Mandiant dévoile le rapport M-Trends 2023
La durée médiane de présence d’un attaquant sur le réseau de sa victime (DWELL time) tombe à un peu plus de deux semaines, ce qui témoigne du rôle essentiel que jouent les partenariats et l’échange d’informations dans la mise en place d’un écosystème de cybersécurité plus résilient.
Mandiant Inc., qui fait désormais partie de Google Cloud, publie les conclusions de son rapport M-Trends 2023. Ce rapport annuel, qui en est à sa 14e édition, fournit des données actualisées et des analyses d’experts sur le paysage des menaces en constante évolution, basées sur les investigations terrains de Mandiant et les remédiations de cyberattaques à fort impact dans le monde entier. Le nouveau rapport révèle les progrès réalisés par les organisations du monde entier pour renforcer leurs défenses contre des adversaires de plus en plus sophistiqués.
« Le rapport M-Trends 2023 montre clairement que, si notre secteur s’améliore en matière de cybersécurité, nous luttons contre des adversaires en constante évolution et de plus en plus compétents. Plusieurs tendances observées en 2021 se sont poursuivies en 2022, comme le nombre croissant de nouveaux logiciels malveillants et l’augmentation du cyber-espionnage de la part d’acteurs soutenus par des États. Par conséquent, les organisations doivent rester vigilantes et continuer à renforcer leur posture de cybersécurité avec des fonctionnalités de cyberdéfense modernes. La validation continue de la cyber-résilience face à ces dernières menaces et le test des moyens de réponse sont tout aussi essentiels » déclare Jurgen Kutscher, vice-président de Mandiant Consulting chez Google Cloud
La durée médiane de présence d’un attaquant sur le réseau de sa victime (DWELL time) à l’échelle mondiale diminue pour s’établir à un peu plus de deux semaines
Selon le rapport M-Trends 2023, la durée médiane de présence d’un attaquant sur le réseau de sa victime (DWELL time) au niveau mondial – continue de baisser d’une année sur l’autre pour atteindre 16 jours en 2022. Il s’agit de la durée médiane la plus courte de toutes les périodes de rapport de M-Trends, à comparer avec une durée médiane de 21 jours en 2021.
En comparant la façon dont les menaces ont été détectées, Mandiant a observé une augmentation générale du nombre d’organisations qui ont été alertées par une entité externe d’une compromission historique ou en cours. Les organisations dont le siège social se trouve sur le continent américain ont été averties par une entité externe dans 55 % des incidents, contre 40 % l’année dernière. Il s’agit du pourcentage le plus élevé de notifications externes que les Amériques aient connu au cours des six dernières années. De même, les organisations d’Europe, du Moyen-Orient et d’Afrique (EMEA) ont été alertées d’une intrusion par une entité externe dans 74 % des investigations en 2022, contre 62 % en 2021.
Les experts de Mandiant ont noté une diminution du taux de ransomware dans leurs investigations mondiales entre 2021 et 2022. En 2022, 18% des investigations concernaient des ransomwares contre 23% en 2021. Il s’agit du plus faible pourcentage des investigations de Mandiant liées aux ransomwares depuis avant 2020.
« Bien que nous n’ayons pas de données qui suggèrent qu’il y a une seule raison pour la légère baisse des attaques liées aux ransomwares que nous avons observée, il y a eu de multiples changements dans l’environnement opérationnel qui ont probablement contribué à ces chiffres plus bas. Ces facteurs incluent, mais ne sont pas limités à, des efforts continus de perturbation de la part des gouvernements et des forces de l’ordre ciblant les services de ransomware et les individus, qui obligent au minimum les protagonistes à se rééquiper ou à développer de nouveaux partenariats ; le conflit en Ukraine ; les protagonistes doivent adapter leurs opérations d’accès initial à un monde où par exemple les macros peuvent souvent être désactivées par défaut, ainsi que les entreprises qui sont potentiellement plus aptes à détecter et à prévenir ou à récupérer des attaques de ransomware à des vitesses plus rapides » déclare Sandra Joyce, vice-présidente de Mandiant Intelligence chez Google Cloud.
