Le dernier rapport annuel sur les menaces de CrowdStrike révèle une recrudescence des ransomwares et une évolution de l’écosystème de la cybercriminalité.

L’édition 2022 du « Global Threat Report » de CrowdStrike Holdings consacre une large part aux ransomwares. Il précise que ces codes malveillants sont de plus en plus en plus à l’origine de fuites de données. Dans la plupart des cas, elles sont définitivement perdues.

CrowdStrike avance même le chiffre de 82 % d’augmentation au travers de 2 686 attaques au 31 décembre 2021 (contre 1 474 en 2020).Le pire est à venir…

Les activités cybercriminelles à motivation financières continuent donc de dominer les tentatives d’intrusion interactives suivies par CrowdStrike OverWatch. Les pirates exploitent de plus en plus les informations d’authentification et les identités volées d’utilisateurs pour contourner les solutions de sécurité existantes.

Les intrusions attribuées au eCrime représentent près de la moitié (49 %) de l’activité observée avec en moyenne plus de 50 campagnes de ransomware ciblées par semaine. Les demandes de rançon liées aux ransomwares s’élevaient en moyenne à 6,1 millions de dollars, soit une hausse de 36 % par rapport à 2020.

Ce 8ème rapport annuel sur les menaces mondiales présente également en détail les nouvelles opérations et techniques exploitées par quatre grands pays (l’Iran, la Chine, la Russie et la Corée du Nord).

Microsoft Exchange : nouvelle cible

Les adversaires basés en Iran adoptent l’utilisation des ransomwares ainsi que les opérations d’information perturbatrices de type « verrouillage et fuite » (lock-and-leak). Ils exploitent les ransomwares pour chiffrer les réseaux cibles et ensuite divulguer les informations des victimes via des identités ou des entités contrôlées.

En 2021, les acteurs de China-nexus se sont imposés comme les leaders de l’exploitation d’une douzaine de vulnérabilités et ont changé de tactique pour cibler de plus en plus les appareils et services tournés vers Internet, comme Microsoft Exchange.

De son côté, COZY BEAR, un adversaire proche de la Russie, étend son ciblage des actifs informatiques aux fournisseurs de services cloud afin d’exploiter les relations de confiance et d’accéder à d’autres cibles par des mouvements latéraux.

Quant à FANCY BEAR, il a accru son recours des tactiques de collecte d’informations d’authentification, en exploitant à la fois des techniques d’analyse à grande échelle et des sites de phishing avec un ciblage personnalisé aux victimes.

Enfin, la République populaire démocratique de Corée (RPDC) a ciblé des organismes liés aux crypto-monnaies afin de continuer à générer des revenus illicites en profitant des perturbations économiques causées par la pandémie de Covid-19.