Malgré son démantèlement dans le cadre d'une opération policière internationale, LockBit a dominé les cas de réponse aux incidents au premier semestre 2024.

PARIS, FR — décembre 12, 2024 —

Sophos, l’un des spécialistes mondiaux de l’innovation et de l’édition de solutions decybersécurité en tant que service, publie sous le titre The Bite from Inside : The Sophos Active Adversary Report un rapport complet sur l’évolution du comportement des cyberadversaires et des techniques d’attaque qu’ils ont utilisées au cours du premier semestre 2024. Extraites de près de 200 cas de réponse aux incidents traités par les équipes Incident Response (IR) et Managed Detection and Response (MDR) de l’unité SophosX-Ops, les données révèlent que les attaquants exploitent des applications et des outils de confiance présents sur les systèmes Windows communément appelés «binaires Living Off The Land» (LOLBins) pour se lancer à la découverte des systèmes et y maintenir un haut niveau de persistance. Par rapport à 2023, Sophos a constaté une augmentation de 51 % de l’utilisation malveillante des LOLbins et une hausse de 83% depuis 2021.

Parmi les 187 LOLbins spécifiques à Microsoft détectés au cours de la première moitié de l’année, le service Bureau à distance (RDP — Remote Desktop Protocol) est l’application de confiance la plus fréquemment utilisée à des fins malveillantes. Sur les quelque 200 cas de réponses aux incidents analysés, les attaquants ont en effet utilisé ce protocole dans 89 % des cas. Cette prédominance confirme une tendance observée pour la première fois dans le rapport 2023 Active Adversary, selon lequel le protocole RDP était employé de façon abusive dans 90 % des cas de réponse aux incidents étudiés.

«La technique Living off the Land permet aux attaquants d’agir de façon furtive tout en validant tacitement leur activité. Si l’utilisation abusive de certains outils légitimes risque de faire tiquer certains défenseurs et, avec un peu de chance, de déclencher quelques alertes, l’exploitation malveillante de fichiers binaires Microsoft a souvent l’effet inverse. En effet, nombre des outils Microsoft utilisés à des fins nocives font partie intégrante de l’environnement Windows et sont employés de manière tout à fait légitime. Il appartient dès lors aux administrateurs système de comprendre comment ces outils sont utilisés dans leur environnement et en quoi leur utilisation est malveillante. Sans une maîtrise contextuelle et subtile de l’environnement, notamment au travers d’une vigilance permanente à l’égard des évènements nouveaux et en cours de développement au sein de leur réseau, les équipes IT actuellement réduites à peau de chagrin risquent de négliger des menaces majeures qui aboutissent dans de nombreux cas à une demande de rançon», explique John Shier, Field CTO de Sophos.

Par ailleurs, ce rapport souligne que malgré le démantèlement de son infrastructure et de son site de fuite de données par les autorités en février 2024, le groupe de ransomwares LockBit était le plus actif avec environ 21 % des infections détectées au cours du premier semestre.

Autres conclusions du dernier rapport Active Adversary :

  • Cause première des attaques : confirmant une tendance initialement mise en lumière dans le Rapport Active Adversary pour les responsables techniques, les identifiants compromis demeurent la cause racine des attaques dans 39 % des cas, un chiffre en recul par rapport à 2023 (56 %).
  • Les violations de réseau pointent en tête selon l’équipe MDR : s’agissant des cas traités par la seule équipe MDR de Sophos, les violations de réseau représentent le principal type d’incident rencontré.
  • Le temps d’exposition est plus court pour l’équipe MDR : en ce qui concerne l’équipe en charge de la réponse aux incidents (IR), le temps d’exposition (c’est-à-dire le délai qui s’écoule entre le début d’une attaque et sa détection) est d’environ huit jours. Dans le cas de l’équipe MDR en revanche, le temps médian est de seulement un jour pour tous les types d’incidents et de seulement trois jours pour les attaques par ransomware.
  • Les serveurs Active Directory les plus fréquemment compromis approchent leur fin de vie : les attaquants ont majoritairement compromis les versions 2019, 2016 et 2012 du service Active Directory (AD). Ces trois moutures ne sont plus prises en charge par Microsoft— c’est la dernière étape avant d’atteindre leur fin de vie et la dernière possibilité d’apporter des correctifs sans recourir à l’assistance payante de Microsoft. Par ailleurs, 21 % des versions de serveurs AD compromises avaient déjà atteint leur fin de vie.

Pour en savoir plus sur le comportement, les outils et les techniques des attaquants, lisez le rapport The Bite from Inside : Le rapport Sophos Active Adversary sur www.sophos.com.

 

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées pour surmonter les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents, ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversales de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.