La veille menée sur les menaces sur le premier semestre 2021 témoigne d’une augmentation significative du volume et de la brutalité des attaques cyber. Les cybermalfaiteurs n’hésitent pas à combiner plusieurs attaques et impliquent les contacts de la victime pour se faire payer.
Les capteurs du système de prévention des intrusions (IPS) de FortiGuard, qui fonctionnent sur les pare-feu FortiGate, offrent une excellente visibilité sur les tactiques, techniques et procédures des cybermalfaiteurs dans le monde. Dans un rapport publié récemment, FortiGuardLabs expose les résultats de la veille menée sur les menaces et remontée par ses pare-feu. Le rapport révèle que « les six premiers mois de l’année 2021 ont été marqués par des attaques à grande échelle qui se sont propagées pour envelopper de nombreuses organisations et d’innombrables individus ».
Dans l’ensemble, les détections IPS reflètent plusieurs tendances générales observées depuis un certain temps déjà : les serveurs web, les systèmes de gestion de contenu (CMS), et les objets connectés (IoT) sont les plus visés. « L’année dernière à la même époque, les attaquants avaient déplacé leurs ressources des dispositifs d’infrastructure d’entreprise vers les réseaux domestiques et les produits grand public », explique le rapport. Mais maintenant, ils ciblent agressivement les deux. Les principales détections IPS montrent que si les criminels continuent de cibler agressivement les petites entreprises et les technologies grand public pour viser les travailleurs à domicile, ils ont également recommencé à cibler les réseaux d’entreprise et les plateformes de gestion de contenu et de développement d’applications.
Hausse spectaculaire des attaques de botnet
Une autre tendance documentée par FortiGuardLabs au cours des six derniers mois a été l’augmentation du volume des attaques. Le pourcentage d’organisations ayant détecté l’activité d’un botnet est passé de 35 % à 51 % au milieu de l’année. Cette hausse est due à l’augmentation de l’utilisation de TrickBot, conçu initialement comme un cheval de Troie bancaire, mais qui s’est transformé en une boîte à outils sophistiquée, modulaire et à plusieurs niveaux.
Mirai a été le botnet le plus répandu, dépassant Gh0st au début de l’année 2020. Mirai a continué à ajouter de nouvelles cyberarmes à son arsenal. « Sa domination s’explique en partie par le fait que les criminels cherchent à exploiter les appareils IoT ou les individus qui apprennent à distance. Gh0st continue toutefois de jouer un rôle important dans l’activité des botnets », affirme le rapport. L’en-tête de signature HTTP (HTTP signature header), qui revendique la première place pour janvier et février, englobe une longue liste d’exploits visant les serveurs web. Pour donner quelques exemples concrets, les déclencheurs IPS qui ont enregistré le plus grand nombre d’alertes sont HTTP.Server.Authorization.Buffer.Overflow et HTTP.URI.Java.Overflow. et HTTP.URI.Java.Code.Injection, tandis que HTTP.Header.SQL.Injection et HTTP.URI.SQL.injection ont été détectés par le plus grand nombre d’organisations.
Rançongiciels-as-a-Service stimule les attaques
Cependant, l’augmentation la plus spectaculaire a été celle des rançongiciels, dont le nombre a plus que décuplé au cours des 12 derniers mois. Ce phénomène est alimenté, en partie, par la croissance continue du Rançongiciels-as-a-Service (RaaS). Outre la location de rançongiciels, certains opérateurs ont commencé à vendre l’accès à des réseaux d’entreprise compromis, facilitant ainsi la tâche des criminels moins techniques.
Les organisations du secteur des télécommunications ont été les plus visées au cours du premier semestre 2021, suivies par les agences gouvernementales, les fournisseurs de services de sécurité gérés, l’automobile et les secteurs manufacturiers. Parmi les attaques les plus spectaculaires, celle sur Colonial Pipeline constitue un exemple d’effraction sur les secteurs d’importance vitale, de plus en plus visés par les cybercriminels. Elle a perturbé la distribution de carburant sur la côte Est des États-Unis. L’attaque de JBS Foods aussi, qui a suscité des inquiétudes quant à une pénurie mondiale de viande. Enfin, l’attaque de la chaîne d’approvisionnement de Kaseya qui a eu des répercussions sur les clients en aval.
Les attaquants combinent les menaces pour se faire payer
Mais ce n’est pas seulement le volume des attaques par ransomware qui a augmenté, mais aussi leur férocité. Les cybercriminels multiplient les menaces pour créer la confusion et la panique et inciter leurs victimes à payer. Ils combinent notamment le chiffrement avec le doxing (la menace d’exposer publiquement des données internes), ajoutent une attaque DDoS pour créer une confusion et une panique supplémentaires et, désormais, s’adressent directement aux clients et aux contacts de la victime pour qu’ils exercent une pression supplémentaire sur celle-ci afin qu’elle paie.
Malgré cette recrudescence du nombre et de la férocité des attaques, le tableau dressé par l’étude n’est pas si noir. La riposte s’organise et une dynamique de coopération entre les organismes publics et les entreprises s’est enclenchée.
Le gouvernement américain a annoncé la création d’un groupe de travail intergouvernemental chargé d’élaborer et de coordonner des mesures défensives et offensives contre les ransomwares. Dans le même temps, Interpol et le Centre pour la cybersécurité du Forum économique mondial ont entamé des dialogues internationaux sur le dépassement des limites géopolitiques afin de permettre une coopération accrue et améliorée pour détecter et arrêter les menaces et les organisations cybercriminelles.
« Les mesures prises par le secteur public et le secteur privé au cours du premier semestre de 2021 pourraient changer la donne, précise le rapport. Les organisations du secteur public s’associent désormais avec les fournisseurs de l’industrie, les organisations de renseignement sur les menaces et les organisations mondiales pour combiner les ressources et les renseignements sur les menaces en temps réel, afin de prendre des mesures directes contre les cyberadversaires ».
