Top 3 des cybermenaces mondiales

Malwares : BlackCat, Conti et Hive les plus répandus

Les malwares observés appartiennent aux familles de ransomwares très répandues et d’outils prêts à l’emploi (“Commercial Off-the-shelf” – COTS). Face aux acteurs malveillants qui adoptent ou proposent des fonctionnalités de Malware As A Service – MaaS, les entreprises devraient investir dans le développement de fonctions de sécurité avec une large visibilité des signaux faibles.

• BlackCat, Conti, Hive, Sodinokibi et Stop 

Familles de ransomwares les plus répandues identifiées par le biais de signatures : 81 % de l’activité des ransomwares.

• Malwares “COTS” comme Metasploit et Cobalt Strike

5,7 % des signatures observées. Sur Windows, ces familles représentent environ 68 % des tentatives d’intrusion

• Machines sous Linux

91 % des signatures de malwares / 6% sur Windows.

Endpoints : les techniques d’exécution de code privilégiées

Les entreprises doivent évaluer l’inviolabilité des capteurs de sécurité sur les endpoints et identifier les pilotes des périphériques vulnérables utilisés pour désactiver les technologies de sécurité.

• L’exécution de code et les techniques de contournement – Defense Evasion

représentent plus de 70 % de toutes les alertes recensées sur les endpoints.

• Les techniques les plus discrètes visent les appareils sous Windows

Ils sont la cible principale des attaquants soit 94 % des alertes liées à des comportements suspects, suivis de macOS à 3 %.

• La collecte d’identifiants MacOs  – Credential Dumping

C’est 79% des techniques de compromission des accès utilisées par les attaquants : + 9% depuis 2022.

Sécurité du Cloud : compromission des identifiants d’accès et contournement des défenses

Les acteurs malveillants profitent des mauvaises configurations, des contrôles d’accès laxistes, des identifiants non sécurisés, de l’absence de systèmes basés sur le principe du moindre privilège (PoLP).

• Amazon Web Services

Les tactiques utilisées sont le contournement des défenses – 38 %, la compromission des identifiants d’accès – 37 % et l’exécution de code – 21 %.

• Evénements recensant les compromissions d’accès

53% sont liés à des comptes Microsoft Azure authentiques.

• Microsoft 365

plus de 86 % des indicateurs de compromissions sont liés à l’utilisation d’identifiants d’accès

• Google Cloud

85 % des indicateurs de détection de menaces sont liés à la technique de contournement des défenses

• Kubernetes

La découverte (Discovery) représente 61 % dess indicateurs relatifs à Kubernetes,

Source Global Threat Report 2023 d’Elastic – Rapport basé sur la télémétrie Elastic, les données publiques et tierces communiquées de manière volontaire pour identifier les menaces, et ce grâce aux observations de plus d’un milliard de données au cours des 12 derniers mois.