Paysage des cybermenaces mondiales

Quelles sont les grandes tendances identifiées ?

Malwares : BlackCat, Conti et Hive parmi les plus répandus !

La majorité des malwares observés appartiennent à un petit nombre de familles de ransomwares d’outils prêts à l’emploi – “Commercial Off-the-shelf” COTS.

• BlackCat, Conti, Hive, Sodinokibi et Stop

Ce sont les familles de ransomwares les plus répandues identifiées par le biais de signatures, soit 81 % de l’activité des ransomwares.

• Les malwares “COTS” comme Metasploit et Cobalt Strike

Ils constituent 5,7 % des signatures observées. Sur Windows, ces familles représentent environ 68 % des tentatives d’intrusion.

• Les machines sous Linux les plus touchées

Environ 91 % des signatures de malwares proviennent de machines sous Linux (représentant 6% sur Windows).

Endpoints : les techniques d’exécution de code et le contournement des défenses privilégiées

Les entreprises doivent évaluer l’inviolabilité des capteurs de sécurité sur les endpoints et identifier les pilotes des périphériques vulnérables utilisés pour désactiver les technologies de sécurité.

• Exécution de code & Techniques de contournement

Cela représente plus de 70 % de toutes les alertes recensées sur les endpoints.

• Techniques discrètes

Les techniques les plus discrètes visent les appareils sous Windows, ciblent des attaquants et enregistrent 94 % des alertes liées à des comportements suspects, suivis de macOS à hauteur de 3 %.

• Collecte d’identifiants macOS

La collecte d’identifiants macOS (Credential Dumping) constitue 79 % des techniques de compromission des accès des attaquants, soit +9 % depuis l’année dernière.

Sécurité du cloud

Les acteurs malveillants profitent des mauvaises configurations, des contrôles d’accès laxistes, des identifiants non sécurisés et de l’absence de systèmes fonctionnels basés sur le principe du moindre privilège.

• Amazon Web Services

Les tactiques utilisées sont le contournement des défenses (Defense Evasion) 38 %, la compromission des identifiants d’accès – 37 % et l’exécution de code – 21 %. 

• Microsoft Azure

Parmi les événements recensant les compromissions d’accès, 53 % étaient liés à des comptes Microsoft Azure authentiques.

• Microsoft 365

Plus de 86 % des indicateurs de compromissions sont liés à l’utilisation d’identifiants d’accès.

• Google Cloud

85 % des indicateurs de détection de menaces dans Google Cloud étaient liés à la technique de contournement des défenses (Defense Evasion).

• Kubernetes

La découverte (Discovery) représentait 61 % des indicateurs relatifs à Kubernetes, liés à des demandes de compte de service inattendues ayant été rejetées.

Source Global Threat Report – Elastic Security Labs – 2eme édition