Trend Micro Incorporated, leader mondial de la cybersécurité, dévoile les résultats de son rapport annuel de sécurité pour l’année 2023. Intitulé ‘Calibrating Expansion : Annual Cybersecurity Threat Report’, ce dernier fait notamment état d’une augmentation annuelle du volume de menaces bloquées par Trend sur la période : + 10 %. Il avertit également sur l’évolution du modus operandi des assaillants, qui utilisent des méthodes d’attaques plus avancées pour cibler moins de victimes tout en réalisant des gains financiers potentiellement plus importants.
« Nous bloquons de plus en plus de menaces pour nos clients. Mais il faut comprendre que les assaillants ont fait preuve de variété et de sophistication dans la nature de leurs attaques, en particulier dans l’évasion de la défense. Comme l’illustre notre rapport, les défenseurs doivent continuer à gérer les risques de manière proactive sur l’ensemble de la surface d’attaque. Comprendre les stratégies privilégiées par les acteurs de la menace est la base d’une défense efficace », commente Jon Clay, VP of threat intelligence, chez Trend.
Au cours de l’année 2023, Trend Micro a bloqué 161 milliards de menaces, un volume qui a doublé en cinq ans. Toutefois, les services de réputation email (ERS) et web (WRS) de Trend ont enregistré une baisse de blocages de 47% et 2% respectivement. Le nombre de menaces bloquées par le service de réputation d’applications mobiles (MARS) (-2%), par Trend Micro Home Network Security (-12%) , par le service de réputation IoT (-64%) est lui aussi en baisse. Trend observe cependant une augmentation annuelle de 35 % des menaces bloquées par le service de réputation de fichiers (FRS).
Un constat qui laisse à penser que les assaillants choisissent leurs cibles avec plus de soin. Outre le fait de lancer des attaques contre un grand nombre d’utilisateurs, et de miser sur de l’ingénierie sociale, pour que les victimes cliquent sur des liens malveillants à travers de courriers électroniques, ou de sites web compromis, ils semblent aussi cibler un nombre plus restreint de victimes, au profil plus attractif, avec des attaques plus sophistiquées pour un gain maximisé. Une approche qui pourrait leur permettre de contourner les défenses périmétriques, et expliquerait l’augmentation des détections de fichiers malveillants au niveau des endpoints.
Les principales tendances observées en 2023 et révélées par le rapport de Trend Micro :
Les groupes APT ont fait preuve de variété et de sophistication dans leurs attaques, notamment en matière de techniques d’évasion des défenses.
+ 349 % de malwares envoyés par e-mail détectés et une baisse de près d’un tiers (27 %) de détection d’URL malveillantes et de phishing par rapport à l’année précédente. Des chiffres qui démontrent que l’utilisation de pièces jointes vérolées s’est accrue.
La détection d’attaque BEC a augmenté de 16 % par rapport à 2022.
Le volume annuel de ransomware détectés a chuté de 14 %. Une fois de plus, l’augmentation de détections par le service de réputation de fichiers (FRS) peut indiquer que les assaillants s’améliorent et parviennent à échapper à une détection basique grâce à des techniques telles que les Living-Off-The-Land Binaries and Scripts (LOLBINs/LOLBAs), Bring Your Own Vulnerable Driver (BYOVD), les exploits Zero-Day et l’arrêt de l’antivirus.
Parmi les attaques par ransomware détectées, celles ciblant Linux et MacOS représentent 8 % à elles seules.
Une augmentation du chiffrement à distance, du contournement de l’EDR à l’aide de machines virtuelles non surveillées, et des attaques par ransomwares multiples lors desquelles les victimes sont touchées plus d’une fois. Les assaillants ont reconnu que le système EDR constituait une défense redoutable, et qu’ils utilisent désormais des techniques de contournement.
Les groupes de ransomware tirent également le meilleur parti du chiffrement intermittent. Ils chiffrent des morceaux de données au lieu de l’intégralité des données en une seule fois. Ce processus accélère le chiffrement tout en rendant les données affectées inutilisables pour la victime, et complique le processus de déchiffrement.
La Thaïlande et les États-Unis sont les deux principaux pays victimes de ransomwares. D’un point de vue sectoriel, le secteur bancaire est le plus touché à l’échelle mondiale.
Les cinq principales techniques MITRE ATT&CK utilisées ont été « defense evasion », « command and control », « initial access », « persistence » et « impact ».
L’accès aux applications cloud risquées a été le principal événement détecté par la technologie d’analyse du risque de la surface d’attaque (ASRM) de Trend, observé près de 83 milliards de fois.
Le programme Zero Day Initiative (ZDI)de Trend a permis de découvrir et de divulguer de manière responsable 1914 attaques ‘zero day’ (+ 12 % vs 2022), dont 111 bugs d’Adobe Acrobat et Adobe Reader. En nombre de vulnérabilités remontées par la ZDI, Adobe s’est retrouvé en première position et les fichiers PDF ont été les plus utilisés comme pièces jointes, lors des campagnes de spam.
Mimikatz, utilisé pour la collecte de données, et Cobalt Strike, utilisé comme Command and Control, demeurent des outils légitimes privilégiés et détournés pour faciliter les activités criminelles.
A l’issue de la publication de son rapport annuel de l’état de la cybersécurité, Trend conseille aux personnes en charge de la protection du système d’information de :
Travailler avec des éditeurs de confiance ayant une approche de la cybersécurité à travers une plateforme unique de services (consolidés) pour s’assurer que les ressources sont non seulement protégées mais aussi surveillées en permanence pour détecter de nouvelles vulnérabilités.
Donner la priorité à l’efficacité du SOC en surveillant attentivement les applications cloud, de plus en plus intégrées aux opérations quotidiennes.
S’assurer que les derniers correctifs et mises à jour sont appliqués aux systèmes d’exploitation et aux applications.
Utiliser des protocoles de sécurité complets pour se prémunir contre les vulnérabilités, renforcer les paramètres de configuration, contrôler l’accès aux applications et améliorer la sécurité des comptes et des machines. Chercher à détecter les attaques de ransomware plus tôt dans le cycle de vie de l’attaque lors de l’accès initial, dans la phase de mouvement latéral ou lors d l’exfiltration des données.