Le géant de la cybersécurité Mandiant, filiale de Google Cloud, vient de publier son bilan des tendances cyber. Un document qui se base sur les 450 000 heures d’interventions de ses experts réalisées en 2024 – par le passé, la firme a notamment travaillé sur le piratage de l’Etat de Hawaï ou encore sur la compromission de la plateforme cloud Snowflake.
Une base qui permet de produire des statistiques pointues.
Mandiant remarque par exemple, en matière de rançongiciels que les attaques par force brute constituent la première porte d’entrée (26%) des pirates avant le déploiement d’un rançongiciel.
Méthode toujours payante
Du « password spraying” – pulvérisation de mot de passe en français, avec le test de mots de passe simples sur plusieurs comptes et des tentatives s’étalant dans le temps pour éviter d’être détecté, aux périphériques compromis à cause d’identifiants restés par défaut, la méthode est toujours aussi payante. Outre ces attaques par force brute, les identifiants volés (21%) ou l’utilisation d’une faille (21% également) constituent les deux autres portes d’entrée les plus utilisées.
Une hiérachie spécifique au rançongiciel. Ainsi, tout type de piratages confondus, les hackers malveillants passent d’abord par l’exploitation d’une vulnérabilité (33%), des identifiants volés (16%) puis par du hameçonnage (14%). Un phishing, observe Mandiant, en recul depuis ses deux précédentes enquêtes (17% en 2023, 22% en 2022).
Pour la filiale de Google Cloud, son niveau toujours élevé rappelle qu’il y a encore des efforts à faire en matière de diffusion de l’authentification à plusieurs facteurs. Reste que les pirates peuvent obtenir les identifiants convoités également en les achetant sur des marchés noirs ou en fouinant dans les bases de données des infostealers, ces programmes espions.
Vulnérabilités les plus utilisées
A l’instar de l’Anssi qui déplore une part importante de son activité due à des piratages passés par des équipements de sécurité, Mandiant signale les trois vulnérabilités du moment, désormais bien connues, les plus exploitées par des attaquants. Sans surprise, on retrouve la faille (CVE-2024-3400) visant l’un des logiciels de Palo Alto Networks. Celle-ci a été exploitée par « une douzaine de groupes », dont un affilié du groupe Ransomhub, dans les deux semaines ayant suivi sa divulgation, le 12 avril 2024.
Les failles touchant les produits Ivanti (CVE-2023-46805 et CVE-2024-21887) suivent ensuite. Mandiant signale pour cette vulnérabilité, sur laquelle elle a planché, une exploitation dès décembre 2023 par un groupe apparenté au cyberespionnage chinois.
Enfin, la vulnérabilité d’injection SQL CVE-2023-48788 visant l’un des produits Fortinet clôture ce top 3. Là aussi, Mandiant a observé des tentatives d’exploitation de la faille dans les deux semaines suivant sa divulgation. La vulnérabilité a notamment permis à l’automne 2024 le déploiement d’un rançongiciel, Snakebite, et le vol de données, chez une victime, à l’identité, comme cela est d’usage, non précisée.