« Un an après le début du conflit entre la Russie et l’Ukraine, force est de constater que les États-nations utilisent stratégiquement les cybercrimes à des fins d’espionnage et de perturbation », a déclaré John Fokker, chef du renseignement sur les menaces du Advanced Research Center de Trellix. « Cela génère des risques pour les infrastructures critiques telles que les télécommunications, l’énergie et la fabrication, ce qui confirme l’importance pour les organisations publiques et privées, quelle que soit leur taille, de renforcer leurs défenses contre les cybermenaces croissantes et évolutives. »

Le rapport contient des preuves d’activités malveillantes liées à des ransomwares et à des acteurs de menaces persistantes avancées (APT) soutenues par des États-nations. Il examine également les menaces emails et l’utilisation malveillante d’outils de sécurité légitimes, ainsi que d’autres types de menaces. Les principales conclusions de ce rapport sont les suivantes :
• Cyber espionnage coordonné : Les groupes APT liés à la Chine, dont Mustang Panda et UNC4191, sont les plus actifs dans le ciblage des États-nations, générant 79 % de toutes les activités détectées. Trellix prévoit que les groupes APT poursuivront leurs activités de cyber espionnage et leurs cyberattaques perturbatrices en tandem avec des activités militaires physiques.

• En matière de ransomware, l’argent est roi : sans surprise, les motivations des ransomwares sont principalement financières, comme en témoignent les secteurs de l’assurance (20 %) et des services financiers (17 %) qui ont détecté le plus grand nombre d’attaques. Cependant, les cibles des ransomwares ont tendance aujourd’hui à être de plus petites entreprises du secteur privé. Les victimes les plus courantes sont notamment des entreprises de taille moyenne basées aux États-Unis (48 %), comptant entre 51 et 200 employés (32 %) et réalisant un chiffre d’affaires de 10 à 50 millions de dollars (38 %).

• Cobalt Strike est un favori : Malgré les tentatives en 2022 de rendre plus difficile l’utilisation abusive de l’outil, Cobalt Strike suscite toujours plus d’intérêt en tant qu’outil utilisé et favorisé par les cybercriminels et les acteurs du ransomware. Trellix a détecté l’usage de Cobalt Strike dans 35 % des activités d’États-nations et 28 % des incidents de ransomware, soit près de deux fois plus qu’au quatrième trimestre 2022.

• Les anciennes vulnérabilités, un retour dans le passé : La majorité des vulnérabilités et des bugs les plus critiques consistaient en des contournements de correctifs pour des CVE plus anciens, des bugs de la chaîne d’approvisionnement résultant de l’utilisation d’anciennes bibliothèques, ou des vulnérabilités corrigées depuis longtemps qui n’ont jamais été correctement mises à jour et corrigées. Une vulnérabilité d’Apple divulguée en février de cette année avait des racines aussi anciennes que l’exploit FORCEDENTRY divulgué en 2021.

• Accès frauduleux au Cloud : Les attaques d’infrastructure du Cloud contre des services d’Amazon, de Microsoft, de Google et d’autres continuent d’augmenter. Bien que les attaques plus sophistiquées avec MFA, Proxies et API Execution continuent de se développer, la technique d’attaque dominante reste les comptes valides, avec deux fois plus de détections que tout autre vecteur d’attaque. L’accès frauduleux à des comptes légitimes dans des environnements de travail à distance reste important.

« Les équipes chargées des opérations de sécurité sont engagées dans une course à l’amélioration des capacités de défense pour protéger les organisations contre des attaques croissantes », déclare Joseph « Yossi » Tal, Senior Vice Président du Centre de Recherche Avancée de Trellix. « Déjà en sous-effectif, les équipes fournissent des efforts importants au quotidien pour réussir à traiter des millions de points de données à travers des réseaux complexes. L’objectif de Trellix est de fournir, à travers sa recherche, des éclairages qui contribuent à renforcer l’efficacité des équipes en charge de la cybersécurité. »

Le CyberThreat Report comprend des données exclusives provenant du réseau de capteurs de Trellix, des enquêtes sur les activités des États-nations et des cybercriminels menées par le Advanced Research Center de Trellix, des renseignements de sources ouvertes et fermées, et des sites de fuite d’acteurs de la menace. Le rapport est basé sur la télémétrie liée à la détection des menaces, lorsqu’un fichier, une URL, une adresse IP, un courriel suspect, un comportement sur le réseau ou tout autre indicateur est détecté et signalé par la plateforme Trellix XDR.