En s’appuyant sur la télémétrie des plateformes NDR et CTI de Gatewatcher, ce rapport passe en revue l’activité cyber sur la période : malwares les plus employés par les cyberattaquants, principales techniques mises en œuvre, groupes de threat actors les plus actifs, secteurs d’activités particulièrement ciblés.
Dans la continuité du début d’année 2021,Gatewatcher constate que les exécutables Linux (ELF) et Windows (PE) sont toujours privilégiés par les cyberattaquants, avec une large prévalence de l’univers de Microsoft qui prend la tête du classement sur ce second semestre. L’OS de l’éditeur de Redmond étant largement répandu, cet intérêt est donc logique.
Mais le CTSR précise aussi que Microsoft n’est pas parvenue à réduire suffisamment la surface d’attaque sur son système d’exploitation phare, et ceci en dépit de quelques initiatives concernant la suite bureautique MS Office.
Cyberespionnage
Détaillons maintenant les principaux enseignements sont les suivants :Russes et Chinois dans le Top des threat actors
Enrichi pour la première fois d’un « Top 10 » des groupes de cybercriminels (threat actors) les plus observés, le CTSR révèle une prééminence, peu surprenante, des groupes russes et chinois.Le groupe russe Wizard Spider domine le classement, suivi par le groupe nigérian SilverTerrier et le Nord-Coréen Lazarus. Des acteurs menant des actions de cyber-espionnage, visant principalement des secteurs critiques comme la défense, les gouvernements ou encore l'énergie clôturent le classement.
Le secteur bancaire : cible privilégiée
Si ce rapport révèle une diminution du nombre de cybermenaces ciblant le secteur des crypto-monnaies - diminution concomitante à la chute de ces actifs -, et la réduction du phishing ciblant les clients des plateformes d’échanges concernées, les banques sont dans le viseur des cybercriminels.
Il est suivi par le secteur des technologies puis le secteur du fret et de la logistique, en troisième position. Le rapport observe par ailleurs la présence des attaques visant les gouvernements, telles que celles menées par des hacktivistes, à l’image des attaques qui ont visé les gouvernements iranien et chinois en septembre et juillet 2022.
Les fichiers HTML de nouveau appréciés
Absents du dernier rapport (janvier-juin 2022), rejoignent le haut du podium et l’écosystème du cybercrime. Ces derniers peuvent être utilisés dans le but de contourner les passerelles de courrier électronique (email gateways), qui garantissent généralement un certain niveau de sécurité à l'usager en filtrant les courriels potentiellement malveillants ou indésirables d’une boîte de réception.Botnet Mirai
Le rapport se penche également sur une cybermenace plus anecdotique : les fichiers peu connus tel que Hangul (HWP), utilisés pour la compromission d’un poste de travail.
Mirai toujours au Top
Le top des malwares est tenu par Mirai, suivi par Qbot, l'un des plus anciens malwares encore actifs, qui remonte le classement. Le CTSR apporte également un éclairage concernant la persistance du ransomware Wannacry.La lecture de rapport rappelle que les cybermenaces restent globalement stables sur la période étudiée. Et l’argent, l’espionnage ou l’hacktivisme restent toujours les principales motivations des cybercriminels.
