Le rapport 2024 Threat Hunter Perspective d’OpenText Cybersecurity montre les dégâts croissants causés par la collaboration entre les États-nations et les réseaux de cybercriminalité. Les adversaires profitent de la faiblesse des principes de sécurité et du manque de contre-mesures pour mener des cyberattaques.
Etude – OpenText publie les résultats de son rapport 2024 Threat Hunter Perspective. Celui-ci indique que la collaboration et la coordination entre les États-nations et les réseaux de cybercriminalité pour cibler les supply chains globales et poursuivre des motifs géopolitiques est devenue une signature tendance dans le paysage des menaces.
Pour les RSSI, la question n’est pas de savoir si les attaques auront lieu, mais quelle forme elles prendront et comment les entreprises peuvent s’y préparer. Selon Cybersecurity Ventures, le coût de la cybercriminalité devrait atteindre 9 500 milliards de dollars en 2024 et 10 500 milliards de dollars en 2025. Pour comprendre le paysage actuel des menaces, les RSSI doivent connaître non seulement les types de menaces, mais aussi leurs auteurs, le moment où elles peuvent se produire, les raisons de leur apparition et la manière dont elles sont exécutées. En reliant ces points, les Threat hunters peuvent se faire une idée plus précise des risques auxquels les organisations sont confrontées, ce qui leur permet de se préparer et de réagir plus efficacement.
« Nos renseignements sur les menaces et notre équipe expérimentée de chasseurs de menaces ont constaté que les États-nations ne ralentissent pas et, à l’approche d’événements importants tels que l’élection présidentielle américaine, chaque organisation de la chaîne d’approvisionnement mondiale doit être en alerte maximale pour les cyberattaques avancées et multiples », explique Muhi Majzoub, vice-président exécutif et directeur des produits, OpenText. « D’après les conclusions du rapport, les entreprises doivent se préparer à des attaques de grande envergure, ce qui rend les signaux adverses, les renseignements sur les menaces et les capacités de défense plus importantes que jamais. »
Les points forts du rapport de cette année, sont les suivants :
- Les réseaux de criminalité organisée soutiennent les attaques des États-nations – probablement par le biais d’une collaboration ou d’une coordination directe – en s’attaquant aux mêmes cibles au même moment.
- La Russie a collaboré avec des gangs spécialisés dans les malwares, notamment Killnet, Lokibot, Ponyloader et Amadey.
- La Chine a noué des relations similaires avec les réseaux de cybercriminalité Storm0558, Red Relay et Volt Typhoon, généralement pour soutenir son programme géopolitique en mer de Chine méridionale.
- Les principales menaces sont Killnet (attaques DDoS), Lokibot (logiciel malveillant de vol d’informations) et Cobalt Strike (outil de test de pénétration utilisé par les groupes APT).
- Les attaquants se concentrent sur des événements spécifiques, en particulier les fêtes nationales, l’aide militaire à l’Ukraine, et s’apprêtent à mettre en péril les prochaines élections présidentielles américaines. Les États-nations ciblent également des jours spécifiques de la semaine pour les cyberattaques :
- Les cyberattaques russes se déroulent généralement du lundi au vendredi, avec des pics dans les 48 heures suivant l’annonce d’un adversaire.
- Les attaques chinoises ne suivent pas un calendrier précis, mais toute exfiltration de données est généralement prévue pour le vendredi après-midi ou le samedi, lorsqu’il y a plus de chances qu’elle ne soit pas détectée, et les données sont divisées en plus petits morceaux afin de réduire encore les soupçons.
- L’évasion, la fausse route et la dissimulation aident les adversaires à contourner les défenses conçues pour les attaques directes. De nombreuses attaques profitent de la faiblesse des principes de sécurité, les victimes augmentant leur vulnérabilité en ne prenant pas les contre-mesures de base.
- Les pays dont l’infrastructure de cyberdéfense est plus faible, comme la République démocratique du Congo, l’Argentine, l’Iran, le Nigeria, le Soudan, le Venezuela et le Zimbabwe, ont tous été compromis, ce qui élargit l’éventail des sources potentielles d’une attaque à grande échelle.
- Les supply chains globales constituent un autre moyen indirect d’infliger des dommages, l’attaquant pouvant cibler les opérations d’un port ou d’un réseau de transport afin de perturber une expédition d’aide militaire et d’avoir un impact indirect mais significatif sur la cible principale.
