Pendant près de dix ans, via son service d'investigation sur les incidents informatiques, Kaspersky a mené différentes recherches sur des incidents liés à la cybersécurité, la plupart étant liés aux activités de cybercriminels russophones. Ces dernières années, les experts en sécurité de Kaspersky ont observé plusieurs changements importants dans le mode de fonctionnement de ces cybergangs et dans leurs cibles habituelles.Pour les acteurs de la cybersécurité, il est essentiel de comprendre les tactiques, techniques et procédures employées par les cybercriminels, ainsi que leurs évolutions. Cela permet également aux défenseurs des entreprises de mieux préparer leur protection contre d'éventuels incidents. Dans cette optique, Kaspersky a établi un récapitulatif des principaux changements survenus au cours des six dernières années. Et il s'avère que beaucoup de choses ont changé.
On note par exemple un net recul des attaques dites « côté client », qui impliquait une infection à grande échelle par des malwares conçus pour voler de l'argent en mettant à profit les failles de sécurité des navigateurs courants. Il y a plusieurs années, ce vecteur d'infection était souvent utilisé par des groupes de cybercriminels russophones visant des cibles précises au sein des organisations commerciales et financières (généralement des employés du service comptabilité). Cependant, depuis lors, les développeurs de navigateurs et d'autres technologies web auparavant vulnérables ont considérablement amélioré la sécurité de leurs produits et instauré des mises à jour automatiques des systèmes. Par conséquent, il est désormais difficile pour les hackers de mettre en place une campagne d'infection efficace. Aujourd'hui, ils misent plutôt sur des courriels de spear phishing comportant des pièces jointes malveillantes. Une fois ouvertes sur l'ordinateur ciblé, ces dernières exploitent la vulnérabilité d'un logiciel courant n'ayant pas reçu de correctif en temps voulu.
Autre changement important : alors qu'il y a quelques années, les cybercriminels développaient souvent leurs propres malwares, ils ont maintenant tendance à se servir de logiciels publics de test de pénétration et d'accès à distance. Les entreprises peuvent recourir à ces outils à des fins légitimes, c'est pourquoi les logiciels de sécurité ne détectent pas automatiquement leur utilisation malveillante par des hackers. L'emploi d'outils de pentesting leur permet également d'économiser beaucoup de ressources de développement.
Voici les changements les plus notables observés chez ces cybercriminels :
- Au lieu de créer et d'entretenir leur propre infrastructure, ils utilisent activement celle d'un cloud public.
- Ils n'ont plus besoin de constituer de grands groupes collaborant à des fins frauduleuses. De plus, puisque la création de leurs propres outils est devenue superflue et qu'ils utilisent activement l'infrastructure cloud, ils peuvent mener des activités malveillantes en groupe beaucoup plus restreint qu'auparavant.
- Ils ont radicalement changé de cible, délaissant les attaques financières contre des entreprises et autres institutions pour privilégier les ransomwares et le vol de données. En outre, un nombre substantiel de cybercriminels a cessé de sévir dans l'ancien bloc soviétique pour attaquer des cibles en dehors de la Russie et des territoires de la CEI.
« En 2016, nous nous concentrions sur les grands cybergangs qui ciblaient les institutions financières, en particulier les banques. Des noms comme Lurk, Buhtrap, Metel, RTM, Fibbit et Carbanak faisaient trembler les banques russes, voire mondiales. Pourtant, avec notre aide, ces groupes ont fini par se déliter ou leurs responsables ont été emprisonnés. D'autres cybercriminels, comme les auteurs de Cerberus, ont en quelque sorte pris leur retraite et partagé leur code source avec le monde entier. De nos jours, le secteur des institutions financières n'est plus le seul visé par les hackers et, heureusement, les attaques majeures comme celles sur lesquelles nous investiguions par le passé ne sont désormais plus possibles. Pourtant, on ne peut pas dire que la cybercriminalité ait diminué. L'année dernière, nos investigations ont porté sur environ 200 incidents au total. Alors que cette année n'est pas encore terminée, leur nombre avoisine déjà les 300 et continue de croître. Dans ces conditions, il est extrêmement important de partager des informations pertinentes sur les activités de cybercriminalité avec la communauté de la cybersécurité. Nous y contribuons par le biais de notre rapport », souligne Ruslan Sabitov, expert en cybersécurité chez Kaspersky.
Source : Kaspersky
Et vous ?
Qu'en pensez-vous ?Voir aussi :
DarkHalo, le groupe de hackers à l'origine de la cyberattaque Sunburst pourrait être de nouveau actif, la porte dérobée Tomiris plusieurs attributs pouvant être mis en relation avec le groupe Les tentatives d'attaque sur Microsoft Exchange ont augmenté de 170 % en août 2021, passant de 7 342 à 19 839, la France fait partie du top 10 des pays ciblés, selon Kaspersky Kaspersky dévoile les 3 méthodes les plus courantes de compromission d'e-mails professionnels, notamment la fraude au Président, le faux changement de coordonnées bancaire, et la fausse facture