FortiGuard Labs révèle que les variants de ransomwares ont quasiment doublé en six mois
Les tendances en matière d’exploits indiquent que les endpoints restent une cible privilégiée dans le contexte de travail hybride qui s’est imposé dans les entreprises
Diegem, le 15 septembre - Fortinet® (NASDAQ : FTNT), l'un des leaders mondiaux de solutions globales, intégrées et automatisées de cybersécurité, annonce la publication de son nouveau rapport semestriel FortiGuard Labs sur le panorama mondial des menaces. En voici les temps forts :
- Les ransomwares continuent de s’adapter, donnant lieu à de nouvelles variantes grâce au Ransomware-as-a-Service (RaaS).
- Les endpoints évoluant dans un contexte de travail hybride restent des cibles privilégiées pour les cyber-délinquants souhaitant accéder aux réseaux d'entreprise. Les environnements OT et IT sont également ciblés par des criminels à la recherche de nouvelles opportunités, compte tenu d’une surface d'attaque qui s’étend et de la convergence IT/OT.
- Les menaces à fort impact continuent d'évoluer, comme en témoigne la propagation de logiciels malveillants de type wiper (suppression de données).
- Les cybercriminels procèdent de plus en plus à une reconnaissance en amont de leurs attaques, pour ainsi contourner les défenses en place et renforcer la précision et la puissance de ces attaques.
La multiplication des variants de ransomwares témoigne de l'évolution des écosystèmes criminels
Les ransomwares restent une menace majeure et les cybercriminels se mobilisent toujours pour développer de nouvelles techniques. Au cours des six derniers mois, FortiGuard Labs a identifié un total de 10 666 variants de ransomwares, contre seulement 5 400 sur le semestre précédent, révélant une croissance de près de 100 % en six mois. Le RaaS, toujours plus populaire au sein du dark web, continue d'alimenter une activité criminelle qui incite les entreprises à régler les rançons demandées. Quels que soient leur secteur d'activité et leur taille, les entreprises doivent opter pour une approche proactive. La visibilité, la prévention et la riposte en temps réel aux menaces, associées à un accès réseau Zero Trust (ZTNA) et une fonctionnalité EDR (endpoint detection and response) sont essentielles.
Les technologies OT et les endpoints restent des cibles privilégiées pour les exploits
La convergence OT/IT, ainsi que les endpoints présents au sein des environnements de travail hybride, restent des vecteurs majeurs d’attaque, les adversaires continuant à cibler une surface d'attaque en expansion. L’exploitation de vulnérabilités présentes sur les endpoints aboutit souvent à des utilisateurs non autorisés qui s’introduisent dans un système dans le but de se mouvoir au sein d’un réseau. Ainsi, une vulnérabilité permettant le spoofing (CVE 2022-26925) s’est révélée omniprésente, tout comme une vulnérabilité RCE (exécution de logiciel à distance). L'analyse globale des vulnérabilités affectant les endpoints met en lumière le redoutable processus des cybercriminels tentant d’accéder aux réseaux d’entreprise, à l’aide de vulnérabilités anciennes et nouvelles. D’autre part, les vulnérabilités des systèmes OT se sont montrées dynamiques. De multiples dispositifs et plateformes ont fait l'objet de piratages massifs, ce qui prouve la nécessité d'une cybersécurité sur mesure pour la convergence IT/OT, pour déjouer les nouvelles ambitions des criminels. Les technologies de pointe liées aux endpoints peuvent aider à protéger et restaurer efficacement les dispositifs infectés dès les premiers stades d'une attaque. On peut également utiliser des services de protection contre les risques du numérique (DRPS) pour évaluer les menaces, identifier et corriger les carences de sécurité et obtenir des informations contextuelles sur les failles présentes et les menaces imminentes.
