Pendant la période couverte par cette étude, les Cylance® Endpoint Solutions de BlackBerry ont neutralisé plus d’un million et demi d’attaques. En moyenne, les cybercriminels ont lancé à peu près 11,5 attaques par minute, dont environ 1,7 nouvel échantillon de malware par minute. Ces chiffres représentent 13 % de nouveaux échantillons en plus par rapport à la moyenne de 1,5 nouvel échantillon par minute enregistré au cours de la période précédente, ce qui révèle la diversité des outils dont les attaquants se servent pour tenter de contourner les contrôles des systèmes de défense. Du côté des auteurs de menaces, le célèbre groupe APT28 et le Lazarus Group, que l’on pense opérer pour le compte de la Corée du Nord, ont été très actifs ce trimestre. On a également observé l’utilisation d’outils comme AdFind et Extreme RAT, et des outils légitimes Mimikatz (framework open source de tests de pénétration) et Cobalt Strike (solution commerciale d’émulation de menaces).
Les secteurs d’activité suivants ont été régulièrement pris pour cibles durant cette période d’étude :
Les secteurs d’activité suivants ont été régulièrement pris pour
cibles durant cette période d’étude :
• Administrations et services publics : au cours de la période étudiée, les solutions de cybersécurité de BlackBerry® ont stoppé plus de 55 000 attaques individuelles perpétrées contre des administrations et des services publics, ce qui correspond à une hausse de près de 40 % par rapport à la période précédente. Des attaques contre des entités gouvernementales ont été contrecarrées en Amérique du Nord et dans la région Asie- Pacifique (APAC), où l’Australie, la Corée du Sud et le Japon ont été fortement ciblés. Le rapport complet revient sur les malwares les plus courants, les motivations potentielles des attaquants qui s’en prennent aux administrations, et examine le paysage mondial des menaces qui planent sur ce secteur.
• Santé : les groupes de ransomwares ont continué de viser les établissements de santé, où les données personnelles confidentielles et les services critiques constituent une proie lucrative. Durant cette étude, BlackBerry a détecté et bloqué 13 433 fichiers binaires malveillants uniques et a empêché plus de 109 922 attaques distinctes ciblant le secteur de la santé. Parmi les attaques notables enregistrées figurent celles ayant perturbé des hôpitaux et des entreprises de fabricants et de fournisseurs de produits pharmaceutiques en Espagne et en Inde. S’ajoute à la liste la compromission d’un hôpital sud-coréen par des cybercriminels basés en Corée du Nord.
• Finance : compte tenu de leur importance économique et de la richesse que représentent leurs données sensibles, les institutions financières ne cessent de faire l’objet de menaces. Au cours du trimestre couvert par notre étude, les technologies et services de cybersécurité de BlackBerry ont stoppé plus de 17 000 attaques visant des institutions financières. Les États-Unis ont été le pays le plus ciblé, suivis par les pays d’Amérique du Sud et d’Asie. Les menaces basées sur la technologie Android et observées durant cette période incluent un cheval de Troie se faisant passer pour une application bancaire légitime et une nouvelle variante de malware existant qui a permis aux cybercriminels de faire main basse sur les identifiants d’utilisateurs de centaines de banques dans le monde.
• Infrastructures critiques : durant notre étude, les solutions Cylance Endpoint Security ont contrecarré plus de 25 000 attaques menées contre des infrastructures critiques. Ces attaques ont la plupart du temps ciblé des clients basés aux États-Unis, en Inde, au Japon et en Équateur. Le nombre de menaces contre les infrastructures critiques situées en Occident était si élevé que le centre national de cybersécurité du Royaume-Uni a émis une alerte appelant à une sensibilisation et une vigilance accrues devant la multiplication des activités malveillantes menées contre des infrastructures et pilotées par des groupes étatiques et favorables à l’invasion de l’Ukraine par la Russie.
