Selon Trellix, LockBit serait le plus enclin à divulguer les données volées 

Le nouveau rapport publié par l’Advanced Research Center de l’éditeur Trellix fait ressortir une augmentation des cyberattaques provenant de Chine, du ciblage des infrastructures critiques et des arnaques au président sous forme de voice-fishing. 

Le rapport présente des preuves d’activités malveillantes liées à des ransomwares et à des attaques de type menace persistante avancée (APT) soutenues par des états-nations. Il examine également les menaces emails et l’utilisation malveillante d’outils de sécurité légitimes, ainsi que d’autres types de menaces. Les principales conclusions de ce rapport sont les suivantes :

  • LockBit 3.0 se révèle être le plus agressif dans ses demandes de rançon : Bien qu’il ne soit plus le groupe de ransomware le plus actif selon Trellix – les familles de ransomware Cuba et Hive ont fait l’objet d’un nombre plus élevé de détections au quatrième trimestre – c’est Lockbit qui remporte la palme du ransomware ayant réclamé le plus grand nombre de rançons. Ces cybercriminels utilisent diverses techniques pour exécuter leurs campagnes, et exploitent notamment des vulnérabilités datant de 2018.
  • L’activité des États-nations est tirée par la Chine : Les acteurs APT liés à la Chine, notamment Mustang Panda et UNC4191, ont été les plus actifs au cours du trimestre, générant à eux seuls 71 % des activités détectées soutenues par des États. Viennent ensuite les acteurs liés à la Corée du Nord, à la Russie et à l’Iran. Ces quatre mêmes pays ont été classés comme les acteurs APT les plus actifs dans les rapports publics.
  • Les secteurs qui recoupent les infrastructures critiques sont toujours les plus ciblés : Trellix a observé que 69 % des activités malveillantes détectées étaient liées à des acteurs APT soutenus par des États-nations qui ciblaient en premier lieu le transport et la navigation, suivis par l’énergie, le pétrole et le gaz. Selon les données Trellix, les secteurs de la finance et de la santé ont été parmi les plus ciblés par les ransomwares, et les secteurs des télécommunications, de l’administration et de la finance ont été parmi les plus ciblés par les e-mails malveillants.
  • Des e-mails de type « arnaque au président » ont conduit à la compromission d’emails professionnels : Trellix a déterminé que 78 % des compromissions d’emails professionnels (BEC) impliquaient de faux e-mails des dirigeants qui utilisaient des phrases courantes employées par ces derniers. Il s’agit d’une augmentation de 64 % entre le troisième et le quatrième trimestre 2022. La tactique consiste notamment à demander aux employés de confirmer leur numéro de téléphone direct pour ensuite exécuter une attaque de voice-phishing – ou vishing. 82 % de ces attaques passent par des services de messagerie gratuite, ce qui signifie que les acteurs malveillants n’ont pas besoin d’une infrastructure complexe pour exécuter leurs campagnes.

Méthodologie : Le Threat Report: February 2023 comprend des données exclusives provenant du réseau de Trellix, des enquêtes sur les activités des états-nations et des cybercriminels menées par l’Advanced Research Center, des renseignements de sources ouvertes et fermées et des sites de fuite des acteurs de la menace. Le rapport est basé sur la télémétrie liée à la détection des menaces, lorsqu’un fichier, une URL, une adresse IP, un email suspect, un comportement réseau ou tout autre indicateur est détecté et signalé par la plateforme Trellix XDR.

 

Hélène Saire