Video Poster Image

Étude mondiale sur l’état du renseignement sur les menaces

Intelligence exploitable et contextualisée pour augmenter votre cyber-résilience

Période de référence : septembre – décembre 2023
S'abonner Télécharger

La dernière édition du rapport BlackBerry® sur l’état du renseignement sur les menaces vient de paraître avec au menu, les enseignements tirés d’une période chargée pour les auteurs de menaces. Au lieu du trimestre habituel, l’étude s’est déroulée sur quatre mois, du 1er septembre au 31 décembre 2023. Toutefois, les résultats ont été ajustés pour faciliter les comparaisons par jour et par minute.

Au cours de la période étudiée, les solutions de cybersécurité de BlackBerry® ont stoppé plus de 5,2 millions de cyberattaques. Le nombre d’attaques par minute est ainsi passé de 26, pour la période précédente, à 31, ce qui représente une augmentation de 19 %.

S’agissant des nouveaux malwares, environ 5 300 échantillons uniques par jour ont en moyenne ciblé les clients de BlackBerry, soit une hausse de 27 % par rapport à la période précédente.

Figure 1 : Évolution chronologique du nombre d’échantillons de malwares uniques par minute.

infrastructures critiques ont subi le nombre de cyberattaques le plus élevé au cours de la période couverte par notre étude (voir Figure 2). L’expression « infrastructures critiques » englobe des secteurs tels que les communications, la défense, l’énergie, la finance, l’administration, la santé, les transports et les services publics (gaz, eau et électricité).

Les installations exploitées dans ces secteurs ont essuyé plus de 62 % de l’ensemble des cyberattaques, soit plus de deux millions d’attaques, dont la moitié visait des institutions financières.

Aujourd’hui, les cybermenaces s’imposent comme une nouvelle arme de destruction massive capable de perturber, voire de détruire, les installations de chauffage et de traitement des eaux, les services de transport, les hôpitaux et les centres administratifs d’une région. Compte tenu de la numérisation croissante des infrastructures critiques, les auteurs de menaces peuvent à présent s’attaquer à une installation entière en exploitant à distance les défauts de configuration et autres vulnérabilité . Dans l’édition 2024 de son Global Risk Report, le Forum économique mondial classe les cybermenaces parmi les « risques les plus graves à l’échelle planétaire pour les deux prochaines années ».

L’appât du gain peut également motiver l’attaque d’une infrastructure. À titre d’exemple, un groupe de menaces peut se servir d’un malware capable de voler des informations (infostealer) pour accéder à un système et télécharger secrètement des données (plans de défense, comptes financiers, dossiers médicaux, schémas d’installations, etc.) en vue de les revendre sur le dark web.

Les cybermenaces les plus courantes pour les infrastructures critiques sont les suivantes :

  • PrivateLoader : cette famille de téléchargeurs écrits en C++ est observée en permanence depuis sa découverte en 2021. Ces programmes sont souvent utilisés pour déployer des infostealers sur l’ordinateur ou l’appareil de leurs victimes.
  • RisePro : cet « aspirateur de données » circule depuis 2022.
  • SmokeLoader : ce téléchargeur se propage souvent par le biais de documents ou de liens d’hameçonnage, ciblant les entreprises des secteurs de l’énergie et les administrations.
  • PikaBot : cette menace majeure a sévi tout au long de l’année sous la forme d’un malware modulaire présentant de nombreuses similitudes avec le cheval de Troie QakBot et capable de recevoir diverses instructions de son centre de commande et contrôle (CnC).
  • Intelligence artificielle (IA) : l’IA devrait être de plus en plus utilisée pour cibler les infrastructures critiques, en particulier les processus gouvernementaux et électoraux, ainsi que pour diffuser de fausses informations. La directrice de la CISA, Jen Easterly, met en garde,2 contre les menaces liées à cette technologie : « L’IA générative amplifiera les risques de cybersécurité et permettra d’inonder notre pays de faux contenus plus facilement, plus rapidement et à moindre coût.

Les entreprises commerciales ont également été fortement ciblées, principalement à des fins financières. Cette catégorie d’entreprises comprend la vente au détail, la fabrication, la distribution en gros et les services professionnels. Plus d’un million d’attaques ont ciblé le secteur des entreprises commerciales, soit près de 33 % de l’ensemble des agressions bloquées par les solutions de cybersécurité de BlackBerry. Les ransomwares constituent une méthode d’attaque courante contre les entreprises commerciales, de même que les infostealers. En ce qui concerne les nouveaux malwares, 53 % des hachages uniques détectés au cours de la période d’étude ont été lancés contre des entreprises. Les malwares uniques sont généralement utilisés lorsqu’un hacker s’intéresse de très près à une entreprise ou à un secteur particulier.

