Publié récemment, le « CyberThreat Report juin 2023 » du Centre de Recherche Avancée de Trellix, spécialiste de la cybersécurité et dans le XDR, met en avant les grandes tendances en matière d’acteurs malveillants et de méthodes d'attaque utilisées sur le premier trimestre 2023.
Les principales conclusions de ce rapport sont les suivantes :
- Les groupes APT liés à la Chine, dont Mustang Panda et UNC4191 ont généré 79 % des activités détectées. Trellix prévoit que les groupes APT poursuivront leurs activités de cyber espionnage et leurs cyberattaques perturbatrices en parallèle des opérations militaires.
- Les motivations des ransomwares sont principalement financières, comme en témoignent les secteurs de l'assurance (20 %) et des services financiers (17 %) qui ont détecté le plus grand nombre d'attaques.
Cobalt Strike au top
Ces organisations plus petites et moins connues ont tendance à mettre en place des mesures de sécurité moins robustes et manquent souvent de ressources - qu'il s'agisse de budget ou de compétences - pour surveiller et atténuer les menaces par elles-mêmes.Cela peut les rendre vulnérables aux attaques, qui peuvent se propager en amont de la chaîne d'approvisionnement.
- Cobalt Strike suscite toujours plus d’intérêt en tant qu'outil utilisé et favorisé par les cybercriminels et les acteurs du ransomware. Trellix a détecté l’usage de Cobalt Strike dans 35 % des activités d'États-nations et 28 % des incidents de ransomware, soit près de deux fois plus qu'au quatrième trimestre 2022.
- Les attaques d'infrastructure du Cloud contre des services d'Amazon, de Microsoft, de Google et d'autres continuent d'augmenter. Bien que les attaques plus sophistiquées avec MFA, Proxies et API Execution continuent de se développer, la technique d'attaque dominante reste les comptes valides, avec deux fois plus de détections que tout autre vecteur d'attaque.
CVE plus anciens
Ce rapport souligne également que la majorité des vulnérabilités et des bugs les plus critiques consistaient en des contournements de correctifs pour des CVE plus anciens, des bugs de la chaîne d'approvisionnement résultant de l'utilisation d'anciennes bibliothèques, ou des vulnérabilités corrigées depuis longtemps qui n'ont jamais été correctement mises à jour et corrigées.Par exemple, une vulnérabilité d'Apple divulguée en février de cette année avait des racines aussi anciennes que l'exploit FORCEDENTRY divulgué en 2021.