Paris — novembre 18, 2020 —

Sophos, leader mondial de la cybersécurité Next-Gen, annonce la publication de son rapport sur les menaces 2021 (Sophos 2021 Threat Report), qui met en lumière la manière dont les ransomwares et les comportements rapidement changeants des attaquants, quel que soit leur niveau, va façonner le paysage des menaces et de la sécurité IT en 2021. Ce rapport, rédigé par les chercheurs en sécurité de SophosLabs, en collaboration avec les équipes d’intervention rapide, de sécurité dans le cloud et les experts en matière d’IA de Sophos, fournit une perspective en trois dimensions sur les menaces et les tendances en matière de sécurité, depuis leur conception jusqu’à leur impact dans le monde réel.

Les trois tendances majeures analysées au sein du Sophos 2021 Threat Report sont le suivantes :

1. Le fossé entre les opérateurs de ransomwares situés aux deux extrémités du spectre en matière de compétences et de ressources va se creuser.

Les familles de criminels hautement compétentes et dotées de nombreuses ressources qui utilisent des ransomwares vont continuer à affiner et à modifier leurs tactiques, techniques et procédures (TTP) en matière de pêche au gros. Cela va leur permettre d’échapper plus facilement à la détection et d’atteindre le même niveau de sophistication que certains États-nations, en ciblant des entreprises de plus grande envergure et en émettant des demandes de rançons qui atteindront plusieurs millions d’euros. En 2020, de telles familles incluent Ryuk et RagnarLocker. À l’autre extrémité du spectre, Sophos s’attend à une hausse du nombre d’attaquants de faible envergure et dotés de compétences élémentaires, cherchant à mettre la main sur des ransomwares as-a-service et équipés d’un menu contre des sommes modiques, à l’instar de Dharma, qui leur permettent de s’en prendre à un plus grand volume de cibles plus modestes.

Une autre tendance s’appuie sur le recours à « l’extorsion secondaire » ; en plus du chiffrement des données, les attaquants dérobent des informations sensibles ou confidentielles et menacent de les rendre publiques si leurs exigences ne sont pas satisfaites. En 2020, Sophos a publié des rapports sur Maze, RagnerLocker, NetwalkerREvil et d’autres encore qui utilisent cette approche.

« Le modèle commercial des ransomwares est dynamique et complexe. Au cours de l’année 2020, Sophos a constaté une tendance claire chez les criminels à se différencier en fonction de leur degré de compétences et des cibles qu’ils choisissent. Toutefois, nous avons également vu des familles de ransomwares partager avec d’autres des outils de grande qualité et former des “cartels” collaboratifs dotés d’un fonctionnement propre, » déclare Chester Wisniewski, principal chercheur chez Sophos. « Certains, comme Maze, semblent plier bagage et se diriger vers une vie d’oisiveté ; toutefois, certains de leurs outils et techniques ont refait surface sous un nouveau nom, Egregor. Le paysage des cybermenaces a horreur du vide. Lorsqu’une menace disparaît, une autre vient rapidement prendre sa place. Sous bien des aspects, il est presque impossible de prédire la voie qu’empruntera un ransomware, mais les tendances en matière d’attaques observées dans le rapport sur les menaces de Sophos cette année sont susceptibles de se poursuivre en 2021. »

2. Les menaces quotidiennes comme les malwares de base, notamment de type loaders et botnets, ou encore les opérations menées par des individus visant à gagner un accès initial à un réseau avant de le revendre (Initial Access Brokers), nécessiteront une attention particulière de la part des équipes de sécurité.

Ces menaces peuvent ressembler à un brouillard diffus de logiciels malveillants peu développés, mais elles sont conçues pour garantir un point d’entrée au sein d’un système cible, afin de collecter des données essentielles ou de partager des informations vers un réseau command-and-control qui leur fournira par la suite des instructions supplémentaires. Si des opérateurs humains sont à l’origine de ces menaces, ils passent en revue chaque appareil infecté en fonction de sa géolocalisation et d’autres signes de valeur, puis ils vendent un accès aux cibles les plus lucratives au plus offrant, comme un opérateur de ransomwares de grande envergure. À titre d’exemple, en 2020, Ryuk a utilisé le loader Buer afin de disséminer son ransomware.

« Les malwares de base peuvent être perçus comme une tempête de sable faite de petites particules qui viennent gripper les rouages d’un système en charge des alertes de sécurité. D’après les analyses de Sophos, il est clair que les défenseurs doivent prendre ces attaques au sérieux, en raison de leurs débouchés possibles. Une infection peut mener à tous les autres types d’infection. Beaucoup d’équipes de sécurité ont l’impression qu’un incident a été empêché une fois qu’un malware a été bloqué ou supprimé et que la machine infectée a été nettoyée, » déclare Wisniewski. « Il est possible qu’elles n’aient pas perçu que l’attaque visait plus d’une seule machine et que des malwares qui peuvent sembler élémentaires, comme Emotet ou le loader Buer, sont susceptibles de mener à des attaques par Ryuk, Netwalker ou d’autres malwares avancés. Parfois, les départements IT ne le remarquent pas jusqu’à ce que le ransomware soit déployé et cela peut arriver au milieu de la nuit ou au cours du week-end. Le fait de sous-estimer des infections considérées comme “mineures” peut coûter très cher. »

3. Les attaquants de tous niveaux vont de plus en plus souvent détourner des outils légitimes, des services publics bien connus et des réseaux habituels pour éviter la détection, déjouer les mesures de sécurité et empêcher l’analyse et l’attribution des attaques.

