News
Etude Netskope Threat Labs : le plus haut pourcentage d’activités cybercriminelles provient de Russie, tandis que la Chine affiche les motivations géopolitiques les plus fortes
octobre 2023 par Netskope
Netskope publie son étude « Cloud and Threat Report : Top Adversary Tactics and Techniques », consacrée aux techniques et aux motivations adverses les plus fréquemment détectées chez les clients de Netskope du monde entier, au cours des trois premiers trimestres de l’année 2023. Pendant cette période, un nombre important de cybercriminels ont tenté d’infiltrer l’environnement de ses clients, le groupe russe Wizard Spider ciblant plus d’organisations que n’importe quel autre groupe.
Des cybercriminels à la présence de plus en plus répandue
Netskope a constaté que les principaux groupes adversaires sont basés en Russie et en Ukraine, et que les cybercriminels qui affichent les plus grandes motivations géopolitiques opèrent à partir de la Chine. Numéro un par le nombre de tentatives ciblant les utilisateurs de la plateforme Netskope Security Cloud, le groupe Wizard Spider est à l’origine de TrickBot, un célèbre logiciel malveillant en constante évolution. Parmi les autres groupes criminels actifs ayant fortement recours aux ransomwares figurent TA505, créateur du ransomware Clop, ainsi que FIN7 qui a utilisé le ransomware REvil et créé le ransomware Darkside. Sur le plan des menaces géopolitiques, les principaux groupes se nomment memupass et Aquatic Panda.
Les adversaires géopolitiques ciblent la propriété intellectuelle de régions et d’industries particulières, contrairement à leurs homologues aux motivations financières : en effet, ces cybercriminels développent des ressources facilitant la reproduction du ciblage, ce qui permet de recycler des tactiques et des techniques avec un minimum de personnalisation.
Des menaces industrielles et régionales
Selon les conclusions de l’étude publiée par Netskope, les secteurs des services financiers et de la santé ont subi une hausse considérable d’activités cybercriminelles pouvant être attribuées à des groupes aux motivations géopolitiques. Dans ces domaines, près de la moitié des activités observées proviennent de cette catégorie d’adversaires, par opposition aux groupes motivés par des intérêts financiers. Dans des secteurs tels que l’industrie manufacturière, les administrations, les collectivités locales, l’éducation et la technologie, moins de 15 % des cyberactivités émanent d’acteurs motivés par des intérêts géopolitiques, les autres menaces étant d’ordre financier.
Sur le plan géographique, l’Australie et l’Amérique du Nord affichent le plus haut pourcentage d’attaques liées à des activités adverses attribuables à des groupes cybercriminels, tandis que d’autres régions de la planète telles que l’Afrique, l’Asie, l’Amérique latine ou le Moyen-Orient pointent en tête des victimes d’attaques à motivation géopolitique.
Principales techniques utilisées
Sur les trois premiers trimestres de l’année 2023, les pièces jointes et les liens de phishing ciblés représentent les outils les plus couramment utilisés aux fins d’accès initial : à partir du mois d’août, les hackers ont triplé leur capacité à tromper leurs cibles en les incitant à télécharger des pièces jointes infectées par rapport à la fin de l’année 2022. L’email demeure un canal privilégié malgré la baisse du taux de réussite liée à l’application de filtres anti-phishing sophistiqués et à la sensibilisation croissante des utilisateurs. Toutefois, les adversaires ont récemment réussi à s’emparer de comptes de messagerie personnels.
Depuis le début de l’année 2023, 16 fois plus d’utilisateurs ont tenté de télécharger une pièce jointe infectée depuis des applications de Webmail personnelle qu’à partir d’applications Webmail gérées par une entreprise. En outre, 55 % des logiciels malveillants que les utilisateurs ont tenté de télécharger provenaient d’applications cloud, ce qui en fait le principal vecteur d’exécution fructueuse de malwares. Microsoft OneDrive, l’application cloud la plus populaire au sein des entreprises, est ainsi responsable de plus d’un quart de l’ensemble des téléchargements de logiciels malveillants sur le cloud.
« Les entreprises qui souhaitent savoir qui sont nos principaux adversaires ainsi que leurs motivations peuvent examiner leurs moyens de défense et se demander de quelles protections elles disposent contre ces tactiques et techniques, et comment cela peut les aider à perfectionner leur stratégie défensive, explique Ray Canzanese, Threat Research Director, Netskope Threat Labs. Si vous êtes capables de vous protéger efficacement contre les techniques étudiées dans ce rapport, alors vous pouvez vous défendre efficacement contre un très large éventail d’adversaires. Quelle que soit la menace, vous disposerez de moyens de défense adaptés. »
Trois enseignements pour les entreprises
Sur la base de ces techniques mises en lumière, Netskope recommande aux entreprises d’évaluer leurs moyens de défense afin de déterminer la manière dont leur stratégie de cybersécurité doit évoluer. Les techniques les plus répandues contre lesquelles les entreprises doivent se préparer sont les suivantes :
• Pièces jointes et liens de phishing — déployer des protections anti-phishing au-delà du courrier électronique afin de protéger les utilisateurs contre les liens de phishing ciblés, quelle que soit leur origine.
• Liens et fichiers malveillants — s’assurer que les types de fichiers à haut risque — exécutables et archives, par exemple — sont minutieusement inspectés en combinant analyses statiques et dynamiques avant de pouvoir les télécharger.
• Protocoles Web et exfiltration sur le canal C2 — détecter et empêcher le trafic C2 des adversaires via les protocoles Web en utilisant une passerelle Web sécurisée (SWG) et un système de prévention d’intrusions (IPS) pour identifier la communication avec des infrastructures C2 connues et des schémas C2 courants.
