Les points saillants de l’analyse Unit 42 comprennent notamment :
• La porte d’entrée des cyber attaquants : l’exploitation de vulnérabilités non corrigées dans les applications Web et les logiciels accessibles sur Internet est le principal vecteur d’accès initial, déplaçant les informations d’identification compromises et le phishing vers les positions n°2 et n°3.
• La vitesse du vol de données : les attaquants ne mettent désormais que 2 jours pour voler des informations sensibles une fois qu’ils ont pénétré dans une organisation, contre 9 jours en 2021.
• Les promesses non tenues : seuls 68 % des attaquants ont tenu leurs promesses d’extorsion une fois payées. 21% n’ont pas tenu leurs promesses. Dans les cas où des paiements ont été effectués, l’Unit 42 a constaté le recours au harcèlement (27 %) et au vol de données (82 %)
• Le "délicat" passage au cloud : l’Unit 42 a constaté une augmentation des cas de réponse aux incidents impliquant le cloud, de 6 % en 2021 à 16,6 % en 2023.

Les acteurs de la menace augmentent leur vitesse, leur échelle et leur sophistication - et cela nécessite une défense rapide, complète et proactive. Le rapport 2024 de Réponse aux Incidents de l’Unit 42 présente les données que l’Unit 42 a recueillies tout en aidant des centaines d’organisations à se défendre contre les acteurs de la menace et les attaques actives. Ces données donnent un aperçu de la façon dont les organisations peuvent défendre efficacement leur surface d’attaque.

Les tactiques des acteurs de menace ont évolué de manière significative en 2023. L’exploitation à grande échelle des vulnérabilités accessibles via Internet était le vecteur d’accès initial dans 39% de nos cas, contre 28% des cas en 2022. Les acteurs de menace continuent de voler et d’utiliser des identifiants compromis. Bien que l’Unit 42 ait constaté une utilisation moins fréquente du hameçonnage pour diffuser des logiciels malveillants, il est encore utilisé dans de nombreuses techniques d’intrusion, notamment l’exploitation du support informatique et des processus de réinitialisation de mot de passe ainsi que le vol de jetons de session.

L’année écoulée a également été marquée par un comportement de type "grab-and-go". La majorité des incidents impliquaient des acteurs de menace exfiltrant autant de données qu’ils pouvaient trouver plutôt que de rechercher des informations spécifiques. Cela représente une augmentation et une tendance continue à privilégier la vitesse et l’échelle par rapport à un vol plus ciblé.

Au lieu de sélectionner soigneusement les données, les attaquants collectent désormais rapidement autant que possible, les exfiltrant et les triant plus tard. Parfois, le vol de données est automatisé, tout comme l’exploitation de vulnérabilités. Cette approche correspond également à la tendance des attaquants à exfiltrer les données plus tôt dans le processus d’attaque que les années précédentes.

Ce qu’il faut retenir

Des acteurs de menace plus sophistiqués gagnent un accès initial de manière différente

Il y a un changement stratégique clair parmi les acteurs de menace avancés. Cela se manifeste par les façons changeantes dont ils obtiennent un accès initial.

• Au cours de l’année écoulée, il y a eu une augmentation de l’exploitation des vulnérabilités des logiciels et des API, qui sont devenues de plus en plus prisées par les attaquants. L’exploitation de ces vulnérabilités représentait 38,60% des points d’accès initiaux en 2023, contre 28,20% l’année précédente. Cette augmentation significative indique où les attaquants concentrent leurs efforts.
• Dans le même temps, l’utilisation d’identifiants compromis précédemment est également en augmentation en tant que vecteur d’accès initial. L’utilisation d’identifiants compromis est passée de 12,90% à 20,50% au cours de la même période. Et si nous regardons en arrière de deux ans, elle est plus de cinq fois plus répandue qu’en 2021. Les marchés pour les identifiants volés restent dynamiques, malgré les efforts coordonnés de démantèlement entre les forces de l’ordre et l’industrie privée.
• Le phishing (hameçonnage) diminue… en quelque sorte. D’une part des incidents d’accès initial en 2022, le hameçonnage est passé à seulement 17% en 2023. Cette réduction signale une possible dépriorisation du hameçonnage alors que les cybercriminels s’adaptent à des méthodes d’infiltration plus technologiquement avancées - et peut-être plus efficaces.

