Les cybercriminels passent de plus en plus longtemps inaperçus sur le réseau de l'entreprise
Sophos Cybersecurity, Cyber Threat, Cyberangriffe
Les cybercriminels passent de plus en plus longtemps inaperçus dans les réseau d'entreprise
Sophos a publié son "Active Adversary Playbook 2022" a été publié. Il décrit en détail le comportement des cybercriminels que la Rapid Response Team observés par Sophos en 2021. Les études montrent une augmentation du temps de présence des cybercriminels dans les réseaux d'entreprises de 36 %. Le temps moyen passé sans être détecté séjour dans le réseau sans attaque majeure, comme un ransomware, est de 34 Le rapport montre également l'impact des ProxyShell dans Microsoft Exchange qui, selon Sophos, ont été exploitées par des certains Initial Access Brokers (IAB) ont été exploités pour pénétrer dans des réseaux s'infiltrer et vendre ensuite l'accès à d'autres cybercriminels.
"Le monde de la cybercriminalité est devenu incroyablement diversifié. et s'est spécialisé", explique John Shier, Senior Security Advisor chez Sophos. "Les Initial Access Brokers (IAB) ont créé leur propre industrie de la cybercriminalité. en s'introduisant dans une cible, en la repérant ou en installant une porte dérobée. installer une porte dérobée, puis fournir un accès clé en main à des vendre des gangs de ransomware pour leurs propres attaques. Dans ce contexte de plus en plus paysage dynamique et spécialisé des cybermenaces, il peut être difficile pour les difficile pour les entreprises de suivre les outils et les méthodes en constante évolution des attaquants. Il est important qu'elles sachent à quoi s'en tenir. à chaque étape de la chaîne d'attaque afin de pouvoir les neutraliser le plus rapidement possible. détecter et neutraliser le plus rapidement possible".
Une durée de rétention plus longue dans les petites entreprises et le secteur de l'éducation
Les recherches de Sophos montrent également que la durée de rétention des
des attaquants était plus longue dans les petites entreprises que dans les grandes.
Dans les entreprises comptant jusqu'à 250 employés, les cybercriminels ont séjourné
environ 51 jours. En comparaison, dans les entreprises de 3.000
à 5.000 employés, les cybercriminels ne passent "que" 20 jours.
Les attaques de ransomware constituent un cas particulier. Dans ce cas, les criminels agissent globalement plus
"plus rapidement", mais ici aussi, le temps passé dans le réseau sans être remarqué est passé de
11 jours en 2020 à 15 jours en 2021.
Les grandes entreprises sontplus "précieuses"pour les cybercriminels , la bousculade
dans le réseau
"Les attaquants considèrent les grandes organisations comme plus précieuses et sont donc plus motivés à pénétrer sur le réseau.
sont plus motivés à s'infiltrer rapidement et à repartir aussi vite.
à disparaître. Les petites entreprises ont moins de 'valeur', de sorte qu'elles peuvent se permettre d'entrer dans le système.
les intrus peuvent se permettre de rester plus longtemps en arrière-plan dans le réseau.
rester sur place. Il est également possible que ces pirates disposent de plus de temps.
moins d'expérience et qu'ils passent donc plus de temps dans le réseau à
passer plus de temps à explorer. En outre, les petites entreprises ont généralement
moins de visibilité sur la chaîne d'attaque pour identifier les attaques et les
de les repousser. Cela prolonge également la présence des attaquants", explique Shier.
"Avec les possibilités offertes par les vulnérabilités non corrigées ProxyLogon et
ProxyShell, et l'émergence des IAB, nous constatons que les
de plus en plus que plusieurs attaquants se trouvent dans un seul et même réseau cible.
se trouvent. Lorsque la situation y est tendue, ils veulent agir rapidement pour échapper à leurs adversaires.
émerger de leurs concurrents".
Le temps moyen de rétention avant la détection était plus longue pour les attaques "furtives" qui n'avaient pas évolué en uneattaque plus importante attaque comme les ransomwares, ainsi que pour les petites organisations avec moins de ressources de sécurité informatique. La durée moyenne de rétention des des attaquants dans les organisations touchées par un ransomware était de 15 jours. Pour les organisations qui ont été blessées, mais qui n'ont pas encore été victimes d'une n'ont pas été touchées par une attaque majeure telle qu'un ransomware (23 % de tous les cas étudiés). cas), la durée moyenne était de 34 jours. Pour les organisations dans le secteur de l'éducation ou avec moins de 500 employés, la durée de rétention était était également plus longue.
