L'exploitation d'applications Internet a été le premier vecteur d'attaque initial de 2021.
Selon le dernier rapport Analyse de la Réponse à Incident de Kaspersky, plus de la moitié des cyberattaques (53,6%) de 2021 ont commencé par l’exploitation de vulnérabilités. D’autres méthodes initiales d’attaques communes comprenaient la compromission de comptes et les emails malveillants.
Quand les attaquants planifient leurs campagnes, ils ont habituellement pour objectif de trouver des problématiques de sécurité facilement identifiables, telles que des serveurs publics avec des vulnérabilités bien connues, des mots de passe faibles ou des comptes compromis. D’année en année, ces vecteurs d’accès initiaux ont entrainé un nombre croissant de très sévères incidents de cybersécurité.
L'analyse des données anonymes des cas de réponse aux incidents traités par Kaspersky Global Emergency Response Team (GERT) dans le monde entier prouve que l'exploitation des applications publiques, accessibles à la fois depuis le réseau interne et l'Internet, est devenue le vecteur initial le plus utilisé pour pénétrer le périmètre d'une organisation[1]. La part de cette méthode comme vecteur d'attaque initial est passée de 31,5 % en 2020 à 53,6 % en 2021, tandis que l'utilisation de comptes compromis et d'emails malveillants a diminué, passant respectivement de 31,6 % à 17,9 % et de 23,7 % à 14,3 %. Ce changement est probablement lié aux vulnérabilités découvertes sur les serveurs Microsoft Exchange l'année dernière. L'omniprésence de ce service de messagerie et la disponibilité publique d'exploits pour ces vulnérabilités ont entraîné un nombre considérable d'incidents connexes.
Si l'on examine l'impact des attaques, le chiffrement des fichiers, qui est l'un des types de ransomware les plus courants et qui prive les organisations de l'accès à leurs données, demeure le principal problème auquel sont confrontées les entreprises depuis trois années consécutives. En outre, le nombre d'organisations ayant rencontré des chiffreurs dans leur réseau a considérablement augmenté au cours de la période observée (de 34 % en 2019 à 51,9 % en 2021). Autre aspect alarmant : dans bien plus de la moitié des cas (62,5 %), les attaquants passent plus d'un mois à l'intérieur du réseau avant de chiffrer les données.
Les adversaires parviennent à rester inaperçus à l'intérieur d'une infrastructure en grande partie grâce aux outils du système d'exploitation, aux outils offensifs bien connus et à l'utilisation de systèmes commerciaux, qui sont impliqués dans 40 % de tous les incidents. Après la pénétration initiale, les attaquants utilisent des outils légitimes à différentes fins : PowerShell pour collecter des données, Mimikatz pour escalader les privilèges, PsExec pour exécuter des commandes à distance ou des systèmes comme Cobalt Strike pour toutes les étapes de l'attaque.
"Notre rapport démontre qu'une politique de gestion des correctifs appropriée peut à elle seule réduire de 50 % la probabilité de réussite d'une attaque. Cela confirme une fois de plus la nécessité de mesures de cybersécurité de base. Dans le même temps, même la mise en œuvre la plus complète de ces mesures ne peut garantir une défense sans faille", commente Konstantin Sapronov, responsable du Global Emergency Response Team. "Étant donné que les adversaires ont recours à diverses méthodes malveillantes, la meilleure façon de protéger votre organisation est d'utiliser des outils et des approches qui permettent de remarquer et d'arrêter l'action adverse tout au long des différentes étapes d'une attaque."
Pour minimiser l’impact d’une attaque en cas d’urgence, Kaspersky adresse les recommandations suivantes :
- Sauvegarder ses données afin de pouvoir toujours accéder aux fichiers cruciaux en cas d'attaque par un ransomware et utiliser des solutions capables de bloquer toute tentative de chiffrement de vos données.
- Travailler avec un partenaire de confiance pour traiter les incidents avec des accords de niveau de service (SLA) rapides.
- Former en permanence son équipe de réponse aux incidents afin de maintenir leur expertise et de rester au fait de l'évolution du paysage des menaces.
- Mettre en œuvre des programmes de sécurité stricts pour les applications contenant des informations personnellement identifiables.
- Comprendre les profils des adversaires qui ciblent votre secteur et votre région afin de donner la priorité au développement des opérations de sécurité.
- Mettre en œuvre une solution de détection et de réponse sur les terminaux avec un service de détection et de réponse managé pour détecter et réagir rapidement aux attaques, entre autres.
L’intégralité du rapport d’Analyse de Réponse aux incidents est disponible sur Securelist
À propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux.
[1] Le rapport Incident Response Analyst donne un aperçu des services d'enquête sur les incidents menés par Kaspersky de janvier à décembre 2021 en Amérique du Sud et du Nord, en Europe, en Afrique, au Moyen-Orient, en Asie, ainsi qu'en Russie et dans la CEI.
L'exploitation d'applications Internet a été le premier vecteur d'attaque initial de 2021.
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >