Pendant la période couverte par cette étude, BlackBerry a protégé des clients du monde entier contre plus d’un million et demi de cyberattaques, soit en moyenne plus de 17 000 attaques par jour ou environ 12 par minute. Les menaces observées comprenaient 200 454 nouveaux échantillons de malwares, ce qui équivaut à environ 2 252 nouveaux échantillons par jour ou à peu près 1,5 nouvel échantillon par minute. Ces chiffres représentent une hausse de 50 % par rapport à la moyenne d’un échantillon unique par minute enregistrée au cours de la période d’étude précédente.
Des malwares ont été détectés sur tous types d’appareils et de systèmes d’exploitation. De plus, la généralisation et le faible coût des malwares en tant que service (MaaS – Malware-as- a-Service) et des rançongiciels en tant que service (RaaS – Ransomware-as-a-Service) continuent de donner aux groupes et individus sans grandes compétences techniques les moyens de lancer des attaques.
Le rapport revient également sur les attaques par malware visant les différents systèmes d’exploitation ; sur les menaces, cybercriminels et vecteurs d’attaque particulièrement marquants ; ainsi que les techniques MITRE et de détection les plus courantes. Il examine aussi les points suivants :
- les attaques à motivation géopolitique
- l’impact potentiel de ChatGPT et des outils émergents fondés sur l’IA
- la multiplication des tactiques d’empoisonnement de moteurs de recherche (SEO poisoning)
- Les paysages de menaces propres aux secteurs d’activité suivants :
- finance
- santé
- fabrication
- énergie
- administrations et services publics
TENDANCES ET DÉVELOPPEMENTS MAJEURS
Attaques à motivation géopolitique
Alors que la guerre en Ukraine se poursuit, les cyberattaques russes visant le gouvernement ukrainien et ses citoyens ne cessent de se multiplier. Au cours de ce trimestre, l’équipe BlackBerry de recherche sur les cybermenaces a publié les résultats d’une étude concernant une nouvelle campagne menée par un groupe à la solde de la Russie, qui cible diverses entités et individus en Ukraine depuis une décennie.
Cette nouvelle campagne se sert de leurres de phishing rédigés en russe et en ukrainien, conçus pour donner l’impression de provenir d’agences gouvernementales ukrainiennes. Des fonctionnalités de géolocalisation font en sorte que les leurres soient uniquement livrés à des adresses IP situées en Ukraine.
Réalisée en plusieurs étapes, la chaîne d’exécution se fait passer pour du trafic issu d’une application de messagerie classique, ce qui rend difficile la distinction entre les activités malveillantes et le trafic normal. L’Ukraine est également visée par des attaques exploitant le cheval de Troie d’accès à distance DarkCrystal.
ChatGPT et les menaces assistées par l’IA
Empoisonnement de moteurs de recherche (SEO poisoning)
SECTEURS CIBLÉS
Finance
Durant la période d’étude, des institutions financières mondiales protégées par les technologies BlackBerry® ont été la cible de 231 510 attaques par malwares, soit une moyenne quotidienne de 2 601 attaques. Au total, 3 004 de ces agressions se sont appuyées sur de nouveaux échantillons de malwares, pour l’équivalent de 34 attaques individuelles par jour.
Dans le secteur financier, BlackCat a été la famille de ransomwares la plus active. En outre, l’infostealer RedLine a été largement déployé pour extraire des données sensibles et accéder à des identifiants sur les machines des victimes, l’objectif étant de revendre ces informations sur des marchés parallèles.
Santé
Au cours de la période couverte par cette étude, les solutions Cylance® Endpoint Security ont détecté et neutralisé 5 246 échantillons de malwares uniques et déjoué plus de 93 000 attaques individuelles orchestrées contre des acteurs de la santé. Avec une moyenne d’environ 59 nouveaux échantillons malveillants identifiés chaque jour, le secteur continue de faire face à d’importantes menaces de sécurité.
Les dangers qui ont pesé sur les prestataires et les services de santé durant ce trimestre sont Emotet, un injecteur (dropper) et téléchargeur (downloader) piloté au travers d’un botnet ; l’infostealer RedLine ; et les ransomwares BlackCat, Royal et Mallox. Parmi les attaques les plus marquantes enregistrées dans ce secteur figure l’attaque LockBit perpétrée en décembre contre l’hôpital pour enfants (Hospital for Sick Children) de Toronto. Cette opération a entraîné des retards dans les travaux d’imagerie et d’analyses en laboratoire, perturbé les communications téléphoniques et bloqué le système de paie pendant deux semaines, avant que LockBit ne finisse par s’excuser et livre le déchiffreur gratuitement.
Fabrication
Énergie
Administrations et services publics
Au cours de la période étudiée, les solutions Cylance Endpoint Security ont bloqué plus de 40 000 attaques individuelles menées contre des administrations et des services publics. Ces menaces comprenaient 6 318 échantillons de malwares uniques, soit une moyenne d’environ 70 échantillons uniques par jour.
Les infostealers les plus courants comme RedLine et SmokeLoader ont représenté le plus grand nombre de menaces observées. D’autres malwares open source dont njRAT et Allakore ont également été détectés, ainsi que de multiples menaces propagées via des périphériques USB infectés, notamment sur des systèmes gouvernementaux à Guam et aux Philippines.
PRÉVISIONS ET RECOMMANDATIONS
L’équipe BlackBerry de recherche sur les cybermenaces anticipe les tendances ci-après pour la prochaine période d’étude et tout au long de l’année 2023 :
- poursuite des cyberattaques russes contre l’Ukraine et ses alliés
- redoublement des attaques contre les chaînes logistiques dans tous les secteurs d’activité
- multiplication des cyberattaques générées ou assistées par l’IA
Cette synthèse recense les principaux points et recommandations extraits de l’étude mondiale sur l’état du renseignement sur les menaces (édition d’avril 2023). Pour de plus amples informations, lisez le rapport complet.