Palo Alto Networks met en garde : les cybercriminels sont de plus en plus rapides, notamment pour exploiter les failles zero-day qui viennent d’être révélées.
Dans son rapport 2022 portant sur 600 cas de réponse aux incidents, l’entreprise indique que les attaquants commencent généralement à rechercher comment exploiter une vulnérabilité dans les 15 minutes suivant sa divulgation.
Une exploitation rapide des failles divulguées
Parmi les failles de sécurité analysées, on trouve celles qui ont beaucoup fait parler d’elles en 2021, parmi lesquelles celles des serveurs Exchange ProxyShell et ProxyLogon, les persistantes failles Apache Log4j, alias Log4Shell, les failles zero-day SonicWall et Zoho ManageEngine ADSelfService Plus.
« Chaque fois qu’une nouvelle vulnérabilité est rendue publique, notre équipe de renseignement sur les menaces observe un balayage généralisé des systèmes vulnérables », indique l’entreprise dans son enquête 2022 sur les réponses à incident.
On retrouve aussi la faille critique de F5, dans son logiciel Big-IP, qui a poussé des attaquants à rechercher rapidement sur internet les appareils concernés. Palo Alto Networks a noté 2 500 analyses de la vulnérabilité dans les 10 heures qui ont suivi le déploiement d’une signature pour cette dernière. L’agence de cybersécurité américaine CISA a ajouté cette faille de sécurité à son catalogue croissant des vulnérabilités exploitées connues en mai dernier.
Le phishing et l’exploitation de vulnérabilités au coude à coude
Si le hameçonnage reste la principale méthode pour accéder à un réseau au départ, dans 37 % des cas analysés de réponses à incident, les vulnérabilités logicielles sont juste derrière, représentant 31 % des cas.
Suivent les attaques par force brute contre les données d’authentification (comme le password spraying), qui représentent 9 % des attaques. Puis des catégories d’attaques moins répandues, comme l’utilisation de données d’authentification déjà compromises (6 %), les menaces internes (5 %), l’ingénierie sociale (5 %) et l’abus de relations ou d’outils de confiance (4 %).
Plus de 87 % des failles identifiées comme étant la source de l’accès initial entrent dans l’une des six catégories de vulnérabilité.
L’importance des failles de sécurité Exchange
Les failles d’accès initial les plus courantes ont été les failles des serveurs Exchange ProxyShell, dans 55 % des cas. Microsoft s’est empressé d’appliquer des correctifs pour ProxyShell et les failles connexes ProxyLogon au début de l’année 2021, mais ces failles sont devenues la cible principale de nombreux cybercriminels, et notamment le groupe de ransomware Hive.
Log4j n’a représenté que 14 % des cas examinés par Palo Alto. Elle est suivie par les failles de SonicWall (7 %), ProxyLogon (5 %), Zoho ManageEngine (4 %) et FortiNet (3 %). Les autres vulnérabilités constituent les 13 % restants.
Si l’on considère uniquement les réponses à incident impliquant des ransomwares, le cabinet a constaté que 22 % d’entre eux provenaient du gang Conti, qui a été victime de fuites cette année, suivi par LockBit 2.0 (14 %). Les autres gangs de ransomwares représentent moins de 10 % chacun : Hive, Dharma, PYSA, Phobos, ALPHV/BlackCat, REvil et BlackMatter.
Le nombre de cybercriminels non qualifiés devrait augmenter
Palo Alto Networks prévoit également une augmentation du nombre d’attaques impliquant des acteurs non qualifiés, favorisée à la fois par l’attrait d’attaques au ransomware lucratives, de facilité d’extorsion sans chiffrement, mais aussi par les pressions économiques partout dans le monde.
Les succès des forces de l’ordre dans la traçabilité des portefeuilles de cryptomonnaies utilisés par des cybercriminels, ainsi que l’instabilité de ces monnaies virtuelles, pourraient conduire à une augmentation des fraudes liées à la compromission d’e-mails (attaques BEC). Ces attaques, nommées BEC pour « Business Email Compromise », représentent 43 milliards de dollars de recettes pour leurs opérateurs. Tout aussi menaçantes, ces attaques sont pourtant moins médiatisées que les attaques au ransomware.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));