Étude mondiale sur l’état du renseignement sur les menaces

Juin 2024 Edition

Période de référence : du 1er janvier au 31 mars 2024

S'abonner LIRE LE RAPPORT

Cette nouvelle édition du rapport mondial de BlackBerry® sur l’état du renseignement sur les menaces couvre tous les sujets que le responsable d’un centre des opérations de sécurité (SOC) ou un RSSI doit maîtriser pour se tenir au fait des dernières cybermenaces et des mesures défensives permettant d’y répondre.

Outre des données détaillées sur les cyberattaques, classées par secteur d’activité et par région, le rapport comprend les informations suivantes provenant de sources internes et externes :

  • Principaux types de logiciels malveillants
  • Groupes de menaces les plus actifs
  • Logiciels les plus utilisés à des fins
  • malveillantes
  • Vulnérabilités des logiciels les plus courants
  • Contre-mesures MITRE à disposition des équipes SOC pour identifier les cybermenaces et y remédier

Le nombre de cyberattaques a encore augmenté au cours du premier trimestre 2024. En effet, BlackBerry a enregistré 3,1 millions de tentatives de cyberattaques contre ses clients, l’équivalent de 17 % de cyberattaques en plus par jour par rapport à notre rapport précédent.

Notre télémétrie a également enregistré un total de 630 000 hachages de malwares uniques ciblant nos clients, soit une hausse de plus de 40 % par minute comparé à la période précédente couvrant la fin de l’année 2023.

Le fait qu’un cyberattaquant choisisse d’utiliser des logiciels malveillants connus ou de créer un

hachage de malware unique varie en fonction de l’attaque et de la cible. Par exemple, un hacker qui cible les grandes entreprises d’un secteur donné inondera ces dernières d’e-mails contenant en pièce jointe des malwares standard destinés aux employés.

Inversement, un groupe de cybercriminels doté de ressources conséquentes et visant une proie de grande valeur telle qu’un DAF développera des logiciels malveillants personnalisés dans le but de contourner les mesures mises en place pour la protéger.

PRINCIPALES CONCLUSIONS

Voici les principales conclusions tirées de notre rapport de juin 2024 :

  • Au cours des trois premiers mois de 2024, les infrastructures critiques ont été les plus visées, essuyant 60 % du total des attaques. BlackBerry® et ses solutions de cybersécurité ont neutralisé plus de 1,1 million d’attaques ciblant des secteurs d’activité critiques, les principaux étant la finance, la santé et les administrations.

    Selon la définition de l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), les infrastructures critiques englobent 16 secteurs parmi lesquels la santé, les administrations, l’énergie, l’agriculture, la finance et la défense. La transformation numérique rend ces secteurs de plus en pluls en plus vulnérables aux actes cybercriminels. Les auteurs de menaces exploitent souvent des vulnérabilités récemment mises au grand jour ou ont recours à l’ingénierie sociale pour subtiliser des identifiants et propager des malwares dans ces secteurs.
  • Les cybercriminels exploitent de plus en plus les vulnérabilités présentes dans les logiciels et utilitaires courants. Au cours des trois premiers mois de l’année, BlackBerry a enregistré près de 9 000 nouvelles vulnérabilités et expositions communes (CVE). À titre d’exemple, ConnectWise ScreenConnect, un logiciel tout à fait légitime, et plusieurs outils de gestion informatique édités par Ivanti, ont été exploités par des auteurs de menaces pour diffuser des logiciels malveillants.

  • Les attaques par ransomware qui visent le secteur de la santé sont en hausse. La santé est en effet un secteur extrêmement rentable pour les auteurs de ransomwares, dans la mesure où peu d’établissements hospitaliers peuvent se permettre de subir une interruption de service, quelle qu’en soit la durée. Les données médicales présentent également une grande valeur financière sur le dark web. Les attaques contre ce secteur peuvent avoir de graves répercussions, telles que la paralysie des hôpitaux, des cliniques, des pharmacies et des officines pharmaceutiques qui empêche les patients de recevoir des médicaments et de bénéficier des procédures indispensables. Compte tenu de ces facteurs, le secteur médical devrait rester dans la ligne de mire des cyberattaquants tout au long de l’année 2024.

  • Une nouvelle section, intitulée « Who’s Who des ransomwares », présente les principaux auteurs de menaces spécialisés dans les ransomwares et identifie les groupes émergents. Par exemple, Hunters International, un groupe en activité dans le monde entier depuis fin 2023, occupe déjà une place prépondérante sur le marché des rançongiciels en tant que service (ransomware-as-a-service, RaaS). Les groupes de ransomware parviennent à facilement contourner les défenses de cybersécurité traditionnelles et sont capables d’exploiter sans délai toute nouvelle vulnérabilité — ce qui fait des ransomwares une menace sérieuse pour toute entreprise.

  • Les cyberattaques à motivation politique pointent en tête de liste dans notre section « Analyse géopolitique ». La situation politique internationale et les conflits régionaux ont entraîné une augmentation des logiciels espions, des vols de données et des attaques d’espionnage. En février par exemple, des membres de la sous-commission Sécurité et Défense (SEDE) du Parlement européen ont découvert des logiciels espions sur leur téléphone portable. En mars, des groupes de cybercriminels russes ont intercepté des conversations entre des responsables militaires allemands au sujet d’un éventuel soutien militaire à l’Ukraine. Toujours en mars, le ministère américain de la Justice (DoJ) et le FBI ont révélé que des cybergroupes chinois avaient ciblé plusieurs membres britanniques, européens, américains et canadiens de l’Alliance interparlementaire sur la Chine (IPAC). Enfin, des groupes israéliens, palestiniens et iraniens ont mutuellement pris pour cible leurs infrastructures et entreprises commerciales respectives.

  • 56 % des CVE ont reçu la note de 7 ou plus sur le système de notation des vulnérabilités (CVSS) dont l’échelle va de 1 à 10. Les CVE ont été rapidement exploitées à des fins malveillantes par des développeurs de malwares, notamment pour être utilisées dans des ransomwares et des « infostealers ».

  • Enfin, notre rubrique consacrée aux techniques MITRE courantes et aux contre-mesures appliquées aidera les équipes SOC à reconnaître les tactiques et techniques malveillantes afin de mieux s’en protéger. BlackBerry a enregistré les 20 techniques les plus utilisées par les attaquants (sur les 300 que compte le référentiel MITRE ATT&CK®). Les analystes de BlackBerry® ont développé des contre-mesures pour les cinq techniques les plus utilisées.

Clause de non-responsabilité

Le rapport mondial de BlackBerry sur l’état du renseignement sur les menaces est l’aboutissement des études, des analyses et des conclusions de nos équipes Cyber Threat Intelligence (CTI) et Incident Response (IR), ainsi que des spécialistes de notre division CylanceMDR™*. Il propose des éclairages d’experts sur des sujets et des défis de cybersécurité majeurs.
Pour de plus amples informations, lisez la version complète du rapport mondial de BlackBerry sur l’état du renseignement sur les menaces, édition juin 2024.
* Anciennement connu sous le nom de CylanceGUARD®.