Video Poster Image

ÉTUDE MONDIALE SUR L’ÉTAT DU RENSEIGNEMENT SUR LES MENACES SYNTHÈSE

Période de l’étude : décembre 2022 à février 2023
Lisez le rapport complet (en anglais)

Pendant la période couverte par cette étude, BlackBerry a protégé des clients du monde entier contre plus d’un million et demi de cyberattaques, soit en moyenne plus de 17 000 attaques par jour ou environ 12 par minute. Les menaces observées comprenaient 200 454 nouveaux échantillons de malwares, ce qui équivaut à environ 2 252 nouveaux échantillons par jour ou à peu près 1,5 nouvel échantillon par minute. Ces chiffres représentent une hausse de 50 % par rapport à la moyenne d’un échantillon unique par minute enregistrée au cours de la période d’étude précédente.

Des malwares ont été détectés sur tous types d’appareils et de systèmes d’exploitation. De plus, la généralisation et le faible coût des malwares en tant que service (MaaS – Malware-as- a-Service) et des rançongiciels en tant que service (RaaS – Ransomware-as-a-Service) continuent de donner aux groupes et individus sans grandes compétences techniques les moyens de lancer des attaques.

Le rapport revient également sur les attaques par malware visant les différents systèmes d’exploitation ; sur les menaces, cybercriminels et vecteurs d’attaque particulièrement marquants ; ainsi que les techniques MITRE et de détection les plus courantes. Il examine aussi les points suivants :

  • les attaques à motivation géopolitique
  • l’impact potentiel de ChatGPT et des outils émergents fondés sur l’IA
  • la multiplication des tactiques d’empoisonnement de moteurs de recherche (SEO poisoning)
  • Les paysages de menaces propres aux secteurs d’activité suivants :
    • finance
    • santé
    • fabrication
    • énergie
    • administrations et services publics

TENDANCES ET DÉVELOPPEMENTS MAJEURS

Le rapport se penche sur les grandes tendances suivantes.

Attaques à motivation géopolitique

Alors que la guerre en Ukraine se poursuit, les cyberattaques russes visant le gouvernement ukrainien et ses citoyens ne cessent de se multiplier. Au cours de ce trimestre, l’équipe BlackBerry de recherche sur les cybermenaces a publié les résultats d’une étude concernant une nouvelle campagne menée par un groupe à la solde de la Russie, qui cible diverses entités et individus en Ukraine depuis une décennie.

Cette nouvelle campagne se sert de leurres de phishing rédigés en russe et en ukrainien, conçus pour donner l’impression de provenir d’agences gouvernementales ukrainiennes. Des fonctionnalités de géolocalisation font en sorte que les leurres soient uniquement livrés à des adresses IP situées en Ukraine.

Réalisée en plusieurs étapes, la chaîne d’exécution se fait passer pour du trafic issu d’une application de messagerie classique, ce qui rend difficile la distinction entre les activités malveillantes et le trafic normal. L’Ukraine est également visée par des attaques exploitant le cheval de Troie d’accès à distance DarkCrystal.

ChatGPT et les menaces assistées par l’IA

Quelques semaines seulement après son lancement en novembre 2022, des cybercriminels testaient déjà ChatGPT, un chatbot interactif basé sur l’intelligence artificielle (IA), et discutaient publiquement de la manière dont ils pourraient l’utiliser. ChatGPT et d’autres outils émergents similaires peuvent faciliter la rédaction de code malveillant, la création de deepfakes et de leurres de phishing convaincants, mais aussi accélérer l’analyse et l’identification de fichiers potentiellement précieux concernant les systèmes ciblés.

Empoisonnement de moteurs de recherche (SEO poisoning)

L’optimisation des moteurs de recherche (SEO – Search Engine Optimization) est un ensemble de techniques permettant aux sites web d’apparaître en bonne place dans la liste des résultats affichés suite à une requête. Les attaquants exploitent cette technique pour optimiser des pages web malveillantes pour qu’elles apparaissent en tête des résultats de recherche, comme s’il s’agissait de pages publiées par une source fiable et reconnue — un fabricant ou un éditeur, par exemple. En « empruntant » la réputation de sites web légitimes, les sites empoisonnés incitent les victimes à visiter des pages où leurs systèmes sont attaqués. Les empoisonnements de moteurs de recherche se sont multipliés ce trimestre, en particulier dans le secteur de la santé, et cette tendance devrait se poursuivre.

SECTEURS CIBLÉS

Le rapport examine le paysage des menaces de cinq grands secteurs mondiaux.

