l’activité des ransomwares. En général, les acteurs des ransomwares ne sont découverts qu’après le chiffrement des fichiers, l’entreprise victime recevant alors une demande de paiement de rançon. L’Unit 42 a constaté que le temps d’infiltration médian - c’est-à-dire le temps que les acteurs de la menace passent dans l’environnement ciblé avant d’être détectés - observé pour les attaques par ransomware était de 28 jours. Les demandes de rançon ont atteint jusqu’à 30 millions de dollars et le montant record des paiements effectivement réalisés par les victimes est de 8 millions de dollars, soit une augmentation constante par rapport aux conclusions du rapport 2022 de l’Unit 42 sur les ransomware. De plus en plus souvent, les entreprises touchées peuvent également s’attendre à ce que les acteurs de la menace utilisent la double extorsion, en menaçant de diffuser publiquement leurs informations sensibles si elles refusent de payer la rançon.

BEC (Compromission des emails professionnels)

Les cybercriminels ont utilisé toute une variété de techniques pour compromettre les emails des entreprises dans le cadre de fraude par courrier et de fraude électronique. Les formes d’ingénierie sociale, telles que le hameçonnage, sont un moyen facile et rentable de se procurer un accès secret, avec un faible risque d’être détecté. Selon le rapport, dans de nombreux cas, les cybercriminels se contentent de demander à leurs cibles involontaires de leur communiquer leurs informations d’identification, ce qu’elles font. Une fois l’accès obtenu, la durée médiane d’infiltration des attaques de type BEC est de 38 jours, et le montant moyen dérobé est de 286 000 dollars.

Les secteurs touchés

Les attaquants ciblent les secteurs d’activité lucratifs. Néanmoins, de nombreux attaquants sont des opportunistes et scrutent tout simplement l’Internet à la recherche de systèmes leur permettant d’exploiter des vulnérabilités connues. L’Unit 42 a identifié les secteurs les plus touchés parmi ses cas de réponse aux incidents : finance, services professionnels et juridiques, fabrication, soins de santé, haute technologie, commerce de gros et de détail. Les organisations de ces secteurs stockent, transmettent et traitent de gros volumes d’informations sensibles et monnayables qui attirent les acteurs de la menace.

Le rapport révèle également quelques statistiques sur lesquelles les cyber-attaquants restent volontiers discrets :

Les trois principaux vecteurs d’accès initiaux utilisés par les acteurs de la menace sont le hameçonnage, l’exploitation de vulnérabilités logicielles connues et les attaques par force brute visant à dérober des informations d’identification, ciblant principalement le protocole RDP (Remote Desktop Protocol). Ensemble, ces trois vecteurs d’attaque représentent 77 % des causes premières suspectées d’être à l’origine des intrusions.
ProxyShell représente plus de la moitié de toutes les vulnérabilités exploitées pour l’accès initial (55 %), suivi de Log4J (14 %), SonicWall (7 %), ProxyLogon (5 %) et Zoho ManageEngine ADSelfService Plus (4 %).

Dans la moitié des cas de réponse aux incidents, les équipes de l’Unit 42 ont découvert que les organisations n’avaient pas mis en place l’authentification multifactorielle sur les systèmes stratégiques connectés à l’Internet, tels que la messagerie Web de l’entreprise, les solutions VPN (réseau privé virtuel) ou d’autres solutions d’accès à distance. Dans 13 % des cas, elles ne disposaient d’aucune mesure d’atténuation garantissant le verrouillage des comptes en cas d’attaques par force brute visant les informations d’identification. Dans 28 % des cas, des procédures insatisfaisantes de gestion des correctifs ont facilité la tâche des acteurs de la menace. Dans 44 % des cas, les organisations ne possédaient pas de solution de sécurité de type EDR (détection des nœuds finaux et réponse) ou de type XDR (détection et réponse étendue). Et même si elles en étaient équipées, ces solutions n’étaient pas entièrement déployées sur les systèmes impactés initialement, ne permettant pas de détecter les activités malveillantes et d’y répondre. 75 % des cas de menace interne impliquaient un ancien employé.

.