Rapport 2024 sur le cloud et les menaces

Ce rapport explore l'évolution des environnements cloud des entreprises et du paysage des menaces, en mettant en lumière les principales tendances de 2023 et en proposant des prévisions quant à celles qui se poursuivront en 2024.

Netskope Threat Labs2024

Résumé Faits saillants du rapport About this report Netskope Threat Labs L’utilisation des applications cloud et SaaS est en hausse Les applications d’IA générative en plein essor Ingénierie sociale

Chevaux de Troie (trojans) Phishing

Profils et objectifs de l’adversaire

TA551 Araignée Sorcier TA505 APT41 Terre Lusca

Recommandations

22 min de lecture

Résumé

Le rapport Netskope Cloud and Threat Report vise à fournir des informations stratégiques et exploitables sur les dernières tendances en matière de cloud computing et les menaces de cybersécurité qui affectent les organisations du monde entier. Dans cette édition, nous revenons sur les grandes tendances de 2023, en accordant une attention particulière à celles que nous prévoyons de poursuivre en 2024 et au-delà.

Tout au long de l’année 2023, l’adoption du cloud et du SaaS a continué d’augmenter dans les environnements d’entreprise, les utilisateurs adoptant constamment de nouvelles applications et augmentant leur utilisation des applications existantes. Les suites d’applications de Microsoft et de Google continuent de dominer dans tous les secteurs et toutes les régions du monde, car les applications de ces fournisseurs sont de plus en plus ancrées dans les processus métier critiques.

Les adversaires, conscients de cette tendance, abusent et ciblent de plus en plus fréquemment les applications populaires dans leurs opérations. L’ingénierie sociale est devenue la méthode la plus couramment utilisée par les adversaires pour accéder à l’environnement des victimes. Les adversaires réussissent de plus en plus à inciter les victimes à télécharger des chevaux de Troie en les hébergeant dans des applications SaaS populaires et à inciter les victimes à cliquer sur des appâts de phishing conçus pour voler les informations d’identification des applications SaaS.

La majorité de l’activité des adversaires ciblant les clients de Netskope en 2023 était motivée par des raisons financières. Lorsqu’un adversaire motivé par l’argent obtient un accès initial à l’environnement d’une victime, il installe généralement un implant (généralement Cobalt Strike) pour maintenir sa persistance. Ils tentent finalement d’extorquer l’organisation victime en déployant des ransomwares, des voleurs d’informations et des wipers, menaçant d’exposer publiquement des données sensibles ou de saboter l’environnement de la victime s’ils ne paient pas. Même les adversaires motivés par la géopolitique, dont l’objectif principal a toujours été le cyberespionnage, se livrent également à des activités d’extorsion similaires.

Ce rapport met en lumière ces tendances et d’autres tendances prédominantes de 2023 et propose des prédictions sur celles qui se poursuivront en 2024.

test answer

Faits saillants du rapport

Les applications d’IA générative sont un pilier de l’entreprise
Les applications d’IA générative, pratiquement inexistantes dans l’entreprise il y a un an, sont désormais un pilier, avec plus de 10 % d’utilisateurs accédant chaque mois à des applications d’IA générative basées sur le cloud et les 25 % d’utilisateurs les plus performants augmentant de manière exponentielle leur utilisation de ces applications.

La plupart des chevaux de Troie sont téléchargés à partir d’applications cloud populaires
Les attaquants réussissent le mieux à inciter les victimes à télécharger des chevaux de Troie lorsqu’ils sont hébergés sur des applications cloud populaires, les applications les plus populaires de Google et Microsoft figurant parmi les meilleures applications de téléchargement de logiciels malveillants.