Le cyberespionnage et les logiciels malveillants se multiplient à l’échelle mondiale
Mandiant a identifié de vastes opérations de cyberespionnage et d’influence informationelle avant et depuis l’invasion de l’Ukraine par la Russie le 24 février 2022. Mandiant a notamment constaté l’activité de UNC2589 et d’APT28 avant l’invasion de l’Ukraine et a observé des cyberattaques plus destructrices en Ukraine au cours des quatre premiers mois de 2022 qu’au cours des huit années précédentes.
En 2022, Mandiant a commencé à suivre 588 nouvelles catégories de logiciels malveillants, révélant ainsi que les adversaires continuent d’élargir leur palette d’outils. Parmi les nouveaux logiciels malveillants répertoriés, les cinq principales catégories sont les backdoors (34 %), les downloaders (14 %), les droppers (11 %), les ransomwares (7 %) et les launchers (5 %). Ces catégories de logiciels malveillants restent cohérentes au fil des ans et les backdoors continuent de représenter un peu plus d’un tiers des familles de logiciels malveillants nouvellement recensées.
Comme les années précédentes, la gamme de logiciels malveillants la plus courante identifiée par Mandiant dans les investigations est BEACON, une backdoor multifonctionnel. En 2022, BEACON a été identifié dans 15 % des intrusions étudiées par Mandiant et reste de loin le plus répandu dans les recherches, toutes régions confondues. Il a été utilisé par une grande variété de groupes d’ attaquants suivis par Mandiant, notamment des groupes soutenus par des États attribués à la Chine, à la Russie et à l’Iran, ainsi que des groupes d’attaquants financiers et plus de 700 groupes de type UNC. Selon le rapport, cette omniprésence est probablement due à la disponibilité courante de BEACON, ainsi qu’à la grande facilité de personnalisation et d’utilisation de ce logiciel malveillant.
« Mandiant a enquêté sur plusieurs intrusions menées par des adversaires plus récents qui deviennent de plus en plus avisés et efficaces. Ils exploitent les données des marchés clandestins de la cybercriminalité, mènent des opérations d’ingénierie sociale convaincantes par le biais d’appels vocaux et de SMS, et tentent même de corrompre des employés pour obtenir l’accès à des réseaux. Ces groupes représentent un risque important pour les organisations, même celles qui disposent de solides programmes de sécurité, car il est difficile de se défendre contre ces techniques. Alors que les organisations continuent à développer leurs équipes, leur infrastructure et leurs capacités de sécurité, la protection contre ces menaces devrait faire partie de l’ ADN de toutes entreprise, institutions ou organisations au sens large » – Charles Carmakal, CTO, Mandiant Consulting de Google Cloud
Exploitation de l’intelligence
L’objectif du rapport M-Trends est de fournir aux professionnels de la sécurité des informations sur les dernières activités des attaquants, telles qu’elles sont observées sur le terrain, ainsi que des renseignements exploitables afin d’améliorer les mesures de sécurité des entreprises dans un contexte de menaces en constante évolution. Pour atteindre cet objectif, Mandiant fournit des informations sur certains des groupes d’attaquants, les plus prolifiques et sur leurs tactiques, techniques et procédures en pleine expansion.
Pour mieux soutenir cet objectif, Mandiant a mis en relation 150 techniques Mandiant supplémentaires avec la nouvelle version du framework MITRE ATT&CK®, ce qui porte le total à plus de 2 300 techniques Mandiant et les résultats associés au framework ATT&CK. Les organisations devraient donner la priorité aux mesures de sécurité à mettre en œuvre en fonction de la probabilité d’utilisation d’une technique spécifique lors d’une intrusion.
“Le rapport M-Trends est toujours un point majeur dans l’année, il permet de regarder dans le rétroviseur de la menace sur l’année précédente et de prendre en compte les éléments statistiques et terrains permettant d’améliorer sa posture sécuritaire. Le travail des équipes sur le terrain , pendant des investigations, permet à nos clients de mieux appréhender les tendances, les outils et les méthodes des attaquants. Cette connaissance est clef pour augmenter ses capacités mais aussi pour s’entraîner et se mesurer face à la réalité. Être sur le terrain des investigations est un différentiateur dans notre approche et pouvoir partager avec la communauté ce savoir est notre mission chez Mandiant” conclut David Grout CTO EMEA.
