Le paysage des rançongiciels continue d’évoluer de manière dynamique, reflétant l’agilité et la sophistication des méthodes et des approches des cybercriminels. Les données d’un rapport récemment publié par WithSecure montrent une transformation notable dans les tactiques utilisées par ces acteurs malveillants, s’accompagnant de nouvelles menaces pour les entreprises et les organismes publics.
Selon le rapport, les tendances actuelles indiquent que les attaquants sont prêts à exploiter la moindre occasion pour maximiser leur impact et contourner les mesures de sécurité mises en place par les entreprises. Il est vrai qu’ils sont aidés par des facteurs extérieurs liés à l’évolution des technologies du numérique en entreprise.
Le cloud et la complexité croissante des infrastructures, généralement distribuées, présentent des environnements de plus en plus complexes et difficiles à protéger. De leur côté, les techniques d’ingénierie sociale évoluent, rendant les messages pièges plus convaincants. Les vulnérabilités, ainsi que les failles de sécurité dans les systèmes de gestion des identités et des accès, sont également très visées.
La disponibilité d’outils d’hameçonnage en tant que service (PhaaS) a permis à des acteurs avec peu d’expérience de lancer des campagnes sophistiquées. Ces services offrent des modèles, des scripts et des infrastructures prêtes à l’emploi, rendant l’hameçonnage accessible à un plus grand nombre de cybercriminels.
L’utilisation accrue d’outils détournés de leurs usages
L’une des évolutions les plus marquantes de cette année est l’utilisation accrue d’outils à double usage. Les cybercriminels exploitent désormais des outils légitimes de gestion à distance tels qu’AnyDesk et TeamViewer, qui sont de plus en plus difficiles à détecter pour les systèmes de sécurité.Ces outils, en se fondant dans la télémétrie légitime des organisations, deviennent presque invisibles, rendant leur détection plus complexe. Par exemple, des outils comme PDQ Connect et rclone sont utilisés non seulement pour l’accès à distance, mais aussi pour l’exfiltration de données, contournant ainsi les mesures de protection traditionnelles.
Par ailleurs, le ciblage des services cloud est une autre tendance alarmante en 2024. Avec la migration massive des entreprises vers des environnements cloud, les cybercriminels exploitent les vulnérabilités dans les systèmes de gestion des identités et des accès pour infiltrer ces infrastructures.
Les attaques par force brute sur les dispositifs VPN ont également connu une augmentation notable, soutenues par une hausse des activités de « credential stuffing ». Ces attaques sur les systèmes cloud montrent une adaptation des cybercriminels aux nouvelles réalités technologiques, rendant les infrastructures cloud plus vulnérables que jamais.
Exploiter les vulnérabilités connues en priorité
Un autre changement significatif dans les tactiques des acteurs de la menace concerne les vecteurs d’accès initial. Environ 45 % des incidents de rançongiciel en 2024 résultent désormais de l’exploitation d’applications accessibles au public, ce qui marque une rupture avec les méthodes plus traditionnelles comme l’hameçonnage.Cette tendance indique que les cybercriminels préfèrent de plus en plus exploiter des vulnérabilités connues plutôt que de se reposer sur des techniques d’ingénierie sociale, soulignant ainsi la nécessité pour les entreprises de maintenir leurs systèmes à jour et de corriger rapidement les failles de sécurité.
Le vol de données, quant à lui, devient une stratégie privilégiée par de nombreux groupes de rançongiciels. Plutôt que de se concentrer uniquement sur le chiffrement des données, ces acteurs adoptent une approche d’extorsion à double facteur.
En menaçant de divulguer les données volées, ils augmentent la pression sur leurs victimes, ce qui peut s’avérer plus efficace que le simple chiffrement, notamment contre les entreprises dotées de systèmes de sauvegarde robustes. Cette méthode montre un raffinement des tactiques d’extorsion, où le vol de données devient un levier de négociation puissant pour les cybercriminels.
Les PME/TPE de plus en plus ciblées
Les petites et moyennes entreprises (PME) sont également de plus en plus ciblées en 2024. Le manque de ressources et d’expertise en cybersécurité fait des PME des cibles attrayantes pour les cybercriminels. Cette année, le rapport observe une augmentation significative du nombre de PME figurant parmi les victimes affichées sur les sites de fuite de données.Ce déplacement de l’attention des grandes entreprises vers des cibles plus petites, mais plus nombreuses souligne une stratégie des cybercriminels visant à multiplier les tentatives d’extorsion pour maximiser leurs gains.
Enfin, le « catalogue produit » des rançongiciels continue de se diversifier. Le nombre de marques uniques de rançongiciels ne cesse de croître, avec une tendance des affiliés à se regrouper autour de marques plus établies. Cette consolidation au sein de l’écosystème des rançongiciels témoigne des efforts de ces groupes pour maintenir leur efficacité opérationnelle, malgré la pression croissante des forces de l’ordre.
Par exemple, Lockbit, une marque de rançongiciel bien connue, est actuellement en phase de reconstruction après des perturbations, ses auteurs cherchant à renforcer leurs opérations pour rester compétitifs.
Ces facteurs combinés ont contribué à rendre les tactiques d’hameçonnage plus sophistiquées et difficiles à détecter, posant ainsi un défi croissant pour les organisations cherchant à protéger leurs systèmes et leurs données contre ces menaces.