Les ransomwares sont de retour en faveur des cybercriminels – eGospodarka.pl

Les rapports de Cisco Talos montrent que le dernier trimestre, les ransomwares sont restés l’une des cybermenaces les plus graves – les attaques de ransomwares et de pré-ransomwares représentaient jusqu’à 40 % de toutes les attaques. toutes les menaces perçues. Les cybercriminels sont principalement favorisés par les organisations qui n’utilisent pas l’authentification multifacteur.

Lire aussi :

Cyber ​​​​attaques par ransomware : le secteur financier ne parvient pas à récupérer 38 % des données

De ce texte, entre autres, vous apprendrez :

  • Quelles organisations de cybercriminalité se sont avérées les plus actives ?

  • Pourquoi est-il difficile d’estimer le total exact de toutes les attaques pré-ransomware ?

  • Lequel des secteurs a été le plus souvent victime d’attaques ?

Selon le rapport Talos Incident Response Trends pour le troisième trimestre 2022, les attaques de ransomwares et les activités pré-ransomwares représentaient jusqu’à 40 % des menaces de cybersécurité observées au cours du dernier trimestre. Les organisations cybercriminelles les plus actives étaient Vice Society et Hive, tandis que les établissements d’enseignement, les services financiers sont devenus les cibles d’attaque les plus courantes, les systèmes étatiques et l’énergie. Il y a d’autres dangers à l’horizon – les attaquants utilisent les nouveaux frameworks Manjusaka et Alchimist, ou LockBit Black, qui sont utilisés pour créer le chiffreur de rançongiciel LockBit 3.0, qui a été divulgué en ligne fin septembre. Conformément à la tendance actuelle, les attaquants ont souvent utilisé des comptes importants pour obtenir un premier accès, ce qui était particulièrement évident dans le cas de comptes mal configurés ou de ceux avec des mots de passe faibles.

Les ransomwares et les pré-ransomwares représentaient 40 % de toutes les attaques au troisième trimestre 2022.

L’équipe Talos Incident Response de Cisco a d’abord observé un nombre similaire d’attaques de ransomwares et de pré-ransomwares, qui représentaient ensemble jusqu’à 40 % de toutes les menaces au troisième trimestre 2022. Il convient de noter qu’il est difficile d’estimer le total exact de toutes les attaques pré-ransomware si le ransomware n’est pas activé. Le logiciel Cobalt Strike, les outils de collecte d’informations d’identification (Mimikatz) et les techniques d’énumération et de détection résidant sur les systèmes peuvent détecter les tentatives d’attaque présumées.

Au troisième trimestre 2022, des outils et des scripts sont apparus sur des sites Web et des référentiels qui prennent en charge les opérations des cybercriminels à différentes étapes de l’attaque. Cette activité coïncide avec l’augmentation de l’utilisation d’autres outils à double usage, tels que l’outil légitime utilisé dans les soi-disant activités de l’équipe rouge (attaques d’ingénierie sociale contrôlées) Brute Ratel et récemment découvert les cadres d’attaque Manjusaka et Alchimist.

L’équipe de Cisco Talos a constaté de nombreuses activités de la part de deux groupes populaires de cybercriminalité – Vice Society et Hive. Black Basta, qui est apparu pour la première fois en avril 2022, a également gagné en popularité ces derniers mois. Ce n’était pas sur le radar de Talos auparavant.

Talos suit également « LockBit Black », qui a été divulgué fin septembre 2022. Il s’agit d’un autre revers que le groupe de cybercriminalité a connu ces derniers mois, y compris des attaques (DDoS) les ciblant. Talos a commencé à suivre un nouveau groupe de rançongiciels appelé « BlooDy Gang », qui aurait utilisé le constructeur LockBit 3.0 susmentionné lors d’attaques récentes.

