Cybercriminalité : des attaques de plus en plus sophistiquées

Trafic avant et après l’exploit

Les cybercriminels mènent des phases  sur des jours spécifiques de la semaine. Après comparaison du volume de trafic web analysé lors de deux étapes de la chaîne de frappe : les activités en amont de l’exploit ont trois fois plus de chances d’avoir lieu pendant les jours travaillés que pendant le week-end.

L’exécution d’un exploit nécessite qu’un utilisateur réalise une action spécifique (ouvrir un email de phishing…), mais les activités de command-and-control peuvent s’effectuer à tout moment. Les cybercriminels tirent parti des opportunités dès que l’activité Internet est très importante.

Les infrastructures mutualisées sont ciblées 

Certaines menaces préfèrent les infrastructures communautaires à des infrastructures uniques ou dédiées :

• Près de 60% des menaces partagent a minima un domaine :

la majorité des botnets s’adosse à des infrastructures déjà établies

Il est rare qu’une menace tire parti d’un même domaine pour la phase amont de l’infection et pour le pilotage du trafic C&C en aval de l’exploit. En identifiant les menaces mutualisant leurs infrastructures, les entreprises peuvent anticiper certaines évolutions des malware et des botnets Share on X