Si les entreprises restent encore dans une posture réactive face des acteurs malveillants compétents et des attaques ciblées plus nombreuses, notre nouveau rapport de sécurité révèle des informations pertinentes pour anticiper les activités malveillantes et aider les professionnels de la sécurité à prioriser leurs efforts de sécurité et de patching.

Les entreprises ayant détecté des ransomwares sont moins nombreuses : FortiGuard Labs note une croissance soutenue des variantes de ransomware au cours des récentes années, une progression tirée essentiellement par l’adoption du Ransomware-as-a-Service (RaaS). Cependant, FortiGuard Labs remarque que les entreprises ayant détecté des ransomwares sont moins nombreuses sur la première moitié de 2023 (13 %) que sur cette même période il y a 5 ans. En dépit de ce repli, la vigilance reste d’actualité pour toutes les entreprises. Ce constat valide la tendance observée par FortiGuard Labs sur les deux dernières années : les ransomwares et autres attaques deviennent de plus en plus ciblées compte tenu de la sophistication croissante des assaillants et de leur objectif d’un retour sur investissement plus élevé pour chaque attaque menée. Nos études témoignent également d’une versatilité dans le nombre des ransomwares détectés : ce chiffre, bien que 13 fois supérieur qu’à la fin de 2022, reste sur une tendance globale baissière d’année en année.

Les cybercriminels sont 327 fois plus susceptibles d’exploiter les principales vulnérabilités EPSS dans les 7 jours suivant leur divulgation, par rapport aux autres CVEs : Fortinet contribue activement au modèle Exploit Prediction Scoring System (EPSS) qui répertorie les données liées aux exploits. Ce modèle tire parti de multiples sources de données pour anticiper la probabilité qu’une vulnérabilité soit exploitée, ainsi que le moment de cet exploit. FortiGuard Labs a analysé 6 années de données sur les exploits détectés, concernant plus de 11 000 vulnérabilités divulguées. Les résultats démontrent que les vulnérabilités CVE qui présentent un score EPSS le plus élevé (le percentile le plus élevé) sont 327 fois plus susceptibles d’être exploitées dans les 7 jours qui suivent leur divulgation, par rapport aux autres vulnérabilités. Cette analyse, une première de ce type, permet de sensibiliser les DSSI et les équipes de sécurité, et de les notifier en amont des attaques susceptibles de cibler leur entreprise. À l’instar de l’approche dite de "Red Zone" – présentée dans le dernier panorama mondial des menaces - qui permet aux équipes de sécurité de prioriser leurs efforts de patching pour juguler les risques pesant sur leur entreprise.

La "Red Zone" aide les DSSI à prioriser leurs efforts de patching : le traitement analytique réalisé par FortiGuard Labs pour donner lieu au modèle EPSS capitalise sur les efforts menés pour définir la "Red Zone". Il devient possible de quantifier la part des vulnérabilités sur les endpoints qui sont exploitées activement. Sur le second semestre 2022, la Red Zone était d’environ 8,9% : ainsi, environ 1 500 vulnérabilités CVE sur les 16 500 recensées, ont été observées comme faisant l’objet d’une attaque. Sur le premier trimestre de 2023, ce chiffre s’est légèrement replié à 8,3 %. L’écart entre ces deux périodes est minime ce qui laisse penser que cette Red Zone est une cible privilégiée par les cybercriminels ciblant les vulnérabilités sur les endpoints. Cependant, il est important de constater que le nombre de vulnérabilités identifiées, présentes et exploitées fluctue en permanence. Ces variables et l’efficacité de la stratégie de patching d’une entreprise permettent de réduire la Red Zone. FortiGuard Labs continue à investir dans des projets (à l’image d’EPSS) qui permettent aux entreprises de prioriser la restauration de leurs vulnérabilités.

Près d’un tiers des groupes APT étaient actifs sur le premier semestre 2023 : pour la première fois dans son rapport mondial sur les menaces, FortiGuard Labs a mené un suivi des acteurs malveillants à l’origine des tendances. Le rapport révèle que 41 (30 %) des 138 groupuscules cybercriminels identifiés et suivis par MITRE ont été actifs sur la période étudiée. Parmi ceux-ci, notons que Turla, StrongPity, Winnti, OceanLotus et WildNeutron se sont montrés les plus actifs sur la base du nombre de détections de malware. Les campagnes APT et les opérations menées ou commanditées par des États-nations sont plus ciblées et éphémères que les actions des cybercriminels qui, elles, s’inscrivent dans la durée.

L’évolution et les volumes des activités dans ces domaines seront à surveiller dans les prochains rapports.

Une comparaison sur 5 ans révèle une explosion dans le nombre d’exploits uniques, de variantes de malware, ainsi qu’une persistance des botnets :

Les exploits uniques progressent : sur le premier trimestre 2023, FortiGuard Labs a identifié plus de 10 000 exploits uniques, un chiffre qui augmente de 68 % sur cinq ans. Ce bond témoigne du volume important des attaques malveillantes auxquelles sont confrontées les équipes de sécurité, ainsi que la diversification de ces attaques sur une période relativement courte. Le rapport note également un repli de 75 % des tentatives d’exploits par organisation sur une période de 5 ans, ainsi qu’une baisse de 10 % des exploits à impact sévère : ainsi, alors que les kits d’exploit des acteurs malveillants sont plus nombreux, les attaques sont bien plus ciblées qu’il y a 5 ans.
Les familles de malware et les variantes bondissent, de 135% et 175% respectivement : avec la progression sensible des familles et des variantes de malware, le nombre de familles de malware ayant impacté au moins 10 % des entreprises dans le monde (un seuil important en matière de prévalence) a doublé en 5 ans. Cette croissance des malwares, en volume et en prévalence, peut être attribuée à des cybercriminels ou groupes spécialisés dans les menaces APT qui ont étendu le périmètre de leurs attaques et se sont diversifiés au cours des récentes années. Notre rapport semestriel sur les menaces indique une multiplication des malwares de type wiper, un phénomène qui résulte essentiellement du conflit entre la Russie et l’Ukraine. Cette progression a été constante tout au long de 2022 et a ralenti sur le premier trimestre de 2023. FortiGuard Labs constate toujours que des wipers sont utilisés par des États-nations, bien que l’adoption de ce type de malware par les cybercriminels continue à progresser pour s’en prendre à des cibles issues de différents secteurs : technologie, production industrielle, service public et soins de santé.
Une durée de présence plus importante des botnets sur les réseaux : le rapport pointe une activité plus importante des botnets (+ 27 %) et un taux d’incidence parmi les entreprises qui s’envole de 126 % sur les 5 dernières années. Un point particulièrement intéressant porte sur la croissance exponentielle du nombre total de « jours d’activité » que FortiGuard Labs définit comme le délai entre la première et dernière interaction d’un botnet avec un capteur. Sur les 6 premiers mois de 2023, la durée moyenne de présence des botnets, jusqu’à la fin des communications C&C (Command and Control), était de 83 jours, une durée 1 000 fois plus importante qu’il y 5 ans. Ce constat est un nouvel exemple qui incite à réduire les délais de réponse : en effet, plus les entreprises subissent des botnets persistants, plus les dommages sont susceptibles d’être importants.