Les adversaires criminels élargissent leur stratégie d’extorsion
L’activité criminelle des adversaires a dominé le paysage des menaces en 2023, plusieurs groupes d’adversaires s’appuyant fortement sur Cobalt Strike pour maintenir leur permanence et déployer des ransomwares, des voleurs d’informations, des effaceurs et d’autres logiciels malveillants pour extorquer leurs victimes.

sdofjsfojefgejelosij

About this report

Netskope Threat Labs publie chaque année un rapport sur le cloud et les menaces afin de fournir des informations stratégiques et exploitables sur les dernières tendances en matière de cloud computing et de menaces de cybersécurité qui affectent les organisations du monde entier. Les informations présentées dans ce rapport sont basées sur des données d’utilisation anonymisées collectées par la plate-forme Netskope Security Cloud concernant un sous-ensemble de clients Netskope disposant d’une autorisation préalable. Netskope offre une protection contre les menaces et des données à des millions d’utilisateurs dans le monde entier. Ce rapport contient des informations sur les détections soulevées par la passerelle Web sécurisée de nouvelle génération (SWG) de Netskope, sans tenir compte de l’importance de l’impact de chaque menace individuelle. Les statistiques présentées dans ce rapport reflètent à la fois l’activité de l’adversaire et le comportement des utilisateurs. Les statistiques de ce rapport sont basées sur la période allant du 1er décembre 2021 au 30 novembre 2023.

Netskope Threat Labs

Composé des plus éminents chercheurs du secteur en matière de menaces cloud et de logiciels malveillants, Netskope Threat Labs découvre, analyse et conçoit des défenses contre les dernières menaces Web, cloud et de données qui affectent les entreprises. Nos chercheurs sont des présentateurs réguliers et des bénévoles lors de conférences de premier plan sur la sécurité, notamment DEF CON, Black Hat et RSAC.

L’utilisation des applications cloud et SaaS est en hausse

La transition des entreprises des applications traditionnelles sur site vers le cloud et les applications SaaS est loin d’être terminée. La plupart des organisations ont déjà migré vers des suites de productivité basées sur le cloud, et la migration s’est déplacée vers des applications plus spécialisées. Le nombre d’applications utilisées par l’utilisateur moyen est passé de 14 à 20 au cours des deux dernières années, soit une augmentation moyenne de 19 % par an. Actuellement, la moitié des utilisateurs d’entreprise interagissent avec entre 11 et 33 applications par mois, tandis que les 1 % des utilisateurs interagissent avec plus de 96 applications par mois.

Dans le même temps, les interactions des utilisateurs avec les applications cloud et SaaS augmentent à un rythme encore plus rapide (35 % par an), passant d’un peu plus de 1 000 activités par mois il y a deux ans à près de 2 000 activités par mois aujourd’hui. La moitié des utilisateurs d’entreprise génèrent entre 600 et 5 000 activités par mois, tandis que les 1 % des utilisateurs les plus performants génèrent plus de 50 000 activités par mois. Une activité est une interaction centrale entre un utilisateur et une application, les activités les plus courantes étant :

Téléchargement ou chargement d’un fichier
Modification d’un document
Poster un message
Affichage d’un fichier ou d’un message

Les applications les plus populaires dans l’entreprise n’ont pas beaucoup changé au cours de l’année écoulée. Parmi les 20 applications les plus populaires, la popularité d’une année sur l’autre a varié de points de pourcentage à un chiffre, avec quelques thèmes remarquables.

Google et Microsoft règnent en maîtres
Les composants de base des suites de productivité Microsoft 365 et Google Workspaces figuraient parmi les meilleures applications en 2022 et 2023. Produits Microsoft OneDrive, Sharepoint, Teams, Stockage Blob Azure, Outlook.com, Forms et GitHub, ainsi que les produits Google Drive, Google Cloud Storage, Gmail et Calendar, représentaient la majorité du top 10. Les applications de ces fournisseurs sont devenues des piliers de l’écosystème d’entreprise dans toutes les zones géographiques et tous les secteurs et continueront de rester au sommet dans un avenir prévisible.

Changements dans les médias sociaux
Bien que leur popularité relative soit demeurée pratiquement inchangée d’une année à l’autre, la popularité de diverses plateformes de médias sociaux a connu certains changements parmi les utilisateurs d’entreprise. Facebook reste la plateforme de médias sociaux la plus populaire, bien que sa popularité ait diminué de 6 points. Malgré toutes les discussions sur un exode de Twitter à la suite de l’achat par Elon Musk, les utilisateurs d’entreprise l’utilisent toujours à peu près au même rythme. La plateforme de réseautage social professionnel LinkedIn a gagné 4 points, soit la plus forte hausse de toutes les plateformes de médias sociaux et la troisième plus grande hausse de toutes les applications. TikTok et Instagram sont restés pratiquement inchangés.