L’utilisation abusive d’outils légitimes permet aux criminels d’éviter d’être détectés lorsqu’ils opèrent sur un réseau jusqu’à ce qu’ils soient prêts à lancer la phase principale d’une attaque, comme la dissémination d’un ransomware. Pour les attaquants sponsorisés par des États-nations, un avantage supplémentaire consiste à rendre difficile l’attribution d’une attaque. En 2020, Sophos a publié un rapport sur le grand nombre d’outils standards qui sont à présent détournés par les cybercriminels.

« L’utilisation détournée des outils et techniques d’utilisation quotidienne pour déguiser une attaque active est un sujet longuement abordé au sein d’une étude menée par Sophos sur le paysage des menaces en 2020. Cette méthode remet en question les approches sécuritaires traditionnelles, car l’apparition d’outils connus ne déclenche pas automatiquement une alerte. C’est là que le domaine de la chasse aux menaces et de l’intervention managée, qui connaît actuellement une croissance rapide, montre pleinement son utilité, » déclare Wisniewski. « Les experts savent concentrer leurs recherches sur certaines anomalies et autres traces subtiles, comme un outil légitime utilisé au mauvais moment ou au mauvais endroit. Pour les chasseurs de menaces et les managers IT formés à l’utilisation de fonctionnalités de l’EDR), ces indications sont autant de signaux d’alerte qui permettent aux équipes de sécurité de détecter un intrus potentiel ou une attaque en cours. »

Les autres tendances analysées au sein du Sophos 2021 Threat Report incluent :

  • Les attaques sur les serveurs : les criminels ciblent des plateformes de serveurs qui utilisent à la fois Windows et Linux et s’en servent pour attaquer des entreprises de l’intérieur
  • L’impact de la pandémie de COVID-19 sur la sécurité IT, comme les défis sécuritaires liés au télétravail et à l’utilisation d’une multitude de réseaux personnels dotés d’une grande variété de couches de sécurité
  • Les défis en matière de sécurité auxquels les environnements cloud font face : le cloud a répondu avec succès à la demande des entreprises qui avaient besoin d’environnements informatiques plus sûrs, mais il fait face à des défis différents de ceux d’un réseau d’entreprise traditionnel
  • Les services habituels, comme les protocoles de bureau à distance (RDP) et les concentrateurs VPN demeurent une cible préférentielle pour les attaques sur le périmètre d’un réseau. Les attaquants utilisent les RDP pour se déplacer latéralement au sein des réseaux infiltrés.
  • Les applications logicielles traditionnellement désignées comme « potentiellement indésirables », car elles émettaient un grand nombre de publicités, mais employaient des tactiques qui sont de moins en moins faciles à distinguer de celles des logiciels ouvertement malveillants
  • La réapparition surprenante d’un ancien bug, VelvetSweatshop – une fonctionnalité de mot de passe par défaut pour d’anciennes versions de Microsoft Excel – utilisé pour cacher des macros et d’autres types de contenus malveillants dans des documents et échapper ainsi à la détection avancée des menaces
  • La nécessité de mettre en place des approches inspirées de l’épidémiologie pour quantifier les cybermenaces qui n’ont pas été constatées, détectées ou repérées afin de mieux combler les lacunes en matière de détection, d’évaluation des risques et de définition des priorités

Chester Wisniewski, chercheur chez Sophos, offre une vue d’ensemble du Rapport sur les menaces 2021 de Sophos dans la vidéo ci-dessous :

 

Les conclusions du Sophos 2021 Threat Report sont présentées dans deux articles publiés sur SophosLabs Uncut et Naked Security.

Le rapport complet est disponible sur www.sophos.com/threatreport.

À propos de Sophos

Sophos est un leader mondial innovant dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. La Société a fait l’acquisition de Secureworks en février 2025, réunissant ainsi deux pionniers qui ont redéfini l’industrie de la cybersécurité grâce à leurs services, technologies et produits innovants, optimisés par l’intelligence artificielle native. 
Sophos est désormais le plus grand fournisseur spécialisé de services de détection et réponse managées (MDR) protégeant plus de 28,000 organisations à travers et d’autres services, son portefeuille complet comprend les solutions de sécurité de pointe pour les endpoints, les réseaux, les emails et le cloud, qui interagissent et s’adaptent dynamiquement pour assurer une défense efficace via la plateforme Sophos Central.  
Secureworks apporte à cette alliance ses technologies innovantes et leaders sur le marché, notamment Taegis XDR/MDR, la détection et réponse aux menaces sur l’identité (ITDR), des capacités SIEM nouvelle génération, la gestion des risques ainsi qu’un ensemble complet de services de conseil en cybersécurité.  
Sophos commercialise l’ensemble de ces solutions à travers un réseau mondial de revendeurs, de fournisseurs de services managés (MSP) et de fournisseurs de services de sécurité managés (MSSP), protégeant plus de 600 000 entreprises contre le phishing, les ransomwares, le vol de données et d’autres cybermenaces, qu’elles soient quotidiennes ou menées par des Etats-nations.  
Toutes les solutions sont alimentées par des renseignements sur les menaces en temps réel et historiques issus de Sophos X-Ops et de la Counter Threat Unit (CTU) récemment intégrée.  
Le siège social de Sophos est situé à Oxford, au Royaume-Uni. Pour plus d’informations, consultez le site sophos.fr.