Recherche
Types d’attaques les plus courants, vecteurs d’accès initiaux, vulnérabilités exploitées, secteurs ciblés… découvrez les tendances 2022 de la réponse aux incidents
LUMIÈRE SUR
Les attaques les plus courantes
L’année passée, nous sommes surtout intervenus sur des cas de ransomware et de compromission de messagerie professionnelle (environ 70 % des cas de réponse aux incidents).
01
RANSOMWARE
Des attaquants plus gourmands et mieux payés
En juin 2022, le montant moyen des rançons exigées dans le cadre des attaques traitées par l’équipe Unit 42 atteignait 925 162 dollars US – soit une hausse de 71 % par rapport à 2021.
$30MUSD
Demande record
$8.5MUSD
Versement record
Étude de cas :
BlackCat Ransomware
Visionner
Multiplication des techniques d’extorsion pour maximiser les profits
En plus de chiffrer les fichiers d’une entreprise, les spécialistes du ransomware tendent de plus en plus à jeter le nom de leurs victimes en pâture pour les inciter à payer. De nombreux groupes maintiennent des sites de leak sur le Dark Web pour cette double extorsion.
Les attaquants privilégient de plus en plus l’extorsion – seule ou associée à d’autres techniques.
4%
des cas traités par Unit 42 concernaient de l’extorsion sans chiffrement – un phénomène appelé à se développer.
Le RaaS, facteur de prolifération des attaquants sans expertise
Le RaaS (Ransomware as a Service) est un modèle conçu par et pour les cybercriminels. Les parties concluent généralement un contrat, qui prévoit souvent le versement d’un abonnement mensuel ou d’un pourcentage des rançons perçues. Ainsi, il est beaucoup plus facile de lancer des attaques, ce qui démocratise les ransomwares et accélère leur prolifération.
02
INCIDENTS CLOUD
Les erreurs de configuration, première cause
de compromission du cloud
Près de 65 % des incidents de sécurité observés dans le cloud étaient dus à des erreurs de configuration, notamment sur les solutions IAM.
Nous avons analysé plus de 680 000 identités sur 18 000 comptes cloud appartenant à 200 entreprises. Conclusion : presque toutes ne possédaient pas les contrôles de politique IAM nécessaires pour garantir leur sécurité.
03
BEC
Compromission de messagerie professionnelle : attention danger
Aux États-Unis, le FBI qualifie les compromissions de messagerie professionnelle « d’arnaque à 43 milliards de dollars », en référence aux incidents signalés à son Internet Crime Complaint Center entre 2016 et 2021.
Les données télémétriques d’Unit 42 sur ces campagnes d’attaque ont permis l’arrestation d’auteurs d’arnaque lors des opérations Falcon II et Delilah.
LUMIÈRE SUR
Les vecteurs d’attaque
Les trois principaux vecteurs d’accès initial étaient les suivants : phishing, vulnérabilités logicielles connues et attaques par force brute (surtout sur le protocole RDP).
77%
des causes racines d’une intrusion liées au phishing, à l’exploitation de vulnérabilités et aux attaques par force brute
04
VECTEURS
Le phishing responsable de 40 % des accès initiaux
Les attaquants n’aiment pas se compliquer la vie. Or, le phishing offre une méthode d’infiltration économique et hautement efficace. C’est pourquoi notre rapport contient « 10 recommandations pour prévenir les attaques de phishing ».
05
LOG4SHELL
Log4Shell : une vulnérabilité critique à l’impact durable
Le 9 décembre 2021 marquait la découverte de l’exploitation d’une vulnérabilité RCE (exécution de code à distance) d’Apache Log4j 2. Log4Shell s’est alors vu attribuer le score de risque CVSS (Common Vulnerability Scoring System) maximal – un score de 10.
Le 2 février, notre signature de prévention des menaces avait déjà bloqué près de 126 millions de tentatives d’exploitation de la vulnérabilité Log4j. En dépit de sa publication récente au moment de notre étude, Log4j était impliquée dans presque 14 % des accès initiaux avec exploitation de vulnérabilité par les attaquants.
Pas plus tard que le 23 juin, la CISA a émis une alerte selon laquelle des groupes d’attaque continuaient d’exploiter Log4Shell dans les systèmes VMware Horizon.
Article en anglais : Another Apache Log4j Vulnerability Is Actively Exploited in the Wild
06
zoho
Vulnérabilités Zoho : des campagnes sophistiquées et difficilement détectables
Le 16 septembre 2021, la CISA aux États-Unis a émis une alerte concernant un groupe APT (Advanced Persistent Threat) qui exploitait activement des vulnérabilités récemment identifiées dans la solution SSO et de gestion des mots de passe en self-service Zoho ManageEngine ADSelfService Plus. Plus tard, Unit 42 a signalé une campagne persistante, sophistiquée, active et difficilement détectable d’exploitation des vulnérabilités baptisées TiltedTemple.