Parmi les principales menaces visant les entreprises figurent SmokeLoader et PrivateLoader (voir ci-dessus), mais également Formbook/XLoader, OriginLogger et Remcos. Au cours de l’étude, les menaces les plus fréquemment observées contre les entreprises commerciales ont été les suivantes :

  • Formbook : rebaptisé XLoader, cet infostealer connu de longue date s’empare des données de formulaires web et de navigation, et enregistre les frappes au clavier.
  • Remcos : ces logiciels de prise de contrôle et de surveillance à distance (RAT) sont disponibles dans le commerce. Bien qu’utilisés comme outils de surveillance légitimes, les logiciels de la famille Remcos sont de même souvent exploités par les groupes cybercriminels.
  • OriginLogger : membre de la famille Agent Tesla composée de RAT capables de voler des informations, le programme OriginLogger peut s’emparer des données de navigation web, capturer les frappes clavier et même effectuer des captures d’écran de l’appareil de la victime.
Figure 2 : Attaques stoppées et hachages de malwares uniques par secteur d’activité (de septembre à décembre 2023).

Parmi les nouvelles positives, une initiative internationale menée par les États-Unis, la France, l’Allemagne, le Royaume-Uni et d’autres pays a abouti au démantèlement de Qakbot, un important botnet de malwares. L’opération Duck Hunt a également permis de supprimer à distance le malware Qakbot qui avait infecté 700 000 appareils, dont 200 000 ordinateurs3 aux États- Unis. Enfin, plus de 8,6 millions de dollars en cryptomonnaies empochés par Qakbot ont été saisis durant cette offensive.

Les rapports BlackBerry sur l’état du renseignement sur les menaces ont pour vocation de fournir des informations contextuelles exploitables à propos des cybermenaces. Afin d’aider au mieux les professionnels de la sécurité numérique à lutter contre la cybercriminalité, ces rapports comportent plusieurs chapitres consacrés à l’identification et au blocage des principales menaces observées au cours de la période couverte. Ils décrivent les menaces les plus répandues pour chaque système d’exploitation, et présentent les auteurs de menaces et leurs outils.

Nous avons également inclus des chapitres consacrés aux sujets suivants :

  • Analyses et réponse aux incidents. L’équipe BlackBerry® de réponse aux incidents (IR) fournit de précieuses observations sur les menaces qu’elle a traitées au cours de la période étudiée. L’équipe IR élabore des plans de réponse rapide pour minimiser l’impact des cyberattaques et faire en sorte que le processus de restauration numérique respecte les bonnes pratiques existantes.
  • Vulnérabilités et expositions communes (CVE). Ce programme mis au point par l’équipe MITRE dévoile les vulnérabilités et expositions connues publiquement qui touchent les logiciels commerciaux. Au cours de la période étudiée, de nouvelles vulnérabilités ont été découvertes dans des produits de Cisco®, d’Apache®, de Citrix® et de JetBrains®.
  • Techniques MITRE courantes. BlackBerry a enregistré les 20 principales techniques (sur les 300 que compte le référentiel MITRE ATT&CK®) utilisées pour les cyberattaques au cours des quatre mois de l’étude.
  • Contre-mesures appliquées. BlackBerry a analysé les cinq principales techniques MITRE observées au cours de la période étudiée et fourni des contre-mesures.
  • Données et observations de CylanceGUARD, CylanceGUARD® est un service de détection et remédiation managées (MDR) disponible sur abonnement. Outre une surveillance 24x7x365, ce service aide les entreprises à stopper les cybermenaces sophistiquées qui recherchent des failles dans le programme de sécurité du client. L’équipe MDR de BlackBerry a suivi des milliers d’alertes au cours de la période couverte par cette édition du rapport.

Notre objectif est de permettre aux lecteurs de convertir nos conclusions en capacités pratiques de traque et de détection des menaces. Pour de plus amples informations, lisez la version complète du rapport BlackBerry sur l’état du renseignement sur les menaces, édition de mars 2024.

Clause de non-responsabilité

À propos de BlackBerry : BlackBerry (NYSE : BB ; TSX : BB) fournit des logiciels et des services de sécurité intelligents aux entreprises et aux gouvernements du monde entier. La société assure la sécurité de plus de 235 millions de véhicules actuellement en circulation. Située à Waterloo (Canada), la société s’appuie sur l’intelligence artificielle et l’apprentissage automatique pour proposer des solutions innovantes dans les domaines de la cybersécurité, de la protection et de la confidentialité des données. BlackBerry est également leader dans les domaines de la gestion de la sécurité des terminaux, du chiffrement et des systèmes embarqués. La vision de BlackBerry est claire : assurer un futur connecté auquel vous pouvez faire confiance.