Le dernier rapport semestriel de FortiGuard Labs sur les menaces indique que le « ransomware » reste particulièrement dynamique, avec de nouvelles variantes rendues possibles par le Ransomware-as-a-Service (RaaS). Rien ne laisse présager d’un ralentissement de cette activité malveillante à l'échelle mondiale.

Le logiciel malveillant le plus prévalent datait de plus d'un an et avait subi de nombreuses modifications, ce qui souligne que la réutilisation et la mise à jour de malwares historiques se révèlent efficaces et rentables. 

La vulnérabilité Log4j reste une menace pour les entreprises dans le monde. Tous les secteurs d’activité sont impactés, avec une prévalence dans les secteurs des technologies, des administrations et de l’enseignement.

« Pour contourner ces défenses, les assaillants utilisent des techniques de reconnaissance et déploient de nouvelles méthodes d'attaque plus sophistiquées, utilisant des menaces de type APT, à l’instar des wipers. Pour déjouer ces nouvelles stratégies d'attaques sophistiquées, les entreprises doivent déployer une veille coordonnée, décisionnelle et en temps réel contre les menaces. Cette veille, qui tire parti du machine learning, permet de détecter les actions suspectes et de déployer les mesures de protection sur toute leur surface d'attaque », explique Derek Manky, Chief Security Strategist & Global VP Threat Intelligence, FortiGuard Labs.

L'analyse des données concernant les wipers révèle une tendance des cybercriminels à utiliser systématiquement des techniques d'attaque destructrices. Elle montre également qu'avec l’absence de frontières sur Internet, les assaillants peuvent facilement étendre ce type d'attaques, notamment en tirant parti du modèle Cybercrime-as-a-Service (CaaS).

Au début de l'année 2022, parallèlement à la guerre en Ukraine, FortiGuard Labs a signalé la présence de plusieurs nouveaux wipers. Par la suite, ces malwares se sont étendus à d'autres pays, avec une croissance de 53 % de leur activité entre le 3ème et le 4ème trimestre. Si une partie de cette activité a été rendue possible par des wipers initialement développés et déployés par des États-nations dans le cadre de la guerre, des groupes cybercriminels les ont reprises à leur compte pour les propager au-delà de l'Europe. Si l'on en croit le volume d'activité observé au 4ème trimestre, la prolifération des wipers ne devrait pas ralentir de sitôt. Toute entreprise reste donc une cible potentielle, qu'elle soit ou non basée en Ukraine et les pays voisins. 

Dans les faits, le volume des ransomwares a progressé de 16 % par rapport au 1er semestre 2022. Sur un total de 99 familles de ransomware observées, les cinq premières représentent environ 37 % de l'activité globale sur le 2ème semestre 2022. GandCrab, un malware RaaS apparu en 2018, était en tête de liste. Si les auteurs GandCrab ont annoncé qu'ils se retiraient après avoir réalisé plus de 2 milliards de dollars de bénéfices, plusieurs variantes de GandCrab sont apparues pendant sa période d'activité. Il est possible que l'héritage de ce groupe criminel se perpétue, ou que le code logiciel ait simplement été amélioré, modifié et mis à jour. Cette réalité démontre à quel point des partenariats sont nécessaires entre tous types d’entreprises et d’organisations pour démanteler les organisations criminelles. Pour perturber efficacement les filières cybercriminelles, un effort collectif mondial s’impose, avec des relations de confiance et une collaboration entre toutes les parties prenantes de la cybersécurité, qu’elles proviennent du privé ou du secteur public.

Et à l’étude de conclure : « les cybercriminels ont la fibre entrepreneuriale. Pour rendre leurs attaques plus efficaces et rentables, ils cherchent, en permanence, à tirer le meilleur parti de leurs investissements et à affûter leurs compétences. La réutilisation de malwares est un moyen efficace et lucratif de capitaliser sur des résultats déjà éprouvés, tout en apportant des modifications pour affiner les attaques et contourner les lignes de défense en place ».