Ignorer le contenu principal

Pour les acteurs de la cybersécurité, il est essentiel de comprendre les tactiques, techniques et procédures employées par les cybercriminels, ainsi que leurs évolutions. Cela permet également aux défenseurs des entreprises de mieux préparer leur protection contre d'éventuels incidents. Dans cette optique, les experts Kaspersky du service d'investigation sur les incidents informatiques ont établi un récapitulatif des principaux changements survenus au cours des six dernières années. Et il s'avère que beaucoup de choses ont changé.
On note par exemple un net recul des attaques dites « côté client », qui impliquait une infection à grande échelle par des malwares conçus pour voler de l'argent en mettant à profit les failles de sécurité des navigateurs courants. Il y a plusieurs années, ce vecteur d'infection était souvent utilisé par des groupes de cybercriminels russophones visant des cibles précises au sein des organisations commerciales et financières (généralement des employés du service comptabilité). Cependant, depuis lors, les développeurs de navigateurs et d'autres technologies web auparavant vulnérables ont considérablement amélioré la sécurité de leurs produits et instauré des mises à jour automatiques des systèmes. Par conséquent, il est désormais difficile pour les hackers de mettre en place une campagne d'infection efficace. Aujourd'hui, ils misent plutôt sur des courriels de spear phishing comportant des pièces jointes malveillantes. Une fois ouvertes sur l'ordinateur ciblé, ces dernières exploitent la vulnérabilité d'un logiciel courant n'ayant pas reçu de correctif en temps voulu.

Autre changement important : alors qu'il y a quelques années, les cybercriminels développaient souvent leurs propres malwares, ils ont maintenant tendance à se servir de logiciels publics de test de pénétration et d'accès à distance. Les entreprises peuvent recourir à ces outils à des fins légitimes, c'est pourquoi les logiciels de sécurité ne détectent pas automatiquement leur utilisation malveillante par des hackers. L'emploi d'outils de pentesting leur permet également d'économiser beaucoup de ressources de développement.

Voici les changements les plus notables observés chez ces cybercriminels :

·        Au lieu de créer et d'entretenir leur propre infrastructure, ils utilisent activement celle d'un cloud public.

·        Ils n'ont plus besoin de constituer de grands groupes collaborant à des fins frauduleuses. De plus, puisque la création de leurs propres outils est devenue superflue et qu'ils utilisent activement l'infrastructure cloud, ils peuvent mener des activités malveillantes en groupe beaucoup plus restreint qu'auparavant.

·        Ils ont radicalement changé de cible, délaissant les attaques financières contre des entreprises et autres institutions pour privilégier les ransomwares et le vol de données. En outre, un nombre substantiel de cybercriminels a cessé de sévir dans l'ancien bloc soviétique pour attaquer des cibles en dehors de la Russie et des territoires de la CEI.

« En 2016, nous nous concentrions sur les grands cybergangs qui ciblaient les institutions financières, en particulier les banques. Des noms comme Lurk, Buhtrap, Metel, RTM, Fibbit et Carbanak faisaient trembler les banques russes, voire mondiales. Pourtant, avec notre aide, ces groupes ont fini par se déliter ou leurs responsables ont été emprisonnés. D'autres cybercriminels, comme les auteurs de Cerberus, ont en quelque sorte pris leur retraite et partagé leur code source avec le monde entier. De nos jours, le secteur des institutions financières n'est plus le seul visé par les hackers et, heureusement, les attaques majeures comme celles sur lesquelles nous investiguions par le passé ne sont désormais plus possibles. Pourtant, on ne peut pas dire que la cybercriminalité ait diminué. L'année dernière, nos investigations ont porté sur environ 200 incidents au total. Alors que cette année n'est pas encore terminée, leur nombre avoisine déjà les 300 et continue de croître. Dans ces conditions, il est extrêmement important de partager des informations pertinentes sur les activités de cybercriminalité avec la communauté de la cybersécurité. Nous y contribuons par le biais de notre rapport », souligne Ruslan Sabitov, expert en cybersécurité chez Kaspersky.

Pour en savoir plus sur l'évolution de la cybercriminalité russophone, consultez Securelist.com.

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.

Évolution de la cybercriminalité russophone : qu'est-ce qui a changé ces dernières années ?

Pendant près de dix ans, via son service d'investigation sur les incidents informatiques, Kaspersky a mené différentes recherches sur des incidents liés à la cybersécurité, la plupart étant liés aux activités de cybercriminels russophones. Ces dernières années, les experts en sécurité de Kaspersky ont observé plusieurs changements importants dans le mode de fonctionnement de ces cybergangs et dans leurs cibles habituelles.
Kaspersky Logo