Les secteurs attaqués au cours de notre étude étaient plus variés que dans le dernier rapport. La figure ci-dessous présente une répartition des cyberattaques parmi les trois principaux secteurs. Elle révèle également la relation inverse qui existe sur le classement (de 1 à 3) de ces secteurs pour ce qui est des attaques stoppées par rapport aux hachages uniques bloqués.
Tous les secteurs devraient connaître une hausse des attaques à motivation géopolitique. Dans ce contexte d’escalade, les gouvernements renforcent leur collaboration pour mieux investiguer, réagir et se remettre des incidents. Le rapport se penche sur la réponse internationale organisée face aux menaces à motivation géopolitique provenant de groupes parrainés ou non par des États.
Le rapport revient également sur les malwares dont les principaux systèmes d’exploitation sont le plus fréquemment la cible. Les malwares conçus pour les systèmes Microsoft® Windows® incluent des injecteurs et des téléchargeurs (Emotet, PrivateLoader et SmokeLoader), des voleurs d’informations (RedLine, RaccoonStealer, Vidar et IcedID), le RAT Agent Tesla et le ransomware propagé par le groupe BlackCat/ALPHV.
SpyNote est l’un des malwares les plus répandus contre les appareils Android™. Ce logiciel est capable de surveiller l’emplacement d’un appareil, d’accéder à sa caméra, d’intercepter les SMS (ce qui permet aux attaquants de contourner l’authentification à deux facteurs), d’enregistrer les appels téléphoniques et d’extraire des informations précieuses comme des identifiants et des données de carte bancaire.
Étant donné que l’OS Linux® est essentiellement déployé sur des systèmes d’entreprise, les vecteurs d’infection les plus répandus utilisent des mots de passe de force brute, pour obtenir des accès Secure Shell (SSH), ou des vulnérabilités présentes au sein de services destinés au grand public. Au cours du trimestre couvert par notre étude, les menaces visant les systèmes Linux comprenaient des attaques par déni de service distribué (DDoS), des ransomwares et des cryptomineurs capables de détourner des ressources système pour exploiter les cryptomonnaies.
Tandis que les malwares typiques ciblant les systèmes macOS ont pour but d’afficher des logiciels publicitaires ou de détourner les recherches dans les navigateurs web, un nombre croissant d’auteurs de menaces se servent de langages de programmation multi-plateformes pour développer des malwares destinés à attaquer le système macOS lui-même. Parmi les menaces observées ce trimestre figurent Atomic macOS (AMOS), une nouvelle souche de voleur d’informations (infostealer) qui s’appuie sur le langage de programmation multi-plateforme GoLang (alias Go). Des logiciels publicitaires (adwares) et des piratages de navigateurs ont également été observés.
Plusieurs événements de cybersécurité majeurs ont été relevés au cours notre étude, à commencer par le coup dur porté aux capacités de cyberespionnage russes. En effet, début mai, le département américain de la Justice annonçait avoir démantelé l’infrastructure utilisée par le groupe Turla, rattaché à une agence de renseignement russe. Autres événements marquants :
• Début mars, les chercheurs de BlackBerry ont observé des campagnes menées par NOBELIUM (APT29), un groupe de cybercriminels publiquement lié au service russe de renseignement étranger et ciblant des entités européennes.
• Fin mars, le fournisseur de solutions de communication d’entreprise 3CX a révélé une faille de sécurité ayant entraîné la diffusion mondiale de versions trojanisées de son logiciel VOIP 3CXDesktopApp, un produit de conférences audio et vidéo largement utilisé pour les appels, la vidéo et le chat en direct.
• En avril, une campagne de publicités malveillantes utilisant Google Ads pour inciter les victimes à télécharger des versions trojanisées de logiciels courants et une campagne de spear-phishing à grande échelle contre l’agence nationale des impôts espagnole ont été observées.
• Début mai, l’équipe BlackBerry de recherche sur les cybermenaces publiait ses conclusions mettant en avant une campagne ciblant des administrations pakistanaises et menée par le groupe SideWinder, que l’on pense être originaire de l’Inde.
• Fin mai, une attaque par ransomware perpétrée par le groupe Rhysia contre l’armée du Chili a été détectée.