Cybermenaces : les ransomwares détrônés, mais sont-ils inoffensifs ? – eGospodarka.pl

Après plus d’un an à régner en haut du podium des cybermenaces les plus actives, les ransomwares ont été détrônés par les attaques utilisant les soi-disant logiciels malveillants de base. C’est le résultat de l’arrêt des activités de plusieurs groupes cybercriminels spécialisés dans l’extorsion de rançons. De cette façon, au deuxième trimestre de cette année. les rançongiciels ne représentent que 15 % de toutes les attaques, selon les observations de Cisco Talos Incident Response (CTIR).

Lire aussi :

Une histoire de la cybercriminalité : l’ère des rançongiciels modernes

De ce texte, entre autres, vous apprendrez :

  • Qu’est-ce qui distingue les logiciels malveillants courants ?

  • Quelles ressources sont les plus vulnérables aux attaques ?

  • Qu’est-ce que l’activité de Qakbot ?

  • Comment réduire le risque de cyberattaques ?

Les logiciels malveillants de base étaient la menace la plus courante au dernier trimestre, un changement significatif étant donné que le nombre d’attaques utilisant des chevaux de Troie de base précédemment observés par l’équipe CTIR (Cisco Talos Incident Response) est en baisse constante depuis 2020.

Les experts de Cisco Talos soulignent que nous assistons actuellement à une renaissance des chevaux de Troie responsables d’attaques par e-mail. Entre avril et juin, entre autres, le cheval de Troie d’accès à distance Remcos (RAT), le voleur d’informations Vidar, Redline Stealer et Qakbot (Qbot) – un cheval de Troie bancaire bien connu qui est apparu dans de nouveaux groupes d’activités ces dernières semaines.

Les entreprises du secteur des télécommunications, auxquelles les cybercriminels se sont toujours intéressés depuis le quatrième trimestre 2021, sont restées les plus vulnérables aux attaques. Les organisations des secteurs de l’éducation et de la santé surveillent de près.

Les logiciels malveillants de base sont la principale menace au deuxième trimestre 2022

Au deuxième trimestre de cette année, une augmentation significative des menaces de logiciels malveillants de base a été observée, représentant 20 % de toutes les attaques enregistrées par Cisco Talos Incident Response. Ce malware peut facilement être acheté ou même téléchargé gratuitement. En règle générale, les cybercriminels qui les exploitent s’appuient sur des économies d’échelle car elles ne sont pas adaptées aux besoins d’attaque de cibles spécifiques. Les attaquants l’utilisent à différentes étapes de leurs opérations, notamment pour diffuser des menaces supplémentaires, notamment les nombreuses variantes de logiciels malveillants répertoriées ci-dessous.

photo: BoonritP – Fotolia.com

Les rançongiciels sont toujours dangereux

Au deuxième trimestre, les variantes de ransomwares précédemment connues disponibles en tant que service (Ransomware as a Service, RaaS), telles que BlackCat (également connu sous le nom d’ALPHV) et Conti, ont été particulièrement importantes.

Le fait que le phishing soit toujours une méthode que les cybercriminels aiment utiliser est illustré par l’exemple de l’attaque contre un établissement de santé aux États-Unis. L’équipe CTIR a identifié un fichier Microsoft Excel (XLS) malveillant distribué via des e-mails de phishing qui contient une variante du malware Remcos RAT. Utilisé depuis au moins 2016, Remcos enregistre l’audio, capture des captures d’écran, collecte les données du presse-papiers et les entrées au clavier, etc. L’équipe du CTIR a identifié les connexions réseau distantes à l’aide du compte de l’administrateur système en dehors des heures ouvrables.

Au cours des dernières semaines, l’équipe de Cisco Talos a remarqué une activité de Qakbot, un cheval de Troie qui télécharge les e-mails. Cette méthode fonctionne en envoyant un message avec l’historique de la conversation dans le corps afin que la personne agressée ait l’impression qu’il s’agit d’une continuation de la correspondance. Dans le cadre d’un incident impliquant des autorités locales aux États-Unis, l’équipe du CTIR a enquêté sur trois vagues d’e-mails de phishing qui ont été installés par Qakbot lors de leur ouverture par un utilisateur. Les messages infectés sont créés de deux manières. L’un était l’utilisation de comptes complètement faux et d’e-mails prétendant contenir des documents fiscaux. La seconde consistait à combiner un texte d’e-mail faux et authentique, conçu pour apparaître en réponse à une conversation en cours.

Les rançongiciels sont toujours dangereux

Les ransomwares restent l’une des principales menaces notées par Cisco Talos. Au deuxième trimestre, les variantes de ransomwares précédemment connues disponibles en tant que service (Ransomware as a Service, RaaS), telles que BlackCat (également connu sous le nom d’ALPHV) et Conti, ont été particulièrement importantes. Ils ont été utilisés pour attaquer de grandes organisations, en comptant sur de grosses rançons.

Bien que le groupe Conti ait annoncé son arrêt plus tôt cette année, l’impact potentiel de cette décision sur le paysage des ransomwares est encore inconnu. Les experts de Cisco Talos soupçonnent que la nouvelle variante RaaS appelée Black Basta est un changement de marque de Conti et pourrait constituer une menace dans les prochains trimestres.

Le rançongiciel LockBit, d’autre part, a une nouvelle version qui inclut de nouvelles options de paiement en crypto-monnaie pour les victimes, des tactiques d’extorsion supplémentaires et un nouveau programme « bug bounty » qui encourage le signalement de nouvelles vulnérabilités que les cybercriminels peuvent utiliser pour attaquer.

Les ressources mal configurées sont plus vulnérables aux attaques

Le dernier trimestre a également vu plusieurs actions où l’attaque impliquait des vulnérabilités dans des applications, des routeurs et des serveurs accessibles au public. Dans un cas, une société informatique opérant en Europe avait un serveur Azure mal configuré et accidentellement découvert. Les pirates ont tenté d’accéder au système à distance avant qu’il ne soit isolé. Il fonctionnait seul sur son propre sous-réseau, mais était connecté à d’autres ressources internes via un tunnel VPN IPSec. L’analyse a identifié de nombreuses tentatives de connexion infructueuses et des attaques par force brute, qui consistaient à vérifier tous les mots de passe ou combinaisons de clés possibles à partir de différentes adresses IP externes.

Comment vous pouvez réduire votre risque de cyberattaques

Au cours des derniers mois, l’équipe CTIR a localisé plusieurs programmes d’infostealer, qui ont profité du manque d’authentification multifacteur correctement configurée dans l’organisation attaquée ou les partenaires de l’entreprise.

Les experts de Cisco Talos considèrent l’authentification multifacteur comme une méthode qui réduit considérablement le risque de cyberattaques. Dans au moins deux incidents ce trimestre, un partenaire ou un tiers associé à l’organisation affectée manquait de cette forme de sécurité, permettant à un attaquant d’accéder et de s’authentifier plus facilement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.