« Quand les attaquants planifient leurs campagnes, ils ont habituellement pour objectif de trouver des problématiques de sécurité facilement identifiables, telles que des serveurs publics avec des vulnérabilités bien connues, des mots de passe faibles ou des comptes compromis », indique le dernier rapport du spécialiste de la sécurité Kaspersky.  

L'analyse des données traitées par l’entreprise prouve que « l'exploitation des applications publiques, accessibles à la fois depuis le réseau interne et l'Internet, est devenue le vecteur initial le plus utilisé pour pénétrer le périmètre d'une organisation ».
La part de cette méthode comme vecteur d'attaque initial est passée de 31,5 % en 2020 à 53,6 % en 2021.
Tandis que l'utilisation de comptes compromis et d'emails malveillants a diminué, passant respectivement de 31,6 % à 17,9 % et de 23,7 % à 14,3 %. 
Ce changement est probablement lié aux vulnérabilités découvertes sur les serveurs Microsoft Exchange l'année dernière. « L'omniprésence de ce service de messagerie et la disponibilité publique d'exploits pour ces vulnérabilités ont entraîné un nombre considérable d'incidents connexes ».

En examinant l'impact des attaques, Le rapport constate que « le chiffrement des fichiers, qui est l'un des types de ransomware les plus courants et qui prive les organisations de l'accès à leurs données, demeure le principal problème auquel sont confrontées les entreprises depuis trois années consécutives ». 

En outre, le nombre d'organisations ayant rencontré des chiffreurs dans leur réseau a considérablement augmenté au cours de la période observée (de 34 % en 2019 à 51,9 % en 2021). 
Autre aspect alarmant : dans plus de la moitié des cas (62,5 %), les attaquants passent plus d'un mois à l'intérieur du réseau avant de chiffrer les données.
 
Les pirates parviennent à rester inaperçus à l'intérieur d'une infrastructure grâce aux outils du système d'exploitation et à l'utilisation de systèmes commerciaux, qui sont impliqués dans 40 % de tous les incidents. 

Après la pénétration initiale, les attaquants utilisent des outils légitimes à différentes fins : PowerShell pour collecter des données, Mimikatz pour escalader les privilèges, PsExec pour exécuter des commandes à distance ou des systèmes comme Cobalt Strike pour toutes les étapes de l'attaque.