IBM Security a publié fin février 2022 un rapport qui révèle comment les rançongiciels et les exploitations de vulnérabilités ont impacté les chaînes d’approvisionnement mondiales et l’industrie manufacturière. Très organisés, les attaquants ciblent les points communs entre les Clouds, surtout en Asie, qui est la région la plus ciblée.
Le rapport IBM Security X-Force Threat Intelligence Index 2022 estime que les gangs de rançongiciels résistent aux tentatives de démantèlement : les rançongiciels sont restés la principale méthode d’attaque observée en 2021, les groupes de rançongiciel ne montrent aucun signe de ralentissement, malgré la hausse des démantèlements. Selon le rapport 2022, la durée de vie moyenne d’un groupe de rançongiciel avant sa cessation d’activité ou son changement de nom est de 17 mois. Les vulnérabilités sont le plus grand « vice » des entreprises : celles non corrigées ont été à l’origine d’environ 50 % des attaques en 2021.
Les « neuf vies » des groupes de rançongiciel
Les cybercriminels préparent le terrain pour cibler les environnements Cloud, le rapport 2022 révélant une augmentation de 146 % de nouveau code de rançongiciel Linux et une évolution vers un ciblage axé sur Docker, ce qui pourrait permettre à davantage d’acteurs de la menace d’exploiter les environnements Cloud à des fins malveillantes.
En réponse à la récente accélération des démantèlements par les forces de l’ordre de groupes de pirates utilisant notamment les rançongiciels, lesdits groupes pourraient activer leurs propres plans de reprise après sinistre. La durée de vie moyenne d’un groupe de rançongiciel avant sa cessation d’activité ou son changement de nom est de 17 mois. Par exemple, REvil, qui était responsable de 37 % de toutes les attaques par rançongiciel en 2021, a subsisté pendant quatre ans en changeant de nom, ce qui laisse penser qu’il pourrait refaire surface malgré son démantèlement par une opération multi-gouvernementale à la mi-2021.
Si les démantèlements par les forces de l’ordre peuvent ralentir les attaquants, ils les accablent également de dépenses nécessaires pour financer leur changement de nom ou reconstruire leur infrastructure. À mesure que les règles du jeu changent, il est important que les entreprises modernisent leur infrastructure pour placer leurs données dans un environnement capable de les protéger, que ce soit en local ou dans des Clouds. Cela peut aider les entreprises à gérer, contrôler et protéger leurs applications, et à supprimer l’influence des acteurs de la menace en cas de compromission en rendant plus difficile l’accès aux données critiques dans les environnements Cloud hybride.
Les vulnérabilités deviennent une crise existentielle pour certains
Le rapport X-Force met en évidence le nombre record de vulnérabilités divulguées en 2021, les vulnérabilités dans les systèmes de contrôle industriels ayant augmenté de 50 % d’une année sur l’autre. Bien que plus de 146 000 vulnérabilités aient été divulguées au cours de la dernière décennie, ce n’est que ces dernières années que les organisations ont accéléré leur parcours numérique, en grande partie sous l’effet de la pandémie, ce qui suggère que le défi de la gestion des vulnérabilités n’a pas encore atteint son apogée.
Dans le même temps, l’exploitation des vulnérabilités en tant que méthode d’attaque gagne en popularité. X-Force a observé une augmentation de 33 % depuis 2020, les deux vulnérabilités les plus exploitées observées en 2021 se trouvant dans des applications d’entreprise largement utilisées (Microsoft Exchange, Apache Log4J Library). Le défi des entreprises en matière de gestion des vulnérabilités pourrait continuer à s’exacerber à mesure que les infrastructures numériques se développent et que les entreprises peuvent se retrouver submergées par les exigences d’audit et de maintenance, ce qui souligne l’importance pour elles d’opérer dans l’hypothèse d’une compromission et d’appliquer une stratégie « zero trust » pour aider à protéger leur architecture.
Les attaquants ciblent les points communs entre les Clouds
En 2021, X-Force a constaté que les attaquants étaient de plus en plus nombreux à cibler les conteneurs tels que Docker, de loin le moteur d’exécution de conteneur le plus répandu selon RedHat. Les attaquants savent que les conteneurs sont un point commun entre les organisations, ils redoublent donc d’efforts pour maximiser leur retour sur investissement avec des logiciels malveillants qui peuvent traverser les plateformes et servir de point de départ vers d’autres composants de l’infrastructure de leurs victimes.
Le rapport 2022 met également en garde contre l’investissement continu des acteurs de la menace dans des logiciels malveillants Linux uniques, qui n’avaient pas été observés auparavant, les données fournies par Intezer révélant une augmentation de 146 % des ransomwares Linux dotés d’un nouveau code. Alors que les attaquants continuent de chercher des moyens d’étendre leurs opérations par le biais des environnements Cloud, les entreprises doivent se concentrer sur l’extension de la visibilité de leur infrastructure hybride. Les environnements Cloud hybride qui reposent sur l’interopérabilité et des normes ouvertes peuvent aider les organisations à détecter les angles morts et à accélérer et automatiser les réponses de sécurité.