La menace s'amplifie avec la propagation de virus de type wiper
L’émergence des wipers souligne l’adoption de techniques plus destructrices et sophistiquées, visant à détruire les données. La guerre en Ukraine a encouragé une augmentation sensible des malwares de suppression de données sur les disques durs ciblant principalement les infrastructures critiques. FortiGuard Labs a identifié au moins sept nouvelles variantes majeures de wiper au cours des six premiers mois de 2022, utilisées par diverses campagnes contre des organisations gouvernementales, militaires et privées. Ce chiffre est significatif, car proche du nombre de variants de wiper détectées depuis 2012. Plus grave, ces nouveaux wipers ont été détectés dans 24 pays hors de l'Ukraine. Pour maîtriser l'impact de telles attaques, une fonction NDR (network detection and response) et l’intelligence artificielle s’imposent pour mieux détecter les intrusions. Parallèlement, ce sont des sauvegardes qui doivent être réalisées hors site et hors ligne.
Au niveau mondial, le contournement des lignes de défense reste la principale tactique d'attaque
L'examen des stratégies cybercriminelles permet de comprendre comment les techniques et tactiques d'attaques évoluent. FortiGuard Labs a analysé les fonctionnalités des logiciels malveillants détectés au cours des six derniers mois pour déterminer les approches les plus courantes. Parmi les huit principales tactiques et techniques axées sur les endpoints, le contournement des fonctions de sécurité est la tactique la plus utilisée par les criminels, ceux-ci utilisant souvent un proxy système pour parvenir à leurs fins. La dissimulation des intentions est une pratique essentielle pour les assaillants : ils tentent d'échapper aux défenses en se camouflant et en essayant de dissimuler des commandes via un certificat légitime. Ceci permet d’exécuter un processus de confiance qui facilite leur intrusion. La deuxième technique la plus populaire est l'injection de commandes. Les criminels s'efforcent d'injecter du code dans l'espace d'adressage d'un autre processus pour échapper aux défenses et se rendre furtifs. Ces deux techniques doivent être comprises par les entreprises pour qu’elles se protègent. Les plateformes de cybersécurité intégrées, bénéficiant de l’IA et du ML, offrent des capacités avancées de détection et de riposte et bénéficient d’une veille pertinente sur les menaces. Elles s’imposent donc pour protéger la totalité des surfaces d’attaque en entreprise.
Une sécurité optimisée par IA sur l'ensemble de la surface d'attaque
Avec une meilleure compréhension des objectifs et des tactiques utilisés par les adversaires, grâce notamment à une veille décisionnelle sur les menaces, les entreprises peuvent affiner leur sécurité pour s'adapter et réagir de manière proactive à l'évolution rapide des techniques d'attaque. Pour que les collaborateurs et les équipes de sécurité gardent la main sur des menaces qui évoluent sans cesse, la sensibilisation et la formation à la cybersécurité sont importantes. Les entreprises ont besoin d’une infrastructure opérationnelle de sécurité qui réagit très rapidement face au volume, à la sophistication et au rythme des menaces. Des stratégies de prévention, de détection et de riposte optimisées par IA et ML, associées à une architecture mesh de cybersécurité, favorisent une intégration plus étroite, une automatisation renforcée, ainsi qu'une réponse plus rapide, coordonnée et efficace aux menaces présentes sur le réseau étendu.
Derek Manky, Chief Security Strategist & VP Global Threat Intelligence, FortiGuard Labs: “Les cybercriminels font évoluer leurs modes opératoires pour déjouer les lignes de défense et étendre les réseaux de leurs affiliés. Ils ont recours à des stratégies agressives, telles que l'extorsion de fonds ou la suppression de données et utilisent des tactiques de reconnaissance en amont qui rendent leurs attaques plus rentables. Pour déjouer ces attaques sophistiquées, les entreprises ont besoin de solutions intégrées, capables d'ingérer des informations de veille en temps réel sur les menaces, de détecter les comportements connus des menaces et de corréler des volumes importants de données pour détecter les anomalies et répondre de manière automatique et coordonnée aux menaces sur l’ensemble des réseaux hybrides.”