Outlook dépasse Gmail
Outlook.com a dépassé Google Gmail en 2023, car les utilisateurs d’Outlook continuent de s’éloigner de l’utilisation de l’application native Outlook au profit de l’application Web. Avec plus de 6 points de popularité, Outlook.com connu la deuxième plus forte augmentation de toutes les applications cloud ou SaaS en 2023.

Les applications d’IA générative en plein essor

2023 a été l’année de l’IA générative. Tout a commencé avec le battage médiatique autour d’OpenAI et de son produit phare ChatGPT. Bien qu’il n’ait pas figuré dans le top 20 des applications les plus populaires de 2023, ChatGPT a ajouté plus d’utilisateurs que toute autre application, sa popularité passant de 0 % à près de 7 % de tous les utilisateurs d’entreprise d’ici la fin de l’année. Au fur et à mesure que ChatGPT gagnait en popularité, d’autres entreprises ont commencé à créer des chatbots concurrents, et encore plus d’entreprises ont commencé à créer des produits de niche pour tirer parti de la puissance de ces grands modèles de langage (LLM). L’idée d’un assistant alimenté par l’IA pour aider dans des tâches telles que l’écriture, la programmation et même les opérations de sécurité a décollé. Dans le même temps, des applications permettant de générer des images, des vidéos et de l’audio ont également été publiées.

La communauté de la cybersécurité d’entreprise a fait ce qu’elle fait habituellement lorsqu’une nouvelle technologie aussi médiatisée arrive sur le marché : déterminer rapidement si ces applications servent un objectif commercial légitime et, dans les cas où c’est le cas, déterminer comment permettre leur utilisation en toute sécurité. Pour de nombreuses organisations, cela signifiait pomper les pauses, bloquer les applications jusqu’à ce qu’elles puissent faire l’objet d’un examen de sécurité approprié. En général, cela signifie que ces applications d’IA générative ont gagné en popularité dans l’entreprise plus lentement que sur le marché grand public.

Mais leur popularité a grandi. Le graphique suivant montre une augmentation de la popularité des applications d’IA ressemblant à un sigmoïde, passant d’un peu plus de 2 % de tous les utilisateurs d’entreprise accédant à au moins une application d’IA par mois il y a un an à plus de 10 % aujourd’hui. La majeure partie de cette croissance s’est produite au cours du premier semestre de 2023 et s’est refroidie vers la fin de l’année.

Un graphique de la croissance des trois principales applications d’IA générative donne plus d’informations sur la forme du graphique de popularité global ci-dessus. ChatGPT était de loin l’application la plus populaire, avec l’assistant d’écriture Grammarly en deuxième position, suivi du chatbot Google Bard en troisième. Le graphique suivant fournit une ventilation détaillée de la croissance de ces trois applications. ChatGPT a été le principal moteur de la croissance sigmoïdale au cours du premier semestre de l’année, passant très rapidement de près de 0 % à 7 % de la population d’utilisateurs d’entreprise. Google Bard avait une forme similaire à sa croissance plus tard dans l’année lorsqu’il est devenu généralement disponible, mais son adoption a pâli par rapport à ChatGPT. Grammarly a commencé l’année en tant qu’application d’IA la plus populaire en raison de sa base d’utilisateurs préexistante, et bien qu’elle n’ait pas connu une croissance aussi agressive que ChatGPT, sa popularité continue d’augmenter. Au cours de l’année prochaine, Netskope Threat Labs prévoit que Grammarly continuera à gagner en popularité et à combler l’écart entre lui et ChatGPT, mais qu’il sera toujours à la traîne par rapport au chatbot polyvalent.