Des durées de rétention plus longues et des points d'entrée ouverts rendent les Les entreprises sont vulnérables aux attaques multiples. Les experts de Sophos ont découvert des cas de dans lesquels plusieurs attaquants, dont des IAB, Ransomware-Banden, cryptomineurs et parfois même plusieurs groupes de ransomwares, visaient en même temps la même organisation
En dépit d'une baisse de l'utilisation du Remote Desktop Protocol (RDP) pour les accès externes, les attaquants ont utilisé l'outil de plus en plus pour des accès furtifs au réseau. En 2020, les attaquants ont utilisé RDP dans 32 % des cas analysés pour des activités externes. Cette proportion a chuté à 13 % en 2021. Ce changement est certes bienvenu et indique que les entreprises ont amélioré leur gestion des surfaces d'attaque externes. mais les attaquants continuent d'utiliser le RDP pour des attaques internes. mouvements latéraux. Sophos a constaté qu'en 2021, les attaquants utiliseront le RDP dans 82% des cas. % des cas pour des explorations internes du réseau, contre 69 % en Jahr 2020.
Les combinaisons d'outils fréquemment utilisées lors d'attaques sont un signal d'alarme clair pour les cyber-attaques. Les enquêtes des incidents ont montré, par exemple, qu'en 2021, dans 64% des cas, les cas, PowerShell et des scripts malveillants non-PowerShell ont été utilisés ensemble. ont été utilisés. PowerShell et Cobalt Strike ont été utilisés dans 56 % des cas. et les chercheurs de Sophos ont trouvé PowerShell et PsExec combinés dans 51 % des cas. des cas en combinaison. La détection de telles corrélations peut servir servir d'alerte précoce d'une attaque imminente ou confirmer la présence d'une confirmer une attaque active.
50 % des incidents de ransomware concernaient une une exfiltration de données confirmée. En ce qui concerne les données disponibles, l'écart était de l'intervalle moyen entre le vol de données et l'utilisation de ransomwares était de ransomware était de 4,28 jours. 73 % des incidents auxquels Sophos a répondu en 2021 ont été traités par un ransomware. Sur ces incidents de ransomware, 50 pour cent étaient également liés à une exfiltration de données. Ce mouvement de données est souvent la dernière phase de l'attaque avant la libération du ransomware.
Conti était le plus fréquent en 2021, avec 18 % de tous les incidents. groupe de ransomwares. Les ransomwares REvil représentait un incident sur dix. D'autres familles de ransomware répandues sont DarkSide (le RaaS derrière la tristement célèbre attaque de Colonial Pipeline aux États-Unis) et Black KingDom, l'un des "nouveaux" groupes apparus en mars 2021 dans la foulée de la vulnérabilité ProxyLogon est apparue. Sur les 144 incidents pris en compte dans l'analyse incidents, Sophos a identifié 41 ransomwares différents. Parmi eux, 28 étaient de nouveaux acteurs, repérés pour la première fois en 2021. Dix-huit groupes de ransomware apparus lors d'incidents en 2020 n'étaient plus présents en 2021. ne figuraient plus sur la liste.
Le Sophos Active Adversary Playbook 2022 se base sur des 144 incidents survenus en 2021, ciblant des entreprises de toutes tailles et de tous secteurs d'activité aux États-Unis, au Canada, au Royaume-Uni, en Allemagne, en Italie, en Espagne, en France, la Suisse, la Belgique, les Pays-Bas, l'Autriche, les Émirats arabes unis, l'Australie et le Canada. Émirats, l'Arabie saoudite, les Philippines, les Bahamas, l'Angola et le Japon. ont été ciblés. Les secteurs les plus représentés sont l'industrie manufacturière (17 pour cent), suivis du commerce de détail (14 pour cent), de la santé (13 pour cent) (9 pour cent), l'informatique (9 pour cent), la construction (8 pour cent) et l'éducation. (6 pour cent).
Des avantages concrets pour l'industrie de la sécurité informatique
L'objectif du rapport Sophos est de faire comprendre aux équipes de sécurité comment
comment les cybercriminels agissent en cas d'attaques et comment ils peuvent
réseau pour les identifier et les contrer. L'un des résultats de ces recherches est
l'établissement croissant de ce que l'on appelle les écosystèmes de sécurité informatique - une
stratégie que Sophos réalise également avec son Adaptive
Cybersecurity Ecosystem (ACE). Il se base sur les données collectées
des données sur les menaces fournies par les SophosLabs, les Sophos Security Operations
qui travaillent dans des milliers d'environnements via le programme Sophos Managed Threat Response.
d'environnements clients) et l'intelligence artificielle (IA) de Sophos.
Sophos. Un seul data lake intégré regroupe les informations de toutes les
solutions et des sources de Threat Intelligence. Des analyses en temps réel
permettent aux défenseurs d'empêcher les intrusions en détectant les signaux suspects.
de trouver des signaux. Parallèlement, des API ouvertes permettent aux clients, aux partenaires et aux
développeurs de créer des outils et des solutions qui interagissent avec le système.
Tout est géré de manière centralisée via la plate-forme d'administration centrale de Sophos.