Voici les principaux enseignements de ce rapport (couvrant le 2ème semestre 2022) :
• La diffusion massive des wipers (menace de type APT qui supprime les données) est un nouveau signal que le potentiel destructeur de certaines se renforce.
• De nouvelles informations sur les menaces permettent aux DSSI de hiérarchiser les mesures à prendre et de minimiser la surface d’attaque, à l’aide d’une approche dite de "Red Zone" qui identifie les périmètres critiques à protéger.
• Le ransomware reste particulièrement dynamique, avec de nouvelles variantes rendues possibles par le Ransomware-as-a-Service (RaaS). Rien ne laisse présager d’un ralentissement de cette activité malveillante à l’échelle mondiale.
• Le logiciel malveillant le plus prévalent datait de plus d’un an et avait subi de nombreuses modifications, ce qui souligne que la réutilisation et la mise à jour de malwares historiques se révèlent efficaces et rentables.
• La vulnérabilité Log4j reste une menace pour les entreprises dans le monde. Tous les secteurs d’activité sont impactés, avec une prévalence dans les secteurs des technologies, des administrations et de l’enseignement.

Les wipers ont eu le vent en poupe en 2022

L’analyse des données concernant les wipers révèle une tendance des cybercriminels à utiliser systématiquement des techniques d’attaque destructrices. Elle montre également qu’avec l’absence de frontières sur Internet, les assaillants peuvent facilement étendre ce type d’attaques, notamment en tirant parti du modèle Cybercrime-as-a-Service (CaaS).

Au début de l’année 2022, parallèlement à la guerre en Ukraine, FortiGuard Labs a signalé la présence de plusieurs nouveaux wipers. Par la suite, ces malwares se sont étendus à d’autres pays, avec une croissance de 53 % de leur activité entre le 3ème et le 4ème trimestre. Si une partie de cette activité a été rendue possible par des wipers initialement développés et déployés par des États-nations dans le cadre de la guerre, des groupes cybercriminels les ont reprises à leur compte pour les propager au-delà de l’Europe. Si l’on en croit le volume d’activité observé au 4ème trimestre, la prolifération des wipers ne devrait pas ralentir de sitôt. Toute entreprise reste donc une cible potentielle, qu’elle soit ou non basée en Ukraine et les pays voisins.

Pour aider les DSSI à établir des priorités, le mapping par rapport aux CVE révèle des "Red Zone" vulnérables
Les prospectives en matière d’exploits permettent d’identifier les cibles privilégiées par les cybercriminels, les cibles de futures attaques, ainsi que les cibles réellement attaquées. FortiGuard Labs dispose d’une vaste bibliothèque de vulnérabilités connues et, grâce à l’enrichissement de ses données, le laboratoire identifie les vulnérabilités exploitées en temps réel et cartographie les zones à risque sur la surface d’attaque.
Au 2ème semestre 2022, moins de 1 % des vulnérabilités identifiées au sein des entreprises concernait les endpoints et faisait l’objet d’une attaque. Grâce à une veille sur la surface d’attaque, les DSSI ont une vision claire de la "Red Zone" à protéger en priorité et savent où concentrer leurs efforts pour maîtriser les risques.

La cybercriminalité à but lucratif et les menaces par ransomware atteignent des sommets

Les enquêtes post-incident de FortiGuard Labs révèlent que les exactions à but lucratif représentent le plus fort volume d’incidents (73,9 %), suivis de loin par l’espionnage (13 %). En 2022, 82 % des actes de cybercriminalité à motivation lucrative ont utilisé des ransomwares ou des scripts malveillants. La menace mondiale des ransomwares reste donc d’actualité et s’inscrit dans la durée du fait de la popularité croissante du Ransomware-as-a-Service (RaaS) sur le dark web.

Dans les faits, le volume des ransomwares a progressé de 16 % par rapport au 1er semestre 2022. Sur un total de 99 familles de ransomware observées, les cinq premières représentent environ 37 % de l’activité globale sur le 2ème semestre 2022. GandCrab, un malware RaaS apparu en 2018, était en tête de liste. Si les auteurs GandCrab ont annoncé qu’ils se retiraient après avoir réalisé plus de 2 milliards de dollars de bénéfices, plusieurs variantes de GandCrab sont apparues pendant sa période d’activité. Il est possible que l’héritage de ce groupe criminel se perpétue, ou que le code logiciel ait simplement été amélioré, modifié et mis à jour. Cette réalité démontre à quel point des partenariats sont nécessaires entre tous types d’entreprises et d’organisations pour démanteler les organisations criminelles. Pour perturber efficacement les filières cybercriminelles, un effort collectif mondial s’impose, avec des relations de confiance et une collaboration entre toutes les parties prenantes de la cybersécurité, qu’elles proviennent du privé ou du secteur public.

