Un rapport sur la réponses aux incidents révèle les tendances et les implications futures et propose des recommandations basées sur les données recueillies au cours d’une année entière d’enquêtes. 7 cas sur 10 de cyber attaques dus à l’hameçonnage et aux vulnérabilités logicielles.
Selon un nouveau rapport de Palo Alto Networks, l’utilisation intensive des vulnérabilités logicielles est le reflet du comportement opportuniste des acteurs de la menace, qui écument l’Internet à la recherche de failles et de points faibles à exploiter. Le rapport 2022 des équipes de l’Unit 42 offre un très large éventail d’informations extraites du travail sur la réponse aux incidents. S’appuyant sur un échantillon de plus de 600 cas de réponse aux incidents étudiés, le rapport a pour but d’aider les RSSI et les équipes de sécurité à comprendre les principaux risques de sécurité auxquels ils sont confrontés, et à déterminer les domaines auxquels affecter en priorité des ressources pour limiter ces risques.
Dans ce rapport, les secteurs de la finance et de l’immobilier figuraient parmi ceux qui recevaient les montants moyens de demandes de rançon les plus élevés : en moyenne, environ 8 millions et 5,2 millions de dollars, respectivement. Dans l’ensemble, les ransomware et la compromission des emails professionnels (BEC) ont été les deux principaux types d’incidents que l’équipe de réponse aux incidents a dû gérer au cours des 12 derniers mois. Ils représentent environ 70 % des cas de réponse aux incidents.
« A l’heure actuelle, la cybercriminalité est une activité dans laquelle il est facile de se lancer, en raison de son faible coût et de sa rentabilité souvent élevée. Dans ce contexte, des acteurs de la menace novices et non qualifiés peuvent très bien se lancer grâce à des outils tels que le hacking-as-a-service (piratage en tant que service), qui connaissent une popularité grandissante et sont disponibles sur le dark web, explique Wendi Whitmore, responsable de l’Unit 42. Les auteurs des attaques par ransomware ont en outre perfectionné leur organisation, en proposant un service client et des enquêtes de satisfaction lorsqu’ils interagissent avec les cybercriminels et les organisations victimes. »
Ransomware
Le nom d’une nouvelle victime des ransomware est publié sur les sites de fuite toutes les quatre heures. Il est vital pour les entreprises d’identifier très tôt l’activité des ransomwares. En général, les acteurs des ransomwares ne sont découverts qu’après le chiffrement des fichiers, l’entreprise victime recevant alors une demande de paiement de rançon. L’Unit 42 a constaté que le temps d’infiltration médian – c’est-à-dire le temps que les acteurs de la menace passent dans l’environnement ciblé avant d’être détectés – observé pour les attaques par ransomware était de 28 jours. Les demandes de rançon ont atteint jusqu’à 30 millions de dollars et le montant record des paiements effectivement réalisés par les victimes est de 8 millions de dollars, soit une augmentation constante par rapport aux conclusions du rapport 2022 de l’Unit 42 sur les ransomware. De plus en plus souvent, les entreprises touchées peuvent également s’attendre à ce que les acteurs de la menace utilisent la double extorsion, en menaçant de diffuser publiquement leurs informations sensibles si elles refusent de payer la rançon.
BEC (Compromission des emails professionnels)
Les cybercriminels ont utilisé toute une variété de techniques pour compromettre les emails des entreprises dans le cadre de fraude par courrier et de fraude électronique. Les formes d’ingénierie sociale, telles que le hameçonnage, sont un moyen facile et rentable de se procurer un accès secret, avec un faible risque d’être détecté. Selon le rapport, dans de nombreux cas, les cybercriminels se contentent de demander à leurs cibles involontaires de leur communiquer leurs informations d’identification, ce qu’elles font. Une fois l’accès obtenu, la durée médiane d’infiltration des attaques de type BEC est de 38 jours, et le montant moyen dérobé est de 286 000 dollars.
Les secteurs touchés
Les attaquants ciblent les secteurs d’activité lucratifs. Néanmoins, de nombreux attaquants sont des opportunistes et scrutent tout simplement l’Internet à la recherche de systèmes leur permettant d’exploiter des vulnérabilités connues. L’Unit 42 a identifié les secteurs les plus touchés parmi ses cas de réponse aux incidents : finance, services professionnels et juridiques, fabrication, soins de santé, haute technologie, commerce de gros et de détail. Les organisations de ces secteurs stockent, transmettent et traitent de gros volumes d’informations sensibles et monnayables qui attirent les acteurs de la menace.