Malgré son démantèlement dans le cadre d'une opération policière internationale, LockBit a dominé les cas de réponse aux incidents au premier semestre 2024.

PARIS, FR — décembre 12, 2024 —

Sophos, l’un des spécialistes mondiaux de l’innovation et de l’édition de solutions decybersécurité en tant que service, publie sous le titre The Bite from Inside : The Sophos Active Adversary Report un rapport complet sur l’évolution du comportement des cyberadversaires et des techniques d’attaque qu’ils ont utilisées au cours du premier semestre 2024. Extraites de près de 200 cas de réponse aux incidents traités par les équipes Incident Response (IR) et Managed Detection and Response (MDR) de l’unité SophosX-Ops, les données révèlent que les attaquants exploitent des applications et des outils de confiance présents sur les systèmes Windows communément appelés «binaires Living Off The Land» (LOLBins) pour se lancer à la découverte des systèmes et y maintenir un haut niveau de persistance. Par rapport à 2023, Sophos a constaté une augmentation de 51 % de l’utilisation malveillante des LOLbins et une hausse de 83% depuis 2021.

Parmi les 187 LOLbins spécifiques à Microsoft détectés au cours de la première moitié de l’année, le service Bureau à distance (RDP — Remote Desktop Protocol) est l’application de confiance la plus fréquemment utilisée à des fins malveillantes. Sur les quelque 200 cas de réponses aux incidents analysés, les attaquants ont en effet utilisé ce protocole dans 89 % des cas. Cette prédominance confirme une tendance observée pour la première fois dans le rapport 2023 Active Adversary, selon lequel le protocole RDP était employé de façon abusive dans 90 % des cas de réponse aux incidents étudiés.

«La technique Living off the Land permet aux attaquants d’agir de façon furtive tout en validant tacitement leur activité. Si l’utilisation abusive de certains outils légitimes risque de faire tiquer certains défenseurs et, avec un peu de chance, de déclencher quelques alertes, l’exploitation malveillante de fichiers binaires Microsoft a souvent l’effet inverse. En effet, nombre des outils Microsoft utilisés à des fins nocives font partie intégrante de l’environnement Windows et sont employés de manière tout à fait légitime. Il appartient dès lors aux administrateurs système de comprendre comment ces outils sont utilisés dans leur environnement et en quoi leur utilisation est malveillante. Sans une maîtrise contextuelle et subtile de l’environnement, notamment au travers d’une vigilance permanente à l’égard des évènements nouveaux et en cours de développement au sein de leur réseau, les équipes IT actuellement réduites à peau de chagrin risquent de négliger des menaces majeures qui aboutissent dans de nombreux cas à une demande de rançon», explique John Shier, Field CTO de Sophos.

Par ailleurs, ce rapport souligne que malgré le démantèlement de son infrastructure et de son site de fuite de données par les autorités en février 2024, le groupe de ransomwares LockBit était le plus actif avec environ 21 % des infections détectées au cours du premier semestre.

Autres conclusions du dernier rapport Active Adversary :

  • Cause première des attaques : confirmant une tendance initialement mise en lumière dans le Rapport Active Adversary pour les responsables techniques, les identifiants compromis demeurent la cause racine des attaques dans 39 % des cas, un chiffre en recul par rapport à 2023 (56 %).
  • Les violations de réseau pointent en tête selon l’équipe MDR : s’agissant des cas traités par la seule équipe MDR de Sophos, les violations de réseau représentent le principal type d’incident rencontré.
  • Le temps d’exposition est plus court pour l’équipe MDR : en ce qui concerne l’équipe en charge de la réponse aux incidents (IR), le temps d’exposition (c’est-à-dire le délai qui s’écoule entre le début d’une attaque et sa détection) est d’environ huit jours. Dans le cas de l’équipe MDR en revanche, le temps médian est de seulement un jour pour tous les types d’incidents et de seulement trois jours pour les attaques par ransomware.
  • Les serveurs Active Directory les plus fréquemment compromis approchent leur fin de vie : les attaquants ont majoritairement compromis les versions 2019, 2016 et 2012 du service Active Directory (AD). Ces trois moutures ne sont plus prises en charge par Microsoft— c’est la dernière étape avant d’atteindre leur fin de vie et la dernière possibilité d’apporter des correctifs sans recourir à l’assistance payante de Microsoft. Par ailleurs, 21 % des versions de serveurs AD compromises avaient déjà atteint leur fin de vie.

Pour en savoir plus sur le comportement, les outils et les techniques des attaquants, lisez le rapport The Bite from Inside : Le rapport Sophos Active Adversary sur www.sophos.com.

 

À propos de Sophos

Sophos est un leader mondial innovant dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. La Société a fait l’acquisition de Secureworks en février 2025, réunissant ainsi deux pionniers qui ont redéfini l’industrie de la cybersécurité grâce à leurs services, technologies et produits innovants, optimisés par l’intelligence artificielle native. 
Sophos est désormais le plus grand fournisseur spécialisé de services de détection et réponse managées (MDR) protégeant plus de 28,000 organisations à travers et d’autres services, son portefeuille complet comprend les solutions de sécurité de pointe pour les endpoints, les réseaux, les emails et le cloud, qui interagissent et s’adaptent dynamiquement pour assurer une défense efficace via la plateforme Sophos Central.  
Secureworks apporte à cette alliance ses technologies innovantes et leaders sur le marché, notamment Taegis XDR/MDR, la détection et réponse aux menaces sur l’identité (ITDR), des capacités SIEM nouvelle génération, la gestion des risques ainsi qu’un ensemble complet de services de conseil en cybersécurité.  
Sophos commercialise l’ensemble de ces solutions à travers un réseau mondial de revendeurs, de fournisseurs de services managés (MSP) et de fournisseurs de services de sécurité managés (MSSP), protégeant plus de 600 000 entreprises contre le phishing, les ransomwares, le vol de données et d’autres cybermenaces, qu’elles soient quotidiennes ou menées par des Etats-nations.  
Toutes les solutions sont alimentées par des renseignements sur les menaces en temps réel et historiques issus de Sophos X-Ops et de la Counter Threat Unit (CTU) récemment intégrée.  
Le siège social de Sophos est situé à Oxford, au Royaume-Uni. Pour plus d’informations, consultez le site sophos.fr.