La réutilisation des malwares par les cybercriminels témoigne de leur nature ingénieuse

Les cybercriminels ont la fibre entrepreneuriale. Pour rendre leurs attaques plus efficaces et rentables, ils cherchent, en permanence, à tirer le meilleur parti de leurs investissements et à affûter leurs compétences. La réutilisation de malwares est un moyen efficace et lucratif de capitaliser sur des résultats déjà éprouvés, tout en apportant des modifications pour affiner les attaques et contourner les lignes de défense en place.

Lorsque FortiGuard Labs a analysé les logiciels malveillants les plus répandus sur le 2ème semestre 2022, ce sont des versions datant de plus d’un an qui étaient sur le podium. D’ailleurs, certains malwares comme Lazurus sont de grands classiques de la cybercriminalité depuis plus de dix ans. FortiGuard Labs a également examiné une série de versions d’Emotet pour analyser leur capacité à emprunter et réutiliser du code logiciel existant. Les recherches ont montré qu’Emotet a connu de nombreuses versions, qu’il est possible de catégoriser en six familles. Les cyber-adversaires ne se contentent pas d’automatiser les menaces, mais modifient activement leur code logiciel pour les rendre toujours plus efficaces.

La résurgence d’un ancien botnet prouve la robustesse des chaînes collaboratives cybercriminelles

Au-delà de réutiliser un code logiciel, les acteurs malveillants exploitent également l’infrastructure existante et les anciennes menaces pour se créer toujours plus d’opportunités. En se penchant sur les botnets en fonction de leur prévalence, force est de constater que nombre des principaux botnets ne présentent, en réalité, rien de nouveau. Par exemple, le botnet Morto, observé pour la première fois en 2011, a connu une recrudescence d’activité à la fin de 2022. D’autres, comme Mirai et Gh0st.Rat, continuent d’être actifs dans le monde entier. Étonnamment, sur les cinq premiers botnets observés, seul RotaJakiro date de cette décennie.

Bien qu’il puisse être tentant de considérer les anciennes menaces comme révolues, les entreprises doivent rester vigilantes. Les botnets "anciens" restent répandus pour une bonne raison : leur efficacité reste d’actualité. Les cybercriminels, qui ne manquent jamais de ressources, continueront à exploiter la structure existante des botnets et à générer des versions de plus en plus résistantes puisque ces malwares restent rentables. Plus précisément, au cours du 2ème semestre 2022, les principales cibles de Mirai étaient les fournisseurs de services managés de sécurité (MSSP), le secteur des télécoms, ainsi que celui de la production industrielle qui héberge de multiples infrastructures OT. Les criminels s’investissent donc pour cibler ces secteurs d’activité avec des méthodes éprouvées.

La vulnérabilité Log4j, toujours répandue, est ciblée par les cybercriminels

Malgré le buzz qui a entouré Log4j en 2021 et au début 2022, un grand nombre d’entreprises n’a toujours pas appliqué les correctifs et les mesures de sécurité appropriées pour se protéger contre l’une des vulnérabilités les plus importantes de l’histoire.

Au cours du 2ème semestre 2022, Log4j est resté très actif, juste derrière MS.Windows.CVE-2020-1381.Privilege.Elevation, une vulnérabilité liée aux privilèges dans Win32K. Selon les recherches de FortiGuard Labs sur les intrusions, MS.Windows est arrivé en tête des menaces IPS avec 3 entreprises sur 4 ayant détecté une activité y étant liée. Mais il convient de noter que 41% des entreprises ont également détecté Log4j, ce qui montre à quel point cette menace reste prévalente. Plus précisément, l’activité IPS autour de Log4j était la plus répandue dans les secteurs des technologies, des administrations et de l’éducation, ce qui n’est pas surprenant étant donné la popularité d’Apache Log4j en tant que logiciel open source.

L’historique récent des malwares souligne des changements dans les méthodes d’infection et rend la sensibilisation des utilisateurs plus urgente

L’analyse des stratégies adverses nous donne de précieuses indications sur l’évolution des techniques et tactiques d’attaque, pour ainsi mieux se protéger contre les scénarios futurs d’attaque. FortiGuard Labs s’est penché sur les fonctionnalités des logiciels malveillants détectés en se basant sur les données d’une sandbox, pour ainsi déterminer les méthodes de diffusion les plus courantes. Il est important de noter que cette étude ne porte que sur des échantillons qui ont été exécutés en sandbox.

En examinant les huit principales tactiques et techniques observées dans la sandbox, le téléchargement furtif (drive-by-compromise) ressort comme la tactique la plus populaire pour accéder aux systèmes des entreprises. Les assaillants accèdent généralement aux systèmes lorsqu’un utilisateur peu méfiant navigue sur Internet et télécharge involontairement un fichier malveillant lors de la consultation d’un site web compromis, quand il ouvre la pièce jointe d’un courriel malveillant, ou qu’il clique sur un lien ou un pop-up malveillant. Avec cette tactique du téléchargement furtif, il est difficile et souvent trop tard pour que l’utilisateur échappe à la contamination, à moins qu’une approche holistique de la sécurité ne soit déjà mise en œuvre.