Les tendances majeures analysées au sein de l’étude Sophos 2021 Threat Report sont les suivantes :

1. Dans l’année à venir, le paysage des ransomwares deviendra à la fois plus modulaire et plus uniforme, avec des « spécialistes » offrant différents éléments d’une attaque « sous forme de service » et fournissant des guides avec des outils et techniques pour permettre à divers groupes de pirates de mettre en œuvre des attaques très similaires. Selon les chercheurs de Sophos, les attaques par des groupes isolés ont cédé la place à davantage d’offres RaaS (Ransomware as a Service) en 2021, provenant de développeurs spécialisés de ransomwares qui louent du code malveillant et une infrastructure à des tiers affiliés. Certaines des attaques de ransomwares de plus grande ampleur enregistrées au cours de l’année ont fait appel à des services RaaS, notamment celle lancée contre l’oléoduc Colonial Pipeline aux Etats-Unis par un affilié de DarkSide. Un affilié du ransomware Conti a fait fuiter le guide de mise en œuvre fourni par les opérateurs, dévoilant étape par étape les outils et techniques mis à la disposition des attaquants pour déployer ce ransomware.
Une fois qu’ils disposent du malware dont ils ont besoin, les affiliés RaaS et autres opérateurs de ransomwares peuvent se tourner vers des intermédiaires (IAB, Initial Access Brokers) afin de gagner un accès initial à une cible et des plateformes de diffusion de malwares pour trouver et cibler des victimes potentielles. Ce phénomène alimente la deuxième grande tendance prévue par Sophos.

2. Les cybermenaces établies continueront de s’adapter pour diffuser des ransomwares. Il s’agit de loaders, de droppers et d’autres malwares de base, d’IAB de plus en plus avancés avec des opérateurs humains, de spams et d’adwares. En 2021, Sophos a signalé le lancement par Gootloader de nouvelles attaques hybrides associant des campagnes de masse à un soigneux filtrage afin de repérer des cibles pour des malwares spécifiques.

3. Les auteurs d’attaques de ransomwares devraient continuer à utiliser de multiples moyens de pression pour contraindre leurs victimes à payer la rançon, une pratique appelée à se répandre et s’intensifier. En 2021, les équipes de réponses aux incidents de Sophos ont catalogué 10 types différents de moyens de pression, allant du vol et de la divulgation de données à des menaces téléphoniques, des attaques de déni de service distribué (DDoS), etc.

4. Les cryptomonnaies vont continuer d ‘alimenter la cybercriminalité, notamment les ransomwares et le minage malveillant. Sophos s’attend à voir cette tendance se poursuivre tant que les cryptomonnaies ne seront pas mieux réglementées au niveau mondial. En 2021, les chercheurs de Sophos ont découvert des cryptomineurs tels que Lemon Duck ou encore le moins courant MrbMiner, que des opérateurs de ransomwares installent sur des postes de travail et des serveurs en exploitant l’accès fourni par des vulnérabilités nouvellement signalées et des cibles déjà attaquées précédemment.

« Les ransomwares prospèrent en raison de leur capacité à s’adapter et à innover », souligne Chester Wisniewski, chercheur principal chez Sophos. « A titre d’exemple, si les offres RaaS ne sont pas une nouveauté, dans les années précédentes, leur rôle consistait principalement à mettre les ransomwares à la portée d’attaquants disposant de moins de compétences ou de moins de moyens financiers. La situation a changé et, en 2021, les développeurs de RaaS consacrent leur temps et leur énergie à créer du code complexe et à déterminer la meilleure façon d’extorquer les plus fortes sommes à leurs victimes, aux compagnies d’assurance et aux négociateurs. Ils sous-traitent à présent à d’autres les tâches de trouver des victimes, d’installer et d’exécuter les malwares et de blanchir le butin dérobé en cryptomonnaies. Cela bouleverse le paysage des cybermenaces et des menaces courantes, telles que les loaders, les droppers et les IAB qui circulaient et causaient des dommages bien avant la montée des ransomwares, sont aujourd’hui apparemment toutes aspirées dans le “trou noir” formé par ceux-ci. »

« Les entreprises ne peuvent plus se contenter, pour s’estimer à l’abri, de veiller à ce que les outils de sécurité détectent les codes malveillants. Certaines combinaisons de détections ou même d’alertes sont l’équivalent moderne d’un cambrioleur qui casse un vase en s’introduisant dans les lieux par une fenêtre de derrière. Les défenseurs doivent donc examiner toutes les alertes, y compris celles qui pouvaient jusque-là leur paraître insignifiantes, car ces intrusions banales se multiplient pour constituer un point d’entrée permettant de prendre le contrôle d’un réseau entier. »

Parmi les autres tendances analysées par Sophos :

• Après la découverte – et la correction – des failles ProxyLogon et ProxyShell en 2021, la vitesse à laquelle celles-ci ont été exploitées par des attaques a été telle que Sophos prévoit la poursuite des tentatives d’utilisation abusive massive d’outils d’administration informatique et de services vulnérables connectés à Internet aussi bien par des attaquants chevronnés que par des cybercriminels ordinaires.

• Sophos s’attend également à voir les cybercriminels intensifier les abus d’outils de simulation d’adversaire, tels que Cobalt Strike Beacons, mimikatz ou PowerSploit. Les défenseurs doivent vérifier chaque alerte liée à l’abus d’outils légitimes ou d’une combinaison de ces outils, et ce avec le même soin qu’une détection d’activité malveillante, car cela pourrait trahir la présence d’un intrus sur le réseau.

• En 2021, les chercheurs de Sophos ont détaillé un certain nombre de nouvelles menaces ciblant les systèmes Linux et ils s’attendent à voir un intérêt croissant pour ceux-ci en 2022, que ce soit dans le cloud ou sur les serveurs web et virtuels.

• Les menaces mobiles et les escroqueries à base d’ingénierie sociale, notamment Flubot et Joker, devraient se poursuivre et se diversifier pour cibler à la fois des particuliers et des entreprises.

• L’application de l’intelligence artificielle (IA) à la cybersécurité va se poursuivre et s’accélérer, à mesure que de puissants modèles de Machine Learning font leurs preuves dans la détection des menaces et la hiérarchisation des alertes par priorité. Cependant, les adversaires devraient eux aussi utiliser de plus en plus l’IA, passant au cours des prochaines années de campagnes de désinformation et de l’usurpation de profils sur les réseaux sociaux à des contenus web malveillants pour des attaques de type watering hole, des e-mails de phishing et autres, avec l’apparition de technologies avancées de synthèse vocale et vidéo (deepfake).