Sophos, un leader mondial de la cybersécurité de nouvelle génération, a publié aujourd'hui "Livre de jeu de l'adversaire actif 2022 ", le rapport qui résume les comportements cybercriminels observés sur le terrain par l'équipe Sophos Rapid Response au cours de l'année 2021.
Les données qui ont émergé de la recherche indiquent une Augmentation de 36 % de la durée pendant laquelle les cybercriminels restent dans les systèmes concernés en 2021 avec une médiane de 15 jours contre 11 en 2020.
Le rapport met également en évidence l'impact des vulnérabilités ProxyShell au sein de Microsoft Exchange, qui, selon Sophos, sont exploitées par certains courtiers d'accès initial (IAB) pour violer les réseaux, puis revendre leur accès à d'autres.
« Le monde de la cybercriminalité est devenu incroyablement diversifié et spécialisé. La Courtier d'accès initial (qui fournissent à l'industrie de la cybercriminalité un accès aux systèmes informatiques des entreprises) ont développé une véritable industrie qui pirate une cible, explore son environnement informatique ou installe une porte dérobée, puis revend l'accès aux gangs qui s'en occupent. ransomware explique John Shier, conseiller sécurité senior Sophos. « Dans ce scénario de plus en plus dynamique et spécialisé, il peut être difficile pour les entreprises de suivre le rythme de l'évolution des outils et des approches utilisés par les cybercriminels. Il est essentiel que le défenseur sache ce qu'il faut rechercher à chaque étape de la séquence d'attaque, afin qu'il puisse détecter et neutraliser au plus vite les tentatives de brèche ».
"Les cybercriminels accordent plus de valeur aux grandes entreprises, ils sont donc plus motivés pour entrer, faire ce qu'ils ont à faire, puis sortir. Les petites entreprises ont une « valeur » perçue plus faible, de sorte que les attaquants peuvent se permettre de rester à l'intérieur du réseau pendant de plus longues périodes. Il est également possible que dans ces cas, les attaquants soient moins expérimentés et prennent donc plus de temps pour comprendre quoi faire une fois à l'intérieur du réseau. Les petites entreprises ont également généralement moins de visibilité sur les séquences d'attaques et ont par conséquent plus de mal à détecter et à neutraliser les failles, prolongeant ainsi la présence des cybercriminels », commente Shier. "Avec les opportunités découlant des vulnérabilités non résolues ProxyLogon et ProxyShell et la propagation des courtiers d'accès initiaux, nous recherchons de plus en plus plusieurs attaquants au sein de la même victime. S'il y a plus de criminels dans un réseau, chacun d'eux voudra agir le plus vite possible pour battre la concurrence à temps ».
"Les signes qui doivent alerter les responsables de la sécurité informatique incluent la détection d'un outil, d'une combinaison d'outils ou d'activités à un point inattendu du réseau ou à un moment inattendu", explique Shier. « Il convient de se rappeler qu'il peut y avoir des moments où l'activité est faible ou inexistante, mais cela ne signifie pas qu'une entreprise n'a pas été piratée. Il y a probablement, par exemple, beaucoup plus de violations ProxyLogon ou ProxyShell que celles connues actuellement, où des shells Web et des portes dérobées ont été installés pour obtenir un accès persistant et qui restent actuellement inactifs jusqu'à ce que l'accès soit utilisé ou revendu à d'autres. . Des correctifs doivent être appliqués pour corriger les bogues critiques, en particulier dans les logiciels populaires et, en priorité, renforcer la sécurité des services d'accès à distance. Jusqu'à ce que les points d'entrée exposés soient fermés et que tout ce que les attaquants ont fait pour établir et maintenir l'accès soit éradiqué, n'importe qui pourra entrer avec eux, et le fera probablement ».
Les secteurs les plus représentés sont l'industrie (17%), le commerce (14%), la santé (13%), l'informatique (9%), la construction (8%) et l'école (6%).
L'objectif du rapport Sophos est d'aider les responsables de la cybersécurité à comprendre ce que font leurs adversaires lors d'attaques et comment détecter et se protéger des activités malveillantes circulant sur le réseau. Pour plus d'informations sur les comportements, les outils et les techniques des cybercriminels, consultez le Sophos Active Adversary Playbook 2022 sur Sophos News.
Des millions de personnes paient pour des services de streaming en payant des frais d’abonnement mensuels. Il est communément admis que vous…
Coveware by Veeam continuera à fournir des services de réponse aux incidents de cyberextorsion. Coveware offrira des capacités d’investigation et de remédiation…
La maintenance prédictive révolutionne le secteur pétrolier et gazier, avec une approche innovante et proactive de la gestion des installations.…
La CMA britannique a émis un avertissement concernant le comportement des Big Tech sur le marché de l'intelligence artificielle. Là…