Pas de malware, pas de problèmes ? Les attaques fileless ont la cote chez les cybercriminels
L’année dernière, plus de la moitié des attaques ont utilisé des techniques sans fichier (fileless) ou «sans malware».Les pirates informatiques se tournent de plus en plus vers le vol d’identifiants dans leurs efforts pour infiltrer les réseaux d’entreprise. L’industrie des télécommunications a également connu une augmentation des attaques d’acteurs malveillants tels que ceux de la Chine et de la Corée du Nord, qui ciblaient le secteur pour le vol de propriété intellectuelle et la veille concurrentielle.
Les tactiques sans logiciels malveillants ont représenté 51% des attaques en 2019, contre 40% l’année précédente, bien que ce chiffre soit largement dû à une forte augmentation de ces attaques ciblant l’Amérique du Nord. Selon le rapport Global Threat Report 2020 de CrowdStrike, 74% des attaques dans la région n’utilisaient pas de logiciels malveillants, tandis que ces techniques représentaient 25% des attaques ciblant l’Indo-Pacifique.
L’évaluation du rapport annuel sur le paysage des menaces est basée sur son analyse des données collectées sur plus de 3 billions d’événements par semaine dans 176 pays, les consultations de son équipe de renseignement qui suit 131 groupes malveillants, y compris des acteurs nationaux et hacktivistes ainsi que son équipe de threat intelligence Falcon OverWatch , et les résultats de ses enquêtes sur les réponses aux incidents en 2019.
Le fournisseur de sécurité a défini les attaques sans malware comme celles dans lesquelles des fichiers ou des fragments de fichiers ne sont pas écrits sur le disque. Il peut s’agir d’attaques dans lesquelles des codes sont exécutés à partir de la mémoire ou lorsque des informations d’identification volées sont exploitées pour activer les connexions à distance. Il a ajouté que les attaques sans malware nécessitent généralement diverses techniques de détection pour identifier et intercepter, telles que la détection comportementale et la détection de menace organisée par des humains.
Le rapport sur les menaces 2020 a également vu davantage d’incidents de ransomware et de demandes de rançon de la part de cybercriminels qui, de plus en plus, procèdent à une exfiltration de données, ce qui leur a permis d’exploiter des données sensibles qui étaient des informations exclusives ou potentiellement embarrassantes pour les victimes.
En outre, les groupes liés aux gouvernements ont ciblé l’an dernier un éventail d’industries, mais étaient particulièrement intéressés par le secteur des télécommunications, qui a vu la fréquence des attaques augmenter en provenance de pays tels que la Chine et la Corée du Nord, a noté CrowdStrike. Les acteurs étatiques chinois, en particulier, cherchaient à cibler l’industrie dans le but de voler la propriété intellectuelle et de faire du renseignement économique, a déclaré le fournisseur de sécurité américain.
Une question de temps
En outre, les acteurs étatiques chinois ont continué de se concentrer sur la compromission de la chaîne d’approvisionnement, “démontrant ainsi que l’etat continue d’utiliser cette tactique pour identifier et infecter plusieurs victimes”, a déclaré CrowdStrike. Le fournisseur a ajouté que ces pirates ciblaient également d’autres industries américaines jugées essentielles aux intérêts stratégiques de la Chine, notamment l’énergie propre, les soins de santé, la biotechnologie et les produits pharmaceutiques. Il a déclaré que de telles attaques étaient susceptibles de se poursuivre.
Le rapport a également souligné l’intérêt de la Corée du Nord pour les bourses d’échanges de cryptomonnaie. Le rapport estime que le pays encourage les opérations d’espionnage qui visent à recueillir des données sur les utilisateurs ou les opérations et systèmes de cryptomonnaie. CrowdStrike a ajouté que la Corée du Nord pourrait chercher à développer sa propre cryptomonnaie pour contourner davantage les sanctions commerciales.
Cependant, les attaquants mettent en moyenne plus de temps à pénétrer et à se déplacer latéralement au sein d’un réseau. Le temps moyen est estimé à neuf heures, contre 4 heures et 37 minutes en 2018. Ce « temps d’évasion » plus long, comme l’a inventé CrowdStrike, reflétait une augmentation significative dans les attaques cybercriminelles, qui, selon le fournisseur de sécurité, avaient généralement plus longs chez les cybercriminels que dans des opérations menées par des services de renseignement.
Le rapport souligne en outre la nécessité pour les organisations de se concentrer sur l’augmentation de leur vitesse de détection et de lutte contre les attaques, car les activités des gouvernements l’année dernière n’ont pas montré de changements majeurs en matière de « temps d’évasion ».
Source : ZDNet.com