Cette campagne TiltedTemple a ciblé plus de 13 entreprises dans les secteurs des technologies, de la défense, de la santé, de l’énergie, de la finance et de l’éducation, vraisemblablement dans le but de collecter et d’exfiltrer des documents sensibles. Dans le cadre de nos interventions de réponse aux incidents, Zoho ManageEngine ADSelfService Plus représentait environ 4 % des vulnérabilités exploitées comme vecteur d’accès initial.
Toutefois, la nature de certaines attaques souligne l’importance d’une évaluation des risques qui ne se limite pas à la fréquence des exploitations d’une faille.
Article en anglais : APT Expands Attack on ManageEngine With Active Campaign Against ServiceDesk Plus
07
PROXYSHELL
Unit 42 : les vulnérabilités ProxyShell les plus courantes à l’origine d’interventions récentes
La chaîne d’attaque ProxyShell consiste à exploiter trois vulnérabilités de Microsoft Exchange : CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207. Elle permet aux attaquants d’exécuter du code malveillant à distance sur les systèmes compromis, sans y accéder physiquement.
Aux États-Unis, le 21 août 2021, la CISA a émis une alerte rouge au sujet de ProxyShell. Les attaquants ont exploité activement ces vulnérabilités dans la foulée de leur publication. Ainsi, dans plus de la moitié des interventions d’Unit 42, les attaquants qui utilisaient une vulnérabilité comme vecteur d’accès initial avaient opté pour ProxyShell.
LUMIÈRE SUR
Secteurs
D’après nos données, les secteurs les plus touchés étaient les suivants : finance, services juridiques et professionnels, industrie, santé, high tech, distribution et vente en gros.
De fait, 63 % de nos interventions concernaient ces secteurs.
Ces entreprises stockent, transmettent et traitent des volumes importants d’informations sensibles monétisables, dont les cybercriminels sont friands.
Les attaquants sont souvent opportunistes. Si certains secteurs se retrouvent dans leur ligne de mire c’est parce qu’ils utilisent des logiciels comportant des vulnérabilités connues.
08
Principaux secteurs touchés en 2022
Finance
L’année passée, les rançons réclamées aux établissements financiers s’élevaient à près de 8 millions de dollars en moyenne. Toutefois, lorsque les entreprises décidaient de payer cette rançon, le versement moyen avoisinait seulement 154 000 dollars, soit environ 2 % du montant moyen exigé.
Santé
L’année passée, les rançons réclamées aux établissements de santé s’élevaient à plus de 1,4 million de dollars en moyenne. Lorsque les organisations décidaient de payer cette rançon, le versement moyen atteignait 1,2 million de dollars, soit environ 90 % du montant moyen exigé.
09
Bonnes pratiques : 6 recommandations clés
Le champ des cybermenaces a de quoi impressionner. Chaque jour, de nouvelles cyberattaques et de nouveaux types de menaces avancées font leur apparition. Pour les entreprises qui ne sauraient pas par où commencer, nos experts en sécurité ont quelques suggestions. En voici six d’entre elles :
1
Formez régulièrement vos salariés et vos sous-traitants à la prévention des attaques de phishing et aux bonnes pratiques de sécurité.
2
Utilisez systématiquement un VPN MFA ultrasécurisé pour désactiver les accès RDP externes directs.
3
Corrigez les systèmes connectés à Internet sans tarder afin de prévenir l’exploitation de vulnérabilités.
4
Imposez l’authentification multifacteur à tous vos utilisateurs.
5
Implémentez un processus multiétape de vérification des paiements, en dehors des systèmes de messagerie.
6
Envisagez un service de détection des compromissions d’identifiants ou une solution de gestion de la surface d’attaque pour vous aider à traquer les systèmes vulnérables et les intrusions potentielles.
Faites un point complet avec les experts Unit 42
Anticipez les attaques
L’année passée, la majorité des interventions d’Unit 42™ étaient liées aux ransomwares et à des compromissions de messagerie professionnelle. Nos experts vous expliquent comment vous préparer et faire face à l’évolution des menaces.
Trouvez les bons arguments
Comme nos clients, vous cherchez peut-être à mieux présenter les risques et les menaces à votre direction, en particulier à votre conseil d’administration. Nos dirigeants vous expliquent comment parfaire votre argumentaire avec le rapport sur la réponse aux incidents.
Faites un point complet avec les experts Unit 42
Anticipez les attaques
Trouvez les bons arguments