La plupart des utilisateurs n’interagissent avec les applications d’IA générative que quelques fois par mois. Au cours de l’année écoulée, l’utilisateur moyen est passé de 5 activités par mois à 14 activités par mois, où une activité est le plus souvent une invite publiée sur un chatbot. Le quartile supérieur des utilisateurs d’applications d’IA a montré une augmentation plus significative, passant de 15 à 85 activités au cours de l’année. Cela indique qu’un quart de la population d’utilisateurs d’IA sont des utilisateurs expérimentés qui augmentent de plus en plus rapidement leur utilisation des applications d’IA générative. Netskope Threat Labs s’attend à ce que ces deux tendances se poursuivent en 2024 : le nombre total d’utilisateurs accédant aux applications d’IA dans l’entreprise continuera d’augmenter modestement, tandis que la quantité d’activité des utilisateurs expérimentés augmentera considérablement à mesure que la population de super-utilisateurs trouvera de nouveaux moyens de tirer une valeur supplémentaire de ces technologies.

Un examen plus approfondi des dix principales applications d’IA générative à la fin de 2023 révèle trois tendances notables que nous prévoyons de voir se poursuivre en 2024.

Les chatbots règnent en maître
ChatGPT, le premier chatbot d’IA générative à gagner en popularité, est toujours en tête à la fin de l’année, avec 6,7 % des utilisateurs d’entreprise interagissant avec le chatbot au moins une fois par mois. Google Bard, l’alternative à ChatGPT de Google, est le deuxième chatbot le plus populaire, mais ne compte qu’un peu plus d’un dixième de la base d’utilisateurs. ChatGPT et Google Bard sont à usage général et peuvent être utilisés pour soutenir des fonctions commerciales, comme l’aide à l’écriture et à la programmation ou la recherche d’informations, ou pour le divertissement. Leur polyvalence est l’une des principales raisons de leur popularité. D’autres chatbots d’engagement client plus spécialisés, ChatBase et Blip, figurent également dans le top dix, mais avec encore moins d’utilisateurs.

Les assistants IA rattrapent leur retard
L’une des utilisations les plus populaires de la technologie d’IA générative dans l’entreprise jusqu’à présent est celle d’assistant d’écriture. Grammarly, la deuxième application d’IA générative la plus populaire, est utilisée par 3,1 % des utilisateurs d’entreprise, les alternatives QuillBot et Wordtune figurant également dans le top dix. Tabnine est un assistant de programmation qui aide les programmeurs à écrire du code plus efficacement. Netskope Threat Labs s’attend à ce que les assistants d’IA, en particulier les assistants d’écriture et de programmation, continuent de gagner en popularité en 2024. Leur intégration dans des ensembles d’outils couramment utilisés pour l’écriture et la programmation et le fait qu’ils soient spécialement conçus et réglés pour ces tâches alimenteront la croissance de leur popularité. Le fait qu’ils ne puissent pas être utilisés à des fins de divertissement supprimera probablement les obstacles à leur adoption dans l’entreprise, alors que d’autres applications, comme les chatbots à usage général, pourraient en souffrir.

Les générateurs d’art de l’IA s’installent dans l’entreprise
Les générateurs d’art de l’IA, en particulier ceux qui peuvent générer des images, se sont frayé un chemin jusqu’aux 9e et 10e places des applications d’IA générative les plus populaires dans l’entreprise. À l’instar des chatbots, les générateurs d’art IA sont des outils polyvalents qui peuvent être utilisés pour le divertissement ou pour soutenir les fonctions commerciales, deux facteurs qui contribuent à leur popularité dans l’entreprise. En raison de leurs utilisations de divertissement, en particulier leur capacité à générer du contenu qui n’est pas sûr pour le travail, ils sont susceptibles de rester au bas de la liste de popularité dans les environnements d’entreprise dans un avenir prévisible.

Ingénierie sociale

La méthode la plus courante par laquelle les adversaires ont obtenu un premier accès aux systèmes de leur victime en 2023 était l’ingénierie sociale. L’ingénierie sociale est généralement le moyen le plus simple pour les adversaires d’accéder aux systèmes d’entreprise renforcés où l’accès à distance est limité et où les correctifs contre les vulnérabilités de sécurité connues sont appliqués en temps opportun. L’ingénierie sociale cible les personnes qui ont accès aux systèmes, plutôt que les systèmes eux-mêmes. Parmi les différentes tactiques et techniques d’ingénierie sociale utilisées par les adversaires pour cibler les entreprises en 2023, deux se sont démarquées :

Inciter les victimes à télécharger et à exécuter des chevaux de Troie
Utilisation du phishing pour inciter les victimes à partager des informations d’identification sensibles

Le reste de cette section fournit une plongée plus profonde dans chacune de ces techniques.

