Les tendances des principales menaces déjà présentes en 2023 ont perduré au début de cette année. Le délai de résolution des incidents est plus important dans le secteur de l’OT (Opérational Technology) à savoir l’industrie que dans l’IT (organisations publiques et privées). L’usage de l’IA continue sa progression permettant une réduction du temps moyen de résolution des incidents (MTTR) de 7 minutes ou moins.
Au premier trimestre, la plus grande augmentation des menaces est celle de l’escalade des privilèges d’accès aux comptes et services avec une hausse très significative
de 7,1 % à 46,6 %.
Le phishing, le drive-by compromise (compromission d’un site web par du code malveillant) et l’exploitation de privilèges restent les principales techniques d’attaques. Le phishing figure parmi 27,2 % des incidents de sécurité critiques enregistrés par ReliaQuest.
Les LolBins (Living Off The Land Binaries) sont des fichiers légitimes de Microsoft tels Rundll32, Msiexec ou issus d’autres éditeurs de logiciels de confiance. Ils sont utilisés par les pirates pour compromettre une machine Windows. En 2023, ils étaient à l’origine d'une grande partie des incidents critiques soit 22.3 % d’entre eux.
Powershell, la solution d’automatisation des taches de Microsoft, est l’outil d’exécution des commandes préféré par les pirates. Il a été à l’origine de 19,4 % des incidents au 1er trimestre, alors qu'il occupait la troisième place au quatrième trimestre 2023.
L’obfuscation de commandes et l’utilisation abusive de Windows RunDLL32 en tête des méthodes de contournement des défenses
L’obfuscation des commandes consiste à rendre les commandes illisibles afin de tromper les systèmes de détection et rendre plus difficile l’analyse par les défenseurs. Cette menace est restée en tête des techniques d’attaques furtives dans 22,06 % des incidents. Les fichiers LNK qui sont une extension de fichier Windows, sont utilisés pour les raccourcis de fichiers et permettent aussi, après compromission, d’échapper aux défenses.L'utilisation abusive de l'utilitaire d’exécution Windows RunDLL32 se place également parmi les menaces furtives les plus nocives. Côté logiciels malveillants, SocGholish qui était relativement peu répandu au quatrième trimestre 2023 s'est hissé à la première place au premier trimestre de cette année. SocGholish est diffusé par le biais d'un compromis
drive-by, à savoir un « exploit » qui installe des logiciels malveillants sans que l’utilisateur réalise que sa machine est compromise.
D’où sa grande dangerosité. En l’occurrence ReliaQuest indique qu’il se fait passer pour une mise à jour du navigateur web mais il s’agit en réalité d'un fichier JavaScript malveillant. Ce malware a détrôné AsyncRAT, un cheval de Troie d'accès à distance, qui était en tête des malwares au dernier trimestre 2023.
Enfin, le phishing (hameçonnage) conserve toujours sa place de leader des menaces toutes catégories confondues, les liens de ce type de menace ont été utilisés en 2023
dans 71,1 % des incidents pour faciliter l'accès initial aux réseaux ou aux systèmes.
