Secu
La Russie, plus grand pourvoyeur mondial de cyberattaquants
Par Laurent Delattre, publié le 19 octobre 2023
La nouvelle étude Netskope « Cloud & Threat Report 2023 » s’intéresse plus particulièrement à l’origine des cybermenaces et aux tactiques Cloud des cyberattaquants. Il révèle que la Russie est derrière la majorité des activités cybercriminelles ciblant l’Europe et les Etats-Unis.
Sans véritable surprise, l’année 2023 est jusqu’ici marquée par une augmentation des activités cybercriminelles. Le nouveau rapport Netskope se focalise cependant moins sur la multiplicité et la variété de ces attaques que sur leurs provenances et motivations. Bien évidemment, les résultats de cette étude se fondent sur les seules informations en provenance des plateformes de protection de l’éditeur et donc sur les cyberattaques ciblant ses clients, mais elle donne une vision assez cohérente de ce que les uns et les autres constatent parallèlement.
Russie ou Chine ? Entre criminalité et géopolitique
L’un des principaux enseignements de l’étude est que c’est bien la Russie qui domine aujourd’hui l’écosystème cybercriminel. Ainsi, en Amérique du Nord particulièrement mais également en Europe, la plupart des activités cybermalveillantes sont attribués à des groupes Russes devant les groupes Chinois et autres groupes « moyen-orientaux ».
Parmi les groupes les plus actifs en 2023, Netskope cite Wizard Spider (aka Grim Spider, auteur du malware TrickBot), TA505 (aka Hive0065, derrière l’ineffable ransomware Clop), FIN7 (aka Carbon Spider, créateur du ransomware Darkside)… Tous sont associés à la Russie.
Néanmoins, Netskope constate des motivations différentes entre les origines des attaques. Si les principaux gangs Russes sont essentiellement cybercriminels, les principaux groupes Chinois se distinguent par des motivations plus géopolitiques (ce qui inclue les propriétés intellectuelles étrangères). Parmi eux, Netskope note l’activité intense de Memupass (aka Stone Panda, Red Apollo ou APT10) et Aquatic Panda « qui ont ciblé une très grande variété d’organisations dans le monde ».
Menaces sectorielles
Les services financiers et de santé sont parmi les secteurs les plus touchés, avec près de la moitié des activités cybercriminelles attribuées à des groupes aux motivations géopolitiques. En revanche, dans des secteurs comme l’industrie manufacturière, l’éducation ou la technologie, moins de 15% des cyberactivités proviennent d’acteurs motivés par des intérêts géopolitiques.
À LIRE AUSSI :
Techniques d’attaque cloudifiées
La méthode d’attaque la plus courante en 2023 a été le phishing ciblé. Les pirates ont amélioré leurs tactiques, triplant leur efficacité depuis fin 2022. Malgré une sensibilisation accrue et l’utilisation de filtres anti-phishing avancés, les attaques réussissent souvent via des comptes de messagerie personnels plutôt que professionnels. En effet, le téléchargement de pièces jointes infectées depuis des webmails personnels a été 16 fois plus élevé que celui depuis des webmails d’entreprise. De plus, 55% des logiciels malveillants téléchargés provenaient désormais d’applications cloud.
Netskope s’est d’ailleurs intéressé à l’origine Cloud de ces malwares, autrement aux espaces cloud utilisés par les cybercriminels pour les héberger et les diffuser. Netskope constate que « Microsoft OneDrive, l’application cloud la plus populaire dans les entreprises, a pris la première place avec plus d’un quart de tous les téléchargements de logiciels malveillants délivrés par le Cloud. Au total, depuis le début de l’année, les cyberattaquants ont réussi à inciter les utilisateurs à télécharger et exécuter des logiciels malveillants provenant de 477 applications Cloud distinctes. »
Un instantané de l’univers de la cybercriminalité et de la cyber-malveillance qui doit interpeler DSI et RSSI pour nourrir leurs stratégies de cyber-résilience mais qui, malheureusement, ne surprendront personne.
À LIRE AUSSI :