Chevaux de Troie (trojans)

Les utilisateurs d’entreprise sont constamment ciblés par des chevaux de Troie sous différents angles. Les adversaires créent continuellement de nouveaux chevaux de Troie avec une variété d’appâts différents pour inciter les utilisateurs à les télécharger et à les exécuter. En 2023, en moyenne, 8 utilisateurs sur 10k ont téléchargé en moyenne 11 chevaux de Troie par mois. Tout au long de l’année, une entreprise comptant 10 000 utilisateurs aurait eu en moyenne 132 chevaux de Troie téléchargés par les utilisateurs sur son réseau. Netskope Threat Labs s’attend à ce que ces deux chiffres restent relativement constants tout au long de l’année 2024.

L’un des angles que les adversaires utilisent de plus en plus pour inciter les utilisateurs à télécharger des chevaux de Troie est d’héberger les chevaux de Troie sur des applications SaaS populaires. Au cours de l’année écoulée, le pourcentage de téléchargements de logiciels malveillants HTTP et HTTPS provenant d’applications SaaS a constamment été supérieur à 50 %, une tendance que Netskope Threat Labs s’attend à ce qu’elle se poursuive jusqu’en 2024 alors qu’elle se rapproche de 60 %.

Sans surprise, les applications spécifiques où les adversaires réussissent le mieux à inciter leurs victimes à télécharger des chevaux de Troie font également partie des applications les plus populaires de l’entreprise. La figure suivante présente les 20 principales applications, y compris une comparaison d’une année sur l’autre. Nous soulignons ci-dessous quatre thèmes majeurs de ce graphique.

Microsoft OneDrive maintient son avance
Comme nous l’avons vu précédemment dans ce rapport, Microsoft OneDrive est omniprésent dans l’entreprise. C’est de loin l’application SaaS la plus populaire, avec près des deux tiers de tous les utilisateurs d’entreprise accédant au contenu de OneDrive chaque mois. Pour cette raison, il n’est pas surprenant qu’il soit également en tête en termes de téléchargements de logiciels malveillants. Les adversaires peuvent facilement créer leurs propres comptes OneDrive pour héberger des logiciels malveillants, qu’ils partagent avec leurs victimes. De plus, comme les deux tiers des utilisateurs utilisent régulièrement OneDrive, ils sont habitués à cliquer sur les liens OneDrive et sont donc plus susceptibles de le faire lorsqu’un adversaire en partage un.

Microsoft Sharepoint est nuancé
Microsoft exploite SharePoint dans une variété d’autres services, y compris Microsoft Teams. L’augmentation d’une année sur l’autre des téléchargements de logiciels malveillants provenant de SharePoint est principalement due à une augmentation du nombre de chevaux de Troie partagés avec les victimes via Microsoft Teams, qui apparaissent sous forme de téléchargements Microsoft SharePoint sur la plate-forme Netskope.

Les applications fournissant un hébergement gratuit sont les leaders
La majorité des applications du top 20 sont des applications qui fournissent des services d’hébergement de fichiers gratuits. Cela inclut les applications de stockage en nuage (Microsoft OneDrive, Google Drive, Azure Blob Storage, Amazon S3, Box, Dropbox, Google Cloud Storage), les applications d’hébergement Web gratuites (Weebly, Squarespace), les services de partage de fichiers gratuits (DocPlayer, MediaFire, WeTransfer) et les applications d’hébergement de code source gratuites (GitHub, SourceForge). Étant donné que ces applications fournissent toutes un hébergement de fichiers à faible coût ou gratuit, Netskope Threat Labs s’attend à ce qu’elles et des applications similaires continuent d’être utilisées à des fins de logiciels malveillants et de phishing dans un avenir prévisible.

