FortiGuard Labs révèle que les variants de ransomwares ont quasiment doublé en six mois

● Les ransomwares continuent de s’adapter, donnant lieu à de nouvelles variantes grâce au Ransomware-as-a-Service (RaaS).

● Les endpoints évoluant dans un contexte de travail hybride restent des cibles privilégiées pour les cyber-délinquants souhaitant accéder aux réseaux d’entreprise. Les environnements OT et IT sont également ciblés par des criminels à la recherche de nouvelles opportunités, compte tenu d’une surface d’attaque qui s’étend et de la convergence IT/OT.

● Les menaces à fort impact continuent d’évoluer, comme en témoigne la propagation de logiciels malveillants de type wiper (suppression de données).

● Les cybercriminels procèdent de plus en plus à une reconnaissance en amont de leurs attaques, pour ainsi contourner les défenses en place et renforcer la précision et la puissance de ces attaques.

La multiplication des variants de ransomwares témoigne de l’évolution des écosystèmes criminels. Les ransomwares restent une menace majeure et les cybercriminels se mobilisent toujours pour développer de nouvelles techniques. Au cours des six derniers mois, FortiGuard Labs a identifié un total de 10 666 variants de ransomwares, contre seulement 5 400 sur le semestre précédent, révélant une croissance de près de 100 % en six mois. Le RaaS, toujours plus populaire au sein du dark web, continue d’alimenter une activité criminelle qui incite les entreprises à régler les rançons demandées. Quels que soient leur secteur d’activité et leur taille, les entreprises doivent opter pour une approche proactive. La visibilité, la prévention et la riposte en temps réel aux menaces, associées à un accès réseau Zero Trust (ZTNA) et une fonctionnalité EDR (endpoint detection and response) sont essentielles.

Les technologies OT et les endpoints restent des cibles privilégiées pour les exploits. La convergence OT/IT, ainsi que les endpoints présents au sein des environnements de travail hybride, restent des vecteurs majeurs d’attaque, les adversaires continuant à cibler une surface d’attaque en expansion. L’exploitation de vulnérabilités présentes sur les endpoints aboutit souvent à des utilisateurs non autorisés qui s’introduisent dans un système dans le but de se mouvoir au sein d’un réseau. Ainsi, une vulnérabilité permettant le spoofing (CVE 2022-26925) s’est révélée omniprésente, tout comme une vulnérabilité RCE (exécution de logiciel à distance). L’analyse globale des vulnérabilités affectant les endpoints met en lumière le redoutable processus des cybercriminels tentant d’accéder aux réseaux d’entreprise, à l’aide de vulnérabilités anciennes et nouvelles. D’autre part, les vulnérabilités des systèmes OT se sont montrées dynamiques. De multiples dispositifs et plateformes ont fait l’objet de piratages massifs, ce qui prouve la nécessité d’une cybersécurité sur mesure pour la convergence IT/OT, pour déjouer les nouvelles ambitions des criminels. Les technologies de pointe liées aux endpoints peuvent aider à protéger et restaurer efficacement les dispositifs infectés dès les premiers stades d’une attaque. On peut également utiliser des services de protection contre les risques du numérique (DRPS) pour évaluer les menaces, identifier et corriger les carences de sécurité et obtenir des informations contextuelles sur les failles présentes et les menaces imminentes.

La menace s’amplifie avec la propagation de virus de type wiper. L’émergence des wipers souligne l’adoption de techniques plus destructrices et sophistiquées, visant à détruire les données. La guerre en Ukraine a encouragé une augmentation sensible des malwares de suppression de données sur les disques durs ciblant principalement les infrastructures critiques. FortiGuard Labs a identifié au moins sept nouvelles variantes majeures de wiper au cours des six premiers mois de 2022, utilisées par diverses campagnes contre des organisations gouvernementales, militaires et privées. Ce chiffre est significatif, car proche du nombre de variants de wiper détectées depuis 2012. Plus grave, ces nouveaux wipers ont été détectés dans 24 pays hors de l’Ukraine. Pour maîtriser l’impact de telles attaques, une fonction NDR (network detection and response) et l’intelligence artificielle s’imposent pour mieux détecter les intrusions. Parallèlement, ce sont des sauvegardes qui doivent être réalisées hors site et hors ligne.

Au niveau mondial, le contournement des lignes de défense reste la principale tactique d’attaque. L’examen des stratégies cybercriminelles permet de comprendre comment les techniques et tactiques d’attaques évoluent. FortiGuard Labs a analysé les fonctionnalités des logiciels malveillants détectés au cours des six derniers mois pour déterminer les approches les plus courantes. Parmi les huit principales tactiques et techniques axées sur les endpoints, le contournement des fonctions de sécurité est la tactique la plus utilisée par les criminels, ceux-ci utilisant souvent un proxy système pour parvenir à leurs fins. La dissimulation des intentions est une pratique essentielle pour les assaillants : ils tentent d’échapper aux défenses en se camouflant et en essayant de dissimuler des commandes via un certificat légitime. Ceci permet d’exécuter un processus de confiance qui facilite leur intrusion. La deuxième technique la plus populaire est l’injection de commandes. Les criminels s’efforcent d’injecter du code dans l’espace d’adressage d’un autre processus pour échapper aux défenses et se rendre furtifs. Ces deux techniques doivent être comprises par les entreprises pour qu’elles se protègent. Les plateformes de cybersécurité intégrées, bénéficiant de l’IA et du ML, offrent des capacités avancées de détection et de riposte et bénéficient d’une veille pertinente sur les menaces. Elles s’imposent donc pour protéger la totalité des surfaces d’attaque en entreprise.

Une sécurité optimisée par IA sur l’ensemble de la surface d’attaque

Avec une meilleure compréhension des objectifs et des tactiques utilisés par les adversaires, grâce notamment à une veille décisionnelle sur les menaces, les entreprises peuvent affiner leur sécurité pour s’adapter et réagir de manière proactive à l’évolution rapide des techniques d’attaque. Pour que les collaborateurs et les équipes de sécurité gardent la main sur des menaces qui évoluent sans cesse, la sensibilisation et la formation à la cybersécurité sont importantes. Les entreprises ont besoin d’une infrastructure opérationnelle de sécurité qui réagit très rapidement face au volume, à la sophistication et au rythme des menaces. Des stratégies de prévention, de détection et de riposte optimisées par IA et ML, associées à une architecture mesh de cybersécurité, favorisent une intégration plus étroite, une automatisation renforcée, ainsi qu’une réponse plus rapide, coordonnée et efficace aux menaces présentes sur le réseau étendu.

Profil du rapport Ce nouvel opus du Global Threat Landscape Report résulte de travaux collectifs menés au sein de FortiGuard Labs et tire parti du panel mondial de capteurs de Fortinet qui a recueilli des milliards d’événements sur les menaces dans le monde sur le premier semestre 2022. Le framework MITRE ATT&CK catégorise les tactiques et techniques des assaillants, sur des critères de reconnaissance, de développement de ressources et d’accès initial notamment. Le Global Threat Landscape Report s’inspire de ce modèle pour décrire comment les cybercriminels identifient des vulnérabilités, définissent les infrastructures malveillantes et impactent leurs cibles. Ce rapport propose des perspectives mondiales et régionales et étudie les tendances liées aux menaces qui pèsent sur les environnements IT et OT.