La réduction du temps de propagation des cybermenaces illustre une escalade alarmante de l’agilité et la créativité des cyber-attaquants. Avec des intrusions capables de compromettre des systèmes en un temps record, le Threat Hunting Report 2023 interpelle sur l’urgence pour les entreprises européennes d’augmenter leur résilience et de moderniser leurs approches de la cybersécurité.
Partout dans le monde, les cybercriminels innovent constamment pour trouver de nouveaux moyens d’élargir leur rayon d’action, d’optimiser leurs offensives et d’intensifier leur impact. Cette année encore, ils ont adopté des tactiques agressives, exploité les vulnérabilités des systèmes et fait peser une menace toujours croissante sur les entreprises européennes, comme le montre les chiffres du Threat Hunting Report 2023.
Le temps de propagation, c’est-à-dire la vitesse à laquelle des cybercriminels se déplacent latéralement au sein d’un système infecté, a fondu pour atteindre le seuil historique de 79 minutes au lieu de 84 en 2022 — le record absolu s’établissant à 7 petites minutes !
En moins de temps qu’il n’en faut pour l’écrire, l’adversaire a pris pied dans un système hôte avant de s’y déplacer latéralement et de compromettre dans les grandes largeurs l’environnement de sa victime.
Les dernières données disponibles indiquent également que ces incidents débutent souvent par la compromission d’une identité. Outre l’utilisation d’identifiants valides infectés, les adversaires ont démontré leur capacité à utiliser toutes sortes d’identifiants et autorisations à des fins malveillantes, notamment ceux considérés comme des identifiants faibles issus de sources clandestines.
Ces résultats nous rappellent, si besoin était, que les RSSI doivent inlassablement questionner leurs équipes : « Sommes-nous suffisamment rapides pour identifier, analyser et neutraliser les menaces actuelles ? Sommes-nous capables de détecter un adversaire en sept minutes ou même en sept heures ? ».
En prenant en considération les principales tendances mises en lumière dans notre dernier rapport, les RSSI des entreprises européennes peuvent se préparer pour l’année à venir, alors même que leurs adversaires toujours plus pugnaces travaillent déjà intelligemment à leurs prochaines attaques.
Perspectives de cybersécurité en Europe
En Europe, le secteur des services financiers est particulièrement vulnérable – dépassant les télécommunications – et constitue le deuxième secteur industriel le plus attaqué, suivi de près par celui des technologies.
De son côté, l’industrie des télécommunications totalise au moins 10 % de l’ensemble des intrusions, dont une grande partie est imputée à des acteurs malveillants d’obédience iranienne. Cobalt Strike, PsExec, ProcessHacker, Mimikatz et NetScan sont les cinq outils les plus utilisés dans les intrusions interactives.
En Europe, le plus prolifique des cyberadversaires, VICE SPIDER, a été détecté dans pas moins de 19 secteurs d’activité.
Alerte rouge sur le secteur des services financiers
Le volume des intrusions interactives ciblant le secteur des services financiers a augmenté de plus de 80 % au cours de l’année écoulée.
Opérant à partir de la Corée du Nord, des adversaires tels que LABYRINTH CHOLLIMA ont sensiblement intensifié leurs activités en direction du secteur financier, visant en priorité les fintechs et peaufinant leurs méthodes particulières en incluant des outils spécifiquement conçus pour les plateformes Linux et macOS.
Tandis que certains groupes de cybercriminels se focalisent sur les cryptomonnaies et le braquage de jetons NFT, les cybermenaces prédominantes demeurent ancrées dans les campagnes de « chasse au gros gibier » (Big Game Hunting — BGH) par ransomware et le vol de données à grande échelle.
Les intrusions basées sur les identités gagnent du terrain
Une tendance clairement établie indique que les auteurs de menaces privilégient les attaques basées sur l’identité. Des comptes valides ont en effet été compromis dans pas moins de 62 % des intrusions interactives recensées.
Autre fait inquiétant, on peut noter une augmentation de 160 % des tentatives de collecte de clés secrètes et autres identifiants via des API de métadonnées d’instances cloud.
L’augmentation de 583 % des attaques de type Kerberoasting contribue à la hausse massive du nombre d’intrusions basées sur l’identité. Cette technique est utilisée de façon malveillante pour obtenir les identifiants légitimes de comptes de service au sein d’Active Directory (AD) en vue d’accéder à des privilèges plus élevés et de séjourner plus longtemps dans l’environnement des victimes en échappant au radar.
Cette technique représente une menace majeure pour les entreprises, dans la mesure où les adversaires n’ont pas besoin de disposer de privilèges élevés pour lancer leur offensive. L’année dernière, les attaques visant le protocole Kerberos ont été principalement associées à des cybercriminels. VICE SPIDER a de nouveau été le plus prolifique des adversaires, représentant à lui seul plus d’un quart (27 %) des intrusions impliquant la technique de Kerberoasting.
Pas de répit face aux menaces
En un an, les adversaires ont gagné en agilité et font preuve d’une rapidité dévastatrice. Les équipes de cybersécurité européennes doivent absolument travailler en étroite collaboration avec leurs partenaires pour mettre au point des stratégies permettant de stopper les violations dans des délais encore plus brefs sans laisser le moindre répit à leurs adversaires.
L’avenir de la cybersécurité repose sur la collaboration étroite entre l’homme et la machine afin de juguler de manière optimale la rapidité, le volume et la sophistication croissante des adversaires. Lorsque cette coopération est menée avec efficacité, les équipes peuvent rapidement mettre au jour des menaces cachées, accélérer la prise de décision des analystes Sécurité et rationaliser le processus de détection.
Face à des menaces capables de contrôler un environnement en seulement sept minutes, il est hors de question de céder le moindre centimètre sur le terrain de la sécurité.
____________________________
Par Zeki Turedi, Field CTO Europe, CrowdStrike
puis