Skip to content Jump to navigation

La principale cybermenace du deuxième trimestre ? (Indice : ce n’est pas un ransomware)

Cisco Talos est l’une des équipes de renseignement sur les menaces les plus complètes au monde, combinant des technologies de pointe avec un talent et une expertise inégalés. Grâce à la télémétrie et au réseau de partenaires les plus étendus du secteur, elle obtient des informations uniques sur les menaces susceptibles d’affecter votre entreprise.

Quelles sont les tendances observées par Talos jusqu’à présent en 2022 ?

Selon le rapport du deuxième trimestre de Cisco Talos Incident Response (CTIR), les ransomwares ont été détrônés de leur place de leader pour la première fois depuis plus d’un an. Le nouveau concurrent ? Les logiciels malveillants de base, c’est-à-dire les menaces non ciblées visant un grand nombre d’utilisateurs, souvent par le biais de téléchargements gratuits dans des courriels.

Le succès des logiciels malveillants de base s’explique en grande partie par les mauvaises pratiques en matière de sécurité, tant au niveau des organisations qu’au niveau individuel.

« Vous auriez raison de dire que les logiciels malveillants de base ont été la principale menace ce trimestre », a déclaré Bruce E. Hennigar II de Talos. « Même si nous sommes à deux trimestres de 2022 et quoi, 20 ans de cybersécurité, les gens cliquent encore sur cet email de phishing. »

Les logiciels malveillants liés aux matières premières ont représenté 20 % de tous les engagements sur lesquels CTIR a enquêté au deuxième trimestre. Parmi les principaux malwares de ce type, citons le RAT Remcos, le voleur d’informations Vidar, le voleur Redline et le cheval de Troie bancaire Qakbot.

Dans le même temps, par rapport au premier trimestre, les ransomwares sont passés de 25 % à 15 % des interventions de CTIR. La guerre en Ukraine est l’une des raisons de ce retour en grâce. Selon M. Henninger, le gouvernement russe a coopté de nombreux gangs de ransomware pour soutenir l’attaque contre l’Ukraine.

Bien entendu, les ransomwares restent une menace sérieuse. Au deuxième trimestre, les groupes de ransomware-as-a-service (RaaS) les plus en vue étaient Conti et BlackCat, qui cherchaient tous deux à obtenir des paiements importants de la part de grandes organisations. Le groupe Conti s’est apparemment dissous, mais une nouvelle variante appelée Black Basta est peut-être en train de prendre sa place. Dans le même temps, le ransomware LockBit a affiné ses tactiques d’extorsion dans une nouvelle version, qui propose également la crypto-monnaie comme option de paiement aux victimes.

En ce qui concerne les secteurs les plus ciblés, le secteur des télécommunications est une fois de plus en tête de nos engagements, suivi par l’éducation et la santé. Et les États-Unis sont la première nation visée.

Alors, quelles mesures les organisations doivent-elles prendre au troisième trimestre ?

En plus de remédier aux faiblesses évidentes, comme ne pas cliquer sur des pièces jointes inconnues, M. Hennigar a averti les entreprises qu’elles devaient se méfier des nouvelles attaques qui exploitent des vulnérabilités de type « zero-day » inconnues jusqu’alors dans les logiciels.

« Souvent, les groupes de ransomware modifient leur mode d’accès initial », explique-t-il. « Et généralement, c’est basé sur des vulnérabilités qui apparaissent et dont les gens ne sont pas au courant. »

Le conseil de Henningar – et de Talos – est d’empêcher les attaquants d’accéder aux « trucs faciles » comme le phishing, une fois pour toutes, tout en restant au courant des développements les plus récents et les plus difficiles.

Cisco Talos surveille les réseaux mondiaux pour détecter les menaces émergentes 24 heures sur 24, 7 jours sur 7, 365 jours par an, et envoie des avertissements et des alertes en temps réel aux clients et à l’ensemble de la communauté de la sécurité. Et l’authentification multifactorielle (MFA) – par exemple, Cisco Duo – est la principale recommandation technologique de Talos au deuxième trimestre.

Parmi les autres solutions Cisco essentielles, citons Cisco Secure Firewall et les règles SNORT, qui protègent contre un grand nombre de logiciels malveillants et d’autres menaces décrites dans le rapport de Talos pour le deuxième trimestre. Enfin, Cisco Secure Endpoint détecte les activités malveillantes sur les appareils des entreprises et au-delà, dans les réseaux multicloud complexes.

Il n’existe pas de solutions simples aux cybermenaces, mais M. Hennigar résume ses conseils.

« Ma plus grande recommandation est de faire des recherches pour votre vertical et votre zone de revenus », a-t-il dit. « Quels sont les principaux éléments qui attaquent ? Si c’est un ransomware, regardez les façons dont les ransomwares sont livrés par le biais du phishing, assurez-vous que vous avez des choses comme le MFA, assurez-vous de comprendre où se trouvent vos applications et votre stockage critiques pour l’entreprise, et assurez-vous que vos protections pour votre réseau sont sur ces choses. »

Écrit par Kevin Delaney, cisco