Zoom sur le dernier rapport des cybermenaces 2019 de Sophos

D’après Sophos, le profils des cybercriminels est en train de changer. Seuls les plus compétents resteront dans la course. Ces nouveaux cybercriminels sont un croisement entre le cybercriminel d’autrefois, ésotérique et ciblé, et le fournisseur de malwares « prêts à l’emploi ». Ils privilégient les cyberattaques manuelles et ciblées qui traquent leurs victimes dans le but de gagner des millions.

Des attaques ciblées qui génèrent toujours plus de gains

Sophos a suivi de près les menaces en fort développement provenant d’attaques très ciblées, au cours desquelles un ou plusieurs criminels se sont introduits manuellement dans l’ordinateur d’une entreprise. Pendant près de trois ans, un petit groupe de cybercriminels spécialisés a attaqué de nombreuses entreprises en utilisant des techniques manuelles pour répandre un ransomware appelé SamSam.

Ce ransomware sophistiqué et hautement destructeur peut plonger des entreprises dans le chaos le plus total. La minutie de l’attaque est si parfaite qu’un pourcentage élevé de victimes choisit de payer une rançon allant de 10 000$ (8 900€) à plus de 50 000$ (44 500€) par attaque, des montants de rançon jamais demandés jusqu’alors. Les gains financiers générés par SamSam auraient dépassé la barre des 6 millions de dollars (environ 5,4 millions d’euros).

En savoir plus sur le plan de continuité d’activité.

Ransomware ciblé vs. RaaS de masse

La stratégie de quatre familles de ransomwares ciblés au “ransomware-as-a-service” est comparée dans le rapport pour mettre en lumière les similarités entre ces attaques. D’après Sophos, toute organisation soucieuse de sa sécurité devrait s’assurer immédiatement que son pare-feu bloque le port par défaut du Remote Desktop Protocol pour toute utilisation externe, l’une des portes d’entrée privilégiée de ces attaques.

Des cybermenaces basées sur l’existant

Le nombre de malwares conçus pour cibler exclusivement des ordinateurs Windows domine toujours le paysage. Sophos a pu constater que les malwares adoptent de plus en plus les fonctionnalités intégrées du système d’exploitation Windows. Une configuration standard pour Windows 10 comprend généralement PowerShell, WMI, Windows Scripting Host et d’autres outils d’administration puissants. Au cours des deux dernières années, l’utilisation abusive de tous ces outils (entre autres) intégrés dans les suites d’administration et de gestion a représenté une grande partie des attaques de malwares courantes.

Mobilité et Objets Connectés (IoT), les malwares ne faiblissent pas

De par sa nature ouverte, la plateforme Android est depuis longtemps le cible privilégiée des développeurs d’applications malveillantes. Sophos s’est notamment intéressé aux cybermenaces de type Trojan qui volent des identifiants bancaires et des mots de passe au niveau d’autres services, notamment la messagerie électronique. Ceux-ci interceptent et envoient des SMS, exfiltrent la liste des contacts du propriétaire et même minent des cryptomonnaies.

Les objets connectés sont, quant à eux, détournés par les cybercriminels et utilisés comme des nœuds au sein d’énormes botnets. Les cybercriminels peuvent ensuite exploiter ces botnets pour lancer des attaques distribuées par déni de service, infiltrer des réseaux à des fins d’espionnage ou de vol de données, ou même créer un véritable chaos en “brickant” l’appareil, le mettant ainsi définitivement hors ligne ou en réclamant une rançon pour le restaurer. En 2018, les SophosLabs ont enregistré une croissance significative du nombre d’attaques ciblant les objets connectés. Bien que dans de nombreux cas, un changement des mots de passe par défaut ait été suffisant pour empêcher toute réinfection, certains cas exceptionnels ont toutefois mérité un traitement particulier.

Pour savoir comment vous prémunir des cybermenaces en 2019, rejouez le webinar du jeudi 07 février animé par Sophos, partenaire de Konica Minolta.

Lire également l’article sur la cybersécurité