Profil du rapport
Ce nouvel opus du Global Threat Landscape Report résulte de travaux collectifs menés au sein de FortiGuard Labs et tire parti du panel mondial de capteurs de Fortinet qui a recueilli des milliards d’événements sur les menaces dans le monde sur le premier semestre 2022. Le framework MITRE ATT&CK catégorise les tactiques et techniques des assaillants, sur des critères de reconnaissance, de développement de ressources et d’accès initial notamment. Le Global Threat Landscape Report s’inspire de ce modèle pour décrire comment les cybercriminels identifient des vulnérabilités, définissent les infrastructures malveillantes et impactent leurs cibles. Ce rapport propose des perspectives mondiales et régionales et étudie les tendances liées aux menaces qui pèsent sur les environnements IT et OT.
Ressources complémentaires
- Abonnez-vous à notre blog pour découvrir les principaux enseignements de cette étude, ainsi que les perspectives de FortiGuard Labs sur les différentes thématiques du rapport dans les semaines à venir.
- Plus d’informations sur les recherches et la veille sur les menaces des FortiGuard Labs, ainsi que les alertes Outbreak qui permettent de juguler les attaques de cybersécurité en cours.
- Plus d’informations sur les services de sécurité FortiGuard de Fortinet.
À propos de FortiGuard Labs
FortiGuard Labs est le laboratoire de recherche et de veille sur les menaces de Fortinet. Sa mission est de fournir aux clients de Fortinet des informations pertinentes sur les menaces, afin de les protéger contre les activités malveillantes et les cyberattaques sophistiquées. Cet organisme regroupe des chercheurs en menaces, analystes, ingénieurs et data scientists qui s’investissent dans la recherche et le traitement de menaces dans le monde entier. FortiGuard Labs surveille en permanence la surface d'attaque mondiale à l'aide de millions de capteurs réseau et de centaines de partenaires. Les informations recueillies sont analysées et traitées à l'aide de l'intelligence artificielle (IA) et d'autres technologies innovantes pour exploiter ces données de recherche sur les nouvelles menaces. Ces efforts se traduisent par des renseignements décisionnels donnant lieu à des mises à jour des produits de sécurité Fortinet. Les recherches proactives sur les menaces aident nos clients à mieux les comprendre et à cerner les acteurs malveillants auxquels ils sont confrontés. FortiGuard Labs propose également des services de conseil spécialisés pour aider les clients à mieux comprendre et maîtriser l’univers des menaces. Pour en savoir plus, mer i de consultez le site https://www.fortinet.com/fr, le blog Fortinet ou FortiGuard Labs.
À propos de Fortinet
Fortinet (NASDAQ : FTNT) rend possible un monde numérique auquel nous pouvons toujours faire confiance grâce à sa mission de protection des personnes, des appareils, des applications et des données partout dans le monde. C'est pourquoi les plus grandes entreprises, les fournisseurs de services et les organisations gouvernementales du monde entier choisissent Fortinet pour accélérer en toute sécurité leurs échanges numériques. La plateforme Fortinet Security Fabric offre des protections étendues, intégrées et automatisées sur toute la surface d'attaque numérique, sécurisant les appareils, les données, les applications et les connexions critiques du Data Center au cloud en passant par le travail à domicile. Classé au premier rang pour le nombre d'appliances sécurisées délivrées dans le monde, Fortinet compte plus de 595 000 clients qui lui font confiance pour protéger leurs organisations. Et le Fortinet NSE Training Institute, une initiative du Training Advancement Agenda (TAA) de Fortinet, propose l'un des programmes de formation les plus vastes et les plus larges du secteur afin de rendre la formation à la cybersécurité et les nouvelles opportunités de carrière accessibles à tous. Pour en savoir plus, consultez le site https://www.fortinet.com/fr, le blog Fortinet ou FortiGuard Labs.