Les observations de l’Unit 42 amènent à croire qu’il s’agit de changements stratégiques, en particulier pour les acteurs de menace les plus avancés. Ils s’éloignent des campagnes de phishing traditionnelles et interactives vers des méthodes moins perceptibles et peut-être automatisées pour exploiter les faiblesses du système et les fuites de données d’identifiants préexistantes.

Cette tendance suggère que les défenseurs devraient maintenant donner la priorité à la détection et à la correction des vulnérabilités logicielles et à la sécurisation des processus de gestion des identifiants pour atténuer ces menaces croissantes.

Les acteurs de menace volent les données de manière indiscriminée

Les acteurs de menace volent les données de manière moins discriminatoire. Une écrasante majorité des incidents impliquait un vol de données indiscriminé, où le ciblage spécifique des données semblait moins attractif pour les attaquants.

Dans 93% des incidents, les acteurs de menace ont pris les données de manière indiscriminée plutôt que de rechercher des données spécifiques. Cela représente une hausse par rapport à 2022, où 81% des cas impliquaient un vol de données non ciblé. En 2021, c’était encore plus bas : 67%

Cette augmentation indique une tendance croissante parmi les cybercriminels qui semblent jeter un filet plus large, recueillant toutes les données auxquelles ils peuvent accéder plutôt que de déployer des efforts pour localiser et extraire des ensembles de données particuliers.

Ce changement pourrait être dû à divers facteurs. Les attaquants savent que le simple volume des données d’une organisation pourrait révéler des cibles lucratives lorsqu’elles sont prises en masse. Ils sont également susceptibles d’utiliser des outils automatisés qui récoltent les données de manière indiscriminée.

Cela a plusieurs implications pour les efforts en matière de cybersécurité :

• Cela suggère que les défenses traditionnelles axées sur la protection des données hautement sensibles doivent être complétées par des stratégies qui supposent que toutes les données pourraient être en danger.
• Une mentalité d’attaquant "tout prendre" (grab everything) souligne l’importance de capacités de détection précoces et robustes capables de reconnaître les tentatives d’exfiltration à grande échelle, souvent le premier signe clair d’une violation.
• Ce changement dans le comportement des menaces cybernétiques nécessite une réponse plus rapide aux détections et aux alertes ainsi qu’une réévaluation continue des mesures de sécurité, car la quantité importante de données compromises complique l’analyse de l’impact et le processus de notification.

Compte tenu de ces dynamiques de menace changeantes, revoir et renforcer les stratégies de sécurité existantes est essentiel pour que les défenseurs puissent contrer efficacement les tactiques avancées des attaquants.

Quelles recommandations pour se protéger ?

À la lumière des données de ce Rapport 2024 sur la réponse aux incidents de l’Unit 42, quelques recommandations à partager :

Obtenir une visibilité sur votre surface d’attaque externe et interne

Les organisations devraient améliorer la visibilité de leurs environnements externes et internes afin de suivre le rythme de l’expansion de la surface d’attaque. Cette visibilité devrait inclure la compréhension du paysage cloud, où les changements fréquents introduisent de nouveaux risques, et surtout la sécurisation du protocole de bureau à distance (RDP), qui peut amplifier la menace des ransomwares s’il est exposé. Pour créer cette visibilité, il est nécessaire de combiner de manière robuste la découverte des actifs, le balayage des vulnérabilités et l’adoption d’une authentification multifactorielle (MFA) complète.

Mettre l’accent sur l’évaluation et l’amélioration continues des défenses, en particulier dans les services cloud, où la nature dynamique de la technologie peut entraîner une exposition fréquente aux menaces.

Combler les lacunes critiques de protection avec les principes de la confiance zéro (Zéro Trust) Le modèleZéro Trust, qui prône une approche "ne jamais faire confiance, toujours vérifier", est l’approche à recommander et à suivre.

Les organisations devraient renforcer l’authentification des utilisateurs avec une MFA complète et explorer les technologies sans mot de passe pour réduire l’efficacité du vol d’identifiants. Veiller à ce que les utilisateurs n’aient accès qu’aux ressources nécessaires à leurs rôles limite le potentiel d’accès non autorisé et de déplacement latéral dans le réseau.

Cette approche stratégique nécessite une validation continue des protocoles de sécurité et des privilèges des utilisateurs, associée à une éducation rigoureuse sur les meilleures pratiques d’authentification et la gestion des sessions.