Les autres éléments à retenir du rapport M-Trends 2023 sont les suivants :
- Vecteur d’infection : Pour la troisième année consécutive, les exploits sont restés le vecteur d’infection initial le plus utilisé par les attaquants (32 %). Bien qu’il s’agisse d’une diminution par rapport aux 37 % d’intrusions identifiées en 2021, les exploits restent un outil essentiel que les adversaires utilisent contre leurs cibles. Le phishing est redevenu le deuxième vecteur le plus utilisé, représentant 22 % des intrusions contre 12 % en 2021.
- Secteurs d’activité concernés : Les efforts de réponse pour les organisations liées au gouvernement ont capturé 25 % de toutes les investigations, contre 9 % en 2021. Cela reflète principalement le soutien de Mandiant en matière d’investigations sur les activités de cybermenaces qui ont ciblé l’Ukraine. Les quatre secteurs les plus ciblés en 2022 correspondent à ce que les experts de Mandiant ont observé en 2021 : les services aux entreprises et professionnels, la finance, la haute technologie et les soins de santé sont privilégiés par les adversaires. Ces secteurs restent des cibles attrayantes pour les acteurs motivés par la finance et l’espionnage.
- Vol de données d’identification : Les investigations de Mandiant ont révélé une prévalence accrue de l’utilisation de logiciels malveillants voleurs d’informations et de l’achat d’informations d’identification en 2022 par rapport aux années précédentes. Dans de nombreux cas, les investigations ont révélé que les informations d’identification avaient probablement été volées en dehors de l’environnement de l’organisation, puis utilisées contre elle, potentiellement en raison de la réutilisation de mots de passe ou de l’utilisation de comptes personnels sur des appareils de l’entreprise.
- Vol de données : Les experts de Mandiant ont identifié que dans 40% des intrusions en 2022, les attaquantsinformatiques ont donné la priorité au vol de données. Les défenseurs de Mandiant ont observé que les acteurs de la menace tentaient de voler ou menaient à bien des opérations de vol de données plus souvent en 2022 qu’au cours des années précédentes.
- Utilisation de la crypto monnaie par la Corée du Nord : Parallèlement aux missions traditionnelles de collecte de renseignements et aux attaques perturbatrices, en 2022, les opérateurs de la République populaire démocratique de Corée se sont montrés plus intéressés par le vol et l’utilisation de crypto-monnaies. Ces opérations ont été très lucratives et se poursuivront probablement sans relâche tout au long de l’année 2023. Pour en savoir plus sur la manière dont les acteurs nord-coréens utilisent la cybercriminalité pour financer leurs opérations d’espionnage, consultez le rapport APT43 de Mandiant.
Méthodologie relative au rapport M-Trends 2023 : Les indicateurs présentés dans M-Trends 2023 sont basés sur les investigations menées par Mandiant Consulting sur les activités d’attaques ciblées entre le 1er janvier 2022 et le 31 décembre 2022. Les informations recueillies ont été neutralisées afin de protéger l’identité des cibles et leurs données.
À propos de Mandiant, Inc.
Mandiant est un leader reconnu dans les services dynamiques de cyberdéfense, de renseignement sur les menaces et de réponse aux incidents. En mettant à profit des décennies d’expérience en première ligne, Mandiant aide les organisations à confirmer leurs capacités à se défendre contre les cybermenaces et à y répondre. Mandiant fait désormais partie de Google Cloud.
A propos de Google Cloud :
Google Cloud accélère la capacité de transformation numérique de l’ensemble des organisations grâce à des solutions professionnelles qui tirent parti des technologies novatrices de Google, à travers l’un des clouds les plus performants en termes environnementaux. Dans plus de 200 pays et territoires, des organisations font confiance à Google Cloud pour soutenir leur croissance et résoudre leurs problèmes métier les plus critiques.