Les criminels utilisent divers outils et scripts disponibles gratuitement hébergés sur des référentiels GitHub ou téléchargés à partir de sites Web tiers. Talos observe l’utilisation d’outils de sécurité et de red-teaming, tels que le framework Cobalt Strike modifié et les outils de reconnaissance Active Directory ADFind et BloodHound. Cependant, la présence de ces scripts et outils supplémentaires indique que les voleurs utilisent toujours des ressources populaires, ce qui rend l’identification difficile.

Il convient de noter que la majorité des outils accessibles au public utilisés ce trimestre semblent se concentrer sur l’accès et la collecte d’informations d’identification, soulignant le rôle de ces outils dans la poursuite potentielle des objectifs des cybercriminels.

photo Florian Roth – Fotolia.com

Les ransomwares sont de retour auprès des cybercriminels

Selon le rapport Talos Incident Response Trends Q3 2022, les attaques de ransomware et l’activité pré-ransomware représentaient jusqu’à 40 % des menaces de cybersécurité observées au dernier trimestre.

Augmentation de l’activité pré-ransomware

Les ransomwares étaient la principale menace au cours du trimestre analysé, mais un nombre similaire d’attaques pré-ransomwares a également été observé. Bien que chaque incident implique des méthodes TTP uniques (tactiques, techniques, procédures), les caractéristiques communes incluent l’énumération des hôtes, les tentatives d’authentification multiples et le piratage via une vulnérabilité identifiée ou une vulnérabilité pour migrer vers d’autres systèmes. Dans les cas où le ransomware n’a jamais été déployé, le criminel tentait probablement de divulguer des données au moment de la découverte, indiquant qu’il avait suffisamment d’accès pour causer des dommages importants.

L’éducation dans le collimateur des cybercriminels

Au cours du dernier trimestre, la principale victime des attaques a été le secteur de l’éducation, suivi des services financiers, des systèmes gouvernementaux et de l’énergie. Pour la première fois depuis le quatrième trimestre 2021, les télécommunications n’ont pas été les plus attaquées. La raison pour laquelle le secteur de l’éducation a été la cible la plus populaire des attaques est inconnue, mais il est important de noter le caractère saisonnier de ce phénomène – c’est la période où les élèves et les enseignants retournent à l’école.

Vecteurs initiaux

Au troisième trimestre 2022, il y a eu des cas de voleurs utilisant des comptes importants pour obtenir un accès initial, en particulier dans des scénarios où les comptes étaient mal configurés, mal désactivés ou avaient des mots de passe faibles. Dans au moins deux cas ce trimestre, Talos a enquêté sur la possibilité d’un accès initial de l’adversaire via un réseau intercepté ou l’ordinateur personnel d’un sous-traitant.

Dans près de 15 % des cas ce trimestre, les criminels ont identifié et/ou exploité des applications publiques mal configurées. Une autre méthode populaire était le courrier électronique et l’activation par l’utilisateur d’un document ou d’un lien malveillant. Dans une attaque par e-mail professionnel (BEC), le détournement de fil a été utilisé et le lien malveillant dans l’e-mail semblait être une fausse page d’authentification.

L’absence d’authentification multifacteur reste l’un des principaux obstacles à la sécurité des entreprises. Près de 18 % des cas analysés par Cisco Talos n’avaient pas de MFA ou n’étaient activés que sur quelques comptes et services critiques. Talos IR observe fréquemment des incidents de ransomware et de phishing qui auraient pu être évités si l’authentification MFA avait été correctement activée dans des services critiques tels que les solutions de détection et de réponse aux terminaux (EDR). Talos IR recommande de désactiver l’accès VPN pour tous les comptes qui n’utilisent pas l’authentification à deux facteurs.

Dans 27 % des cas, les mots de passe ou l’accès aux comptes n’étaient pas correctement configurés/désactivés, laissant les comptes actifs et permettant aux attaquants d’utiliser des informations d’identification valides pour entrer dans l’environnement. Dans plusieurs cas, les organisations n’ont pas correctement désactivé l’accès aux comptes après qu’un employé a quitté l’organisation. Dans de tels cas, les experts de Talos recommandent de désactiver ou de supprimer les comptes inactifs pour éviter toute activité suspecte.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *