Les attaques de ransomware se multiplient : grâce aux technologies de clonage vocal pilotées par l'IA, les attaquants peuvent créer de faux sons réalistes pour tromper les victimes

Les attaques de ransomware se multiplient : grâce aux technologies de clonage vocal pilotées par l'IA, les attaquants peuvent créer de faux sons réalistes pour tromper les victimes.

Un nouveau rapport d'Ontinue révèle que les attaques de ransomware se multiplient. Le rapport fait état d'une augmentation de 132 % des attaques de ransomware, bien que les paiements de rançon aient diminué de 35 %. Parmi les autres tendances clés, le rapport souligne l'augmentation rapide des attaques Adversary-in-the-Middle (AiTM), qui sont devenues une méthode dominante pour voler les jetons d'authentification et contourner l'authentification multifactorielle (MFA).

Les cybermenaces ne sont pas tapies dans l'ombre, attendant le moment idéal pour frapper - elles sont déjà en train de scanner, de sonder et de frapper tout ce qu'elles peuvent trouver à l'heure actuelle. Si un système est exposé et non corrigé, les attaquants le trouveront en quelques heures.

Le nouveau rapport "Threat Intelligence Report 2H 2024" d'Ontinue examine comment les attaquants font évoluer leurs tactiques, les plus grandes menaces auxquelles les organisations sont confrontées et pourquoi le secteur de la fabrication continue d'être la cible principale des ransomwares. Des escroqueries par vishing alimentées par l'IA aux extensions de navigateur malveillantes en passant par l'utilisation abusive des outils intégrés de Microsoft, les cybercriminels se montrent de plus en plus créatifs - et de plus en plus agressifs.

Le rapport d'Ontinue fait état d'une augmentation de 132 % des attaques de ransomware, bien que les paiements de rançon aient diminué de 35 %, ce qui suggère un changement dans les stratégies des attaquants qui redoublent d'efforts en matière de ransomware. Pour rappel, les ransomwares sont des logiciels malveillants qui chiffrent les données personnelles de la victime jusqu'au paiement d'une rançon. Les attaques par ransomware sont généralement menées à l'aide d'un cheval de Troie déguisé en fichier légitime que l'utilisateur est incité à télécharger ou à ouvrir lorsqu'il reçoit une pièce jointe par courrier électronique.

Pour rappel, l'impact financier d'une attaque par ransomware peut coûter aux entreprises jusqu'à 30 % de leur revenu d'exploitation, les petites entreprises étant proportionnellement plus touchées. Un rapport de 2023 de ThreatConnect avait révélé que si les pertes dues aux cyberattaques ont un impact sur l'exercice fiscal en cours, elles peuvent aussi perdurer et avoir un impact sur les années actuelles et futures en tant que coûts. Il s'agit notamment des frais juridiques, des règlements et des dommages causés à la marque, dont les effets peuvent prendre du temps à se matérialiser.


Parmi les autres tendances clés, le rapport souligne l'augmentation rapide des attaques Adversary-in-the-Middle (AiTM), qui sont devenues une méthode dominante pour voler les jetons d'authentification et contourner l'authentification multifactorielle (MFA). Le cheval de Troie d'accès à distance (RAT) PlugX reste également une menace active, tandis que le trafic de commande et de contrôle (C2) associé aux voleurs d'informations et aux chargeurs de logiciels malveillants continue de s'intensifier.

Le rapport fait également état de la sophistication croissante des attaques de vishing (hameçonnage vocal), que les cybercriminels améliorent désormais grâce à l'intelligence artificielle (IA). En s'appuyant sur des technologies de clonage de voix pilotées par l'IA, les attaquants peuvent créer des enregistrements audio réalistes pour se faire passer pour des personnes de confiance et inciter les victimes à divulguer des informations d'identification, à approuver des transactions frauduleuses ou à accorder un accès non autorisé à un système.

L'équipe d'Ontinue a détecté un pic de 1 633 % d'incidents liés au vishing par rapport au trimestre précédent. Nombre de ces attaques dirigent les victimes vers de fausses pages d'assistance Microsoft, souvent hébergées sur des domaines .shop, où les utilisateurs sont invités à appeler des numéros d'assistance frauduleux.

"L'écosystème cybercriminel s'adapte à l'évolution des mesures de sécurité, en tirant parti de la tromperie alimentée par l'IA, de nouvelles tactiques de diffusion de logiciels malveillants et de schémas d'ingénierie sociale persistants", déclare Balazs Greksza, directeur des opérations sur les menaces avancées chez Ontinue. "Notre étude souligne le besoin urgent pour les organisations de renforcer leurs défenses contre les campagnes sophistiquées de phishing, vishing et malware, tout en continuant à renforcer leurs environnements contre les ransomwares et le vol d'informations d'identification."

Voici les principaux points du rapport :

Les attaques de ransomware se multiplient, l'industrie devenant la cible principale

Les groupes de ransomwares ne ralentissent pas. En fait, ils évoluent. Selon le rapport 2H 2024 Threat Intelligence Report d'Ontinue, les attaques de ransomware ont bondi de 132 %, alors même que les paiements de rançons ont chuté de 35 %. Cela indique un changement : les cybercriminels ne sont plus seulement à la recherche de paiements. Ils font des ravages avec des tactiques de double extorsion, de destruction de données et de perturbation opérationnelle, ce qui oblige les entreprises à repenser leurs stratégies de défense.


L'industrie manufacturière : Le nouveau point de mire

L'une des tendances les plus alarmantes du rapport ? L'industrie manufacturière est devenue la cible privilégiée des attaques par ransomware. Pourquoi ? Parce que les temps d'arrêt dans ce secteur sont synonymes de perte de production, de délais non respectés et d'impact financier massif. Les acteurs de la menace savent que les fabricants ne peuvent souvent pas se permettre des interruptions prolongées, ce qui les rend plus enclins à payer - ou du moins à subir des conséquences opérationnelles importantes.


La montée des attaques AiTM, du phishing et du vishing

Si les ransomwares ont fait les gros titres, les attaques par phishing de type « adversary-in-the-middle » (AiTM) se sont également imposées comme une menace majeure. Les attaquants utilisent de plus en plus des tactiques d'hameçonnage sophistiquées, en s'appuyant souvent sur des services de confiance tels que SharePoint et Google Drive pour voler des informations d'identification. Le vishing (hameçonnage vocal) a également pris une nouvelle dimension grâce à la technologie deepfake alimentée par l'IA. Les cybercriminels clonent désormais des voix pour se faire passer pour des cadres et inciter les employés à fournir des informations sensibles ou à autoriser des transactions frauduleuses. Au cours du seul premier trimestre 2025, l'équipe ATO a détecté une augmentation stupéfiante de 1633 % des incidents liés au vishing.


La diffusion de logiciels malveillants devient plus intelligente

Les acteurs de la menace continuent de trouver de nouveaux moyens d'infiltrer les systèmes, les extensions de navigateur et la publicité malveillante devenant des mécanismes clés de diffusion. Les extensions de navigateur malveillantes, en particulier sur Chrome, persistent même après qu'un système a été réimagé - ce qui signifie que les utilisateurs réintroduisent souvent la menace sans le savoir en réimportant leurs profils de navigateur infectés. Parallèlement, des campagnes de publicité malveillante incitent les utilisateurs à exécuter des commandes PowerShell malveillantes, souvent déguisées en étapes de dépannage.

Utilisation abusive des outils Microsoft intégrés

Les attaquants abusent également de plus en plus des outils intégrés de Microsoft pour gagner en persistance et échapper à la détection. Les cybercriminels se sont servis de Microsoft Quick Assist et Windows Hello pour conserver l'accès aux systèmes compromis tout en restant sous le radar. En outre, le vol des clés d'authentification reste un problème grave, car il permet aux attaquants de contourner les mesures de sécurité traditionnelles avec une facilité inquiétante.


Voici un extrait des conclusions du rapport :


Source : Ontinue : Threat Intelligence Report 2H 2024

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

197 % d'augmentation des cyberattaques par e-mail en 2024, près de 50 % des utilisateurs ont été la cible d'attaques par e-mail au moins une fois, selon Acronis

Les attaques par ransomware augmentent de 30 %, tirées par le phishing alimenté par l'IA et les offres de ransomware en tant que service et les campagnes de phishing générées par l'IA ont gagné en efficacité

Découvrir les attaques par courrier électronique générées par l'IA : exemples réels de 2023. Découvrez comment les pirates utilisent l'IA générative pour contourner la sécurité et tromper les employés