38 % des attaques de ransomwares « rapides » recensées dans cette étude ont eu lieu dans les 5 jours suivant l’accès initial

La rapidité de ces attaques empêche les cyberdéfenseurs de répondre

PARIS, FR — novembre 28, 2023 —

Sophos, un leader mondial de la cybersécurité innovante «as a Service», publie son étudeActive Adversary Report for Security Practitioners qui révèle l’absence de fichiers de télémétrie dans près de la moitié des cyberattaques étudiées. Dans 82% des cas étudiés, des cybercriminels ont désactivé ou effacé les traces de leurs actions. L’étude couvre des cas de réponse aux incidents analysés par Sophos durant le premier semestre 2023.

Ces lacunes dans la télémétrie réduisent la visibilité indispensable sur le système d’information des entreprises, d’autant que le temps d’exposition des cyberattaquants – le délai qui s’écoule entre leur accès initial et leur détection – ne cesse de décroître, raccourcissant le laps de temps dont disposent les cyberdéfenseurs pour répondre efficacement à un incident.

«Le facteur temps est critique dans la réponse à une menace active: le délai entre la détection de l’accès initial et la neutralisation de la menace doit être le plus court possible. Plus un cyberattaquant peut progresser loin dans sa chaîne d’attaque, plus cela pose de problèmes potentiels aux cyber défenseurs. L’absence de données télémétriques ne fait que compliquer la remédiation, ceque la plupart des entreprises ne peuvent se permettre. C’est pourquoi une journalisation complète et précise est essentielle mais nous constatons bien trop fréquemment que les entreprises nedisposent pas des traces indispensablesà une enquête approfondie », explique John Shier, Field CTO chez Sophos.

Dans son étude, Sophos classifie les attaques dont le temps d’exécution est inférieur ou égal à cinq jours comme «rapides», ce qui représente 38% des cas étudiés. Les attaques dites «lentes» présentent un temps d’exécution supérieur à cinq jours, ce qui représente 62% des cas étudiés.

Une comparaison granulaire entre ces attaques de ransomwares «rapides» et «lentes» ne fait pas apparaître une grande différence dans les outils, techniques et procédures. Ls exécutables de type LOLBins (Living Off The Land Binaries) utilisés par les attaquants n’ont pas à revoir leur stratégie face au raccourcissement du temps d’exposition. Ceux-ci doivent néanmoins être conscients que la rapidité des attaques et l’absence de télémétrie risque de brider leur temps de réponse et d’amplifier les dommages.

Les techniques, tactiques et procédures utilisées, ainsi que les programmes de type LOLbins (Living off the land binaries) sont similaires dans les deux types d’attaques, lentes ou rapides. Les attaquants utilisent les mêmes stratégies. Mais il faut être conscient que la rapidité d’exécution de l’attaque et l’absence de trace permet d’amplifier les dommages occasionnés.

«Les cybercriminels utilisent des techniques éprouvées, et n’innovent que lorsqu’ils y sont contraints. Les attaquants n’ont pas de raison de modifier leurs techniques, tactiques et procédures si elles fonctionnent efficacement.

Aussi, les entreprises, n’ont donc pas à revoir radicalement leur stratégie de défense pour faire à l’accélération des attaques. Les défenses qui détectent les attaques rapides s’appliquent aussi à tout type d’attaque., Ainsi il s’avère indispensable d’avoir une télémétrie la plus complète possible et une surveillance généralisée du système d’information.», ajoute John Shier. «La clé consiste à freiner l’attaque autant que possible: compliquer la tâche des attaquants, permet de gagner un temps précieux permettant d’y répondre le plus rapidement possible.

«Par exemple, dans le cas d’une attaque de ransomware la mise en œuvre de protections contribue à ralentir ou empêcher l’exfiltration de données. Cette tâche se produit généralement avant la détection et représente généralement la partie laplus structurante d’une attaque. C’est ce que nous avons observé dans deux incidents liés auransomware Cuba. Une entreprise avait souscrit à notre offre Sophos MDR, ce qui a permis de détecter l’activité malveillante et debloquer l’attaque en quelques heures afin d’éviter l’exfiltration de données. En revanche, une autre organisation ne disposant pas de ce service a mis plusieurs semaines à détecter l’attaque après l’accès initial, alors que les cyberattaquants étaient déjà parvenu à exfiltrer 75 giga-octets de données. Et cette organisation a fait appel à nos services de réponse à incident alors qu’elle tentait de répondre elle-même à cette attaque depuis approximativement un mois. Ce n’est qu’à ce moment-là que cette seconde entreprise a fait appel à notre équipe de réponse aux incidents. Un mois après, elle tentait toujours de retrouver une activité normale.»

L’étude Sophos Active Adversary Report for Security Practitioners s’appuie sur 232 cas de réponse aux incidents traités par Sophos dans 25 secteurs d’activité du 1er janvier 2022 au 30 juin 2023. Les entreprises ciblées se répartissent dans 34 pays sur six continents. 83% des cas concernent des structures de moins de 1000 salariés.

L’étude Sophos Active Adversary Report for Security Practitioners fournit des informations exploitables permettant aux professionnels de la sécurité d’optimiser leur stratégie de défense.

Pour en savoir plus sur les comportements, outils et techniques des cyberattaquants, retrouvez l’étudeActive Adversary Report for Security Practitioners sur Sophos.com.

À propos de Sophos

Sophos est un leader mondial innovant dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. La Société a fait l’acquisition de Secureworks en février 2025, réunissant ainsi deux pionniers qui ont redéfini l’industrie de la cybersécurité grâce à leurs services, technologies et produits innovants, optimisés par l’intelligence artificielle native. 
Sophos est désormais le plus grand fournisseur spécialisé de services de détection et réponse managées (MDR) protégeant plus de 28,000 organisations à travers et d’autres services, son portefeuille complet comprend les solutions de sécurité de pointe pour les endpoints, les réseaux, les emails et le cloud, qui interagissent et s’adaptent dynamiquement pour assurer une défense efficace via la plateforme Sophos Central.  
Secureworks apporte à cette alliance ses technologies innovantes et leaders sur le marché, notamment Taegis XDR/MDR, la détection et réponse aux menaces sur l’identité (ITDR), des capacités SIEM nouvelle génération, la gestion des risques ainsi qu’un ensemble complet de services de conseil en cybersécurité.  
Sophos commercialise l’ensemble de ces solutions à travers un réseau mondial de revendeurs, de fournisseurs de services managés (MSP) et de fournisseurs de services de sécurité managés (MSSP), protégeant plus de 600 000 entreprises contre le phishing, les ransomwares, le vol de données et d’autres cybermenaces, qu’elles soient quotidiennes ou menées par des Etats-nations.  
Toutes les solutions sont alimentées par des renseignements sur les menaces en temps réel et historiques issus de Sophos X-Ops et de la Counter Threat Unit (CTU) récemment intégrée.  
Le siège social de Sophos est situé à Oxford, au Royaume-Uni. Pour plus d’informations, consultez le site sophos.fr.