Le rapport d’Eset, enrichi par les données de télémétrie de l’éditeur et les analyses d’experts en cybersécurité, met en lumière des incidents significatifs et des menaces croissantes, notamment dans les domaines des rançongiciels, de l’Internet des Objets, de l’intelligence artificielle et des logiciels espions sur Android. Le rapport d’Eset démontre une évolution complexe et inquiétante des cybermenaces, soulignant l’importance pour les individus et les organisations de rester vigilants et de renforcer leurs mesures de cybersécurité face à ces menaces diversifiées.
Le groupe de cybercriminels Cl0p, reconnu pour ses attaques par rançongiciels à grande échelle, a marqué cette période avec une nouvelle tactique. Il a exploité MOVEit, l’outil de transfert sécurisé de fichiers, pour des attaques qui ne déployaient pas de rançongiciel, un changement notable par rapport à leurs méthodes habituelles. L’attaque exploite une vulnérabilité zero-day dans le logiciel MOVEit, qui permet à un attaquant non authentifié d’accéder à la base de données de l’application. Une fois qu’il a accès à la base de données, l’attaquant peut voler des données sensibles, telles que des informations personnelles, des informations financières ou des données commerciales confidentielles.
« Le rançongiciel Cl0p a ciblé de nombreuses organisations, y compris des multinationales et des agences gouvernementales américaines. Principal changement dans son comportement est la divulgation des informations volées sur des sites Web publics, dans les cas où la rançon n’était pas payée. Cette tendance a également été observée avec le gang de rançongiciels ALPHV », explique Jiří Kropáč, directeur de la détection des menaces chez Eset.
IoT et IA dans la ligne de mire
Dans le domaine de l’IoT, les chercheurs d’Eset ont réussi à neutraliser le botnet IoT Mozi. Ce dernier, découvert en 2019, est un réseau de millions d’appareils Internet des objets (IoT) infectés par un malware. Il est principalement composé d’appareils IoT chinois, tels que des caméras de sécurité, des thermostats et des routeurs. Mozi est utilisé pour lancer des attaques par déni de service (DDoS), des attaques par hameçonnage et d’autres types d’attaques. Il est capable de se propager à d’autres appareils IoT via des ports ouverts et des vulnérabilités connues.En 2023, les chercheurs d’Eset ont découvert un bouton d’urgence (kill switch) dans le code du maliciel. Il permet de désactiver le malware à distance. Eset a utilisé et partagé ce bouton pour désactiver le botnet, ce qui a mis fin aux attaques qu’il menait.
Par ailleurs, l’utilisation massive des outils d’intelligence artificielle n’est pas passée inaperçue pour les cybermalfaiteurs. Eset a détecté des campagnes spécifiques ciblant les utilisateurs d’outils d’IA comme ChatGPT et OpenAI. Benoît Grunemwald, Expert en cybersécurité chez Eset France, rapporte que plus de 650 000 tentatives d’accès à des domaines malveillants imitant ChatGPT ont été bloquées. Ces sites avaient pour objectifs de voler des clés de l’API d’OpenAI et de promouvoir de fausses extensions de navigateur.
Menées par des cybercriminels chevronnés, ces campagnes utilisent des techniques sophistiquées, telles que l’hameçonnage et les attaque par logiciels malveillants ciblés. Les cibles de ces campagnes sont souvent des développeurs ou des personnes qui utilisent des outils d’IA à des fins professionnelles.
Menaces croissantes sur Android
Dans un monde « mobile first », les smartphones sont devenus une cible de choix pour les cybercriminels. Ils représentent une porte d’entrée qui donne aussi bien sur la vie privée que professionnelle, allant du vol d’identité à l’espionnage en passant par le vol de données financières et des transactions frauduleuses.Parmi ces risques, Eset a noté une augmentation significative de l’activité malveillante utilisant des logiciels espions pour les smartphones sous Android. Parmi ceux-ci, SpinOK est distribué sous forme de kit de développement logiciel (SDK). Les développeurs d’applications pour Android l’utilisent dans des applications certifiées pour collecter des données sur les utilisateurs (localisation, contacts, navigation, micro et caméra…).
Pour les usages détournés, SpinOK fonctionne en se cachant dans les applications Android. Une fois qu’une application contenant SpinOK est installée, le maliciel commence à collecter des données sur l’utilisateur. Celles-ci sont ensuite transmises à un serveur contrôlé par les cybercriminels.
Pandora s’attaque à tout appareil sous Android
De plus, une nouvelle menace, nommée Android/Pandora, a compromis une gamme d’appareils Android, y compris des téléviseurs connectés, des boîtiers TV et des appareils mobiles, les utilisant pour lancer des attaques DDoS. Pandora a été découvert pour la première fois par les chercheurs d’Eset, qui ont publié un rapport en juin 2023.Le rapport d’Eset a révélé que Pandora exploite une vulnérabilité connue pour infecter les appareils Android. Une fois un appareil infecté, le maliciel commence à collecter des informations sur l’appareil, telles que son adresse IP, son modèle et la version du système d’exploitation. Ces informations sont ensuite utilisées pour identifier d’autres appareils Android vulnérables.