Finance

Durant la période d’étude, des institutions financières mondiales protégées par les technologies BlackBerry® ont été la cible de 231 510 attaques par malwares, soit une moyenne quotidienne de 2 601 attaques. Au total, 3 004 de ces agressions se sont appuyées sur de nouveaux échantillons de malwares, pour l’équivalent de 34 attaques individuelles par jour.

Dans le secteur financier, BlackCat a été la famille de ransomwares la plus active. En outre, l’infostealer RedLine a été largement déployé pour extraire des données sensibles et accéder à des identifiants sur les machines des victimes, l’objectif étant de revendre ces informations sur des marchés parallèles.

Santé

Au cours de la période couverte par cette étude, les solutions Cylance® Endpoint Security ont détecté et neutralisé 5 246 échantillons de malwares uniques et déjoué plus de 93 000 attaques individuelles orchestrées contre des acteurs de la santé. Avec une moyenne d’environ 59 nouveaux échantillons malveillants identifiés chaque jour, le secteur continue de faire face à d’importantes menaces de sécurité.

Les dangers qui ont pesé sur les prestataires et les services de santé durant ce trimestre sont Emotet, un injecteur (dropper) et téléchargeur (downloader) piloté au travers d’un botnet ; l’infostealer RedLine ; et les ransomwares BlackCat, Royal et Mallox. Parmi les attaques les plus marquantes enregistrées dans ce secteur figure l’attaque LockBit perpétrée en décembre contre l’hôpital pour enfants (Hospital for Sick Children) de Toronto. Cette opération a entraîné des retards dans les travaux d’imagerie et d’analyses en laboratoire, perturbé les communications téléphoniques et bloqué le système de paie pendant deux semaines, avant que LockBit ne finisse par s’excuser et livre le déchiffreur gratuitement.

Fabrication

La période d’étude a révélé une légère augmentation des cryptomineurs (mineurs de cryptomonnaies) trojanisés ciblant les ressources informatiques des entreprises manufacturières. Les autres attaques recensées dans ce secteur comprennent la campagne du groupe de ransomware Vice Society lancée contre des fabricants situés au Brésil, et l’attaque fructueuse du groupe Play contre une entreprise basée aux États-Unis. Pendant cette période, un chercheur en sécurité a découvert une vulnérabilité dans l’application de gestion de la chaîne logistique mondiale d’un constructeur automobile. L’analyste ayant rapidement fait part de ses découvertes, le constructeur a pu corriger la faille avant qu’elle ne soit exploitée par des acteurs malveillants.

Énergie

Plusieurs attaques visant des infrastructures critiques, des fournisseurs et des producteurs du secteur de l’énergie ont eu lieu au cours du trimestre couvert par notre étude. C’est le cas de l’attaque initiée par le groupe ALPHV contre un producteur privé de pétrole et de gaz naturel basé aux États-Unis. Bien que l’entreprise ait affirmé avoir subi de légères perturbations, plus de 400 Go de données divulguées ont été exposés suite à cette opération. ALPHV a également réussi à désactiver certains systèmes en ligne d’un fournisseur d’énergie colombien. L’étude révèle en outre des attaques par malwares liées à la Russie contre des cibles du secteur de l’énergie aux États-Unis, certaines d’entre elles exploitant PIPEDREAM pour compromettre le système de contrôle industriel (ICS – Industrial Control Systems) de grandes infrastructures d’alimentation électrique et de production de gaz naturel.

Administrations et services publics

Au cours de la période étudiée, les solutions Cylance Endpoint Security ont bloqué plus de 40 000 attaques individuelles menées contre des administrations et des services publics. Ces menaces comprenaient 6 318 échantillons de malwares uniques, soit une moyenne d’environ 70 échantillons uniques par jour.

Les infostealers les plus courants comme RedLine et SmokeLoader ont représenté le plus grand nombre de menaces observées. D’autres malwares open source dont njRAT et Allakore ont également été détectés, ainsi que de multiples menaces propagées via des périphériques USB infectés, notamment sur des systèmes gouvernementaux à Guam et aux Philippines.

PRÉVISIONS ET RECOMMANDATIONS

L’équipe BlackBerry de recherche sur les cybermenaces anticipe les tendances ci-après pour la prochaine période d’étude et tout au long de l’année 2023 :

  • poursuite des cyberattaques russes contre l’Ukraine et ses alliés
  • redoublement des attaques contre les chaînes logistiques dans tous les secteurs d’activité
  • multiplication des cyberattaques générées ou assistées par l’IA

Cette synthèse recense les principaux points et recommandations extraits de l’étude mondiale sur l’état du renseignement sur les menaces (édition d’avril 2023). Pour de plus amples informations, lisez le rapport complet.