Phishing

Les adversaires réussissent généralement mieux à inciter les victimes à cliquer sur des liens de phishing qu’à les inciter à télécharger des logiciels malveillants. En moyenne, 29 entreprises sur 10 000 ont cliqué sur un lien de phishing chaque mois en 2023, soit plus de trois fois le taux d’utilisateurs téléchargeant des chevaux de Troie. Tout au long de l’année, une organisation de 10 000 utilisateurs aurait eu en moyenne 348 utilisateurs cliquant sur des liens de phishing.

Les attaquants hameçonnent pour obtenir des informations d’identification et d’autres informations sensibles pour une variété de cibles différentes. Les 10 principales cibles de phishing en 2023 comprenaient des applications cloud et SaaS populaires, des sites d’achat et des portails bancaires. Les applications SaaS et les sites d’achat ont figuré parmi les principales cibles tout au long de l’année, tandis que les portails bancaires, les médias sociaux et les objectifs gouvernementaux ont connu une augmentation constante tout au long de l’année. Alors que certains adversaires hameçonnent pour obtenir des informations d’identification et des données qu’ils utiliseront eux-mêmes, d’autres servent de courtiers d’accès initial, vendant les informations d’identification, les informations bancaires et d’autres données volées sur le marché noir. Netskope Threat Labs prévoit que les applications cloud et SaaS, bien qu’elles continueront à figurer parmi les principales cibles de phishing, seront remplacées par les portails bancaires en tant que cible principale au début de 2024.

Parmi les principales catégories de cibles de phishing, il y en a quelques-unes qui se démarquent :

Secteur public
La cible gouvernementale la plus courante était l’Internal Revenue Service des États-Unis, où les attaquants créaient des pages de phishing pour voler les données financières de leurs victimes.

Médias sociaux
Facebook, l’application de médias sociaux la plus populaire dans l’entreprise, reste de loin la plateforme de médias sociaux la plus ciblée. Les adversaires utilisent des comptes de médias sociaux compromis pour lancer des escroqueries, diffuser des logiciels malveillants, diffuser de la désinformation et d’autres activités illicites.

Achats
Les géants du shopping Amazon et Ebay restent les principales cibles d’achat.

Jeu
La plate-forme de jeu Steam a été de loin la plate-forme de jeu la plus ciblée. Les adversaires utilisent généralement les informations de paiement attachées au compte pour effectuer des achats et tentent également d’utiliser le compte pour compromettre des comptes supplémentaires.

Consumer
Le service de streaming vidéo Netflix a maintenu son avance en tant que service le plus phié dans la catégorie des consommateurs en 2023. Ici, l’objectif principal est le vol : les comptes volés sont vendus sur un marché noir à des personnes à la recherche d’un abonnement Netflix bon marché.

Parmi les applications cloud et SaaS ciblées par les adversaires dans les campagnes de phishing en 2023, un écosystème d’applications se démarque de tous les autres : Microsoft. La popularité de Microsoft parmi les utilisateurs d’entreprise signifie que les informations d’identification Microsoft sont à la fois une cible lucrative pour les attaquants et que les utilisateurs seront plus habitués à cliquer sur des liens pour les services Microsoft. À mesure que de plus en plus d’utilisateurs continuent d’utiliser les services Microsoft, Microsoft continuera d’être une cible principale pour les adversaires qui peuvent exploiter l’accès au compte Microsoft de leur victime pour compromettre la messagerie professionnelle, voler des données sensibles et se tourner vers d’autres applications connectées. Pour ces raisons, Netskope Threat Labs s’attend à ce que Microsoft reste la principale cible de phishing dans le cloud en 2024, augmentant ainsi son avance sur les autres applications.

Une stratégie de phishing moins courante mais croissante consiste à utiliser des pièces jointes de phishing au lieu de liens de phishing dans les e-mails. Les pièces jointes d’hameçonnage sont destinées à contourner les contrôles anti-hameçonnage qui n’inspectent que les liens intégrés directement dans l’e-mail lui-même. Le type de pièce jointe par hameçonnage le plus courant est un document PDF qui semble être une facture, invitant les victimes à appeler un numéro de téléphone ou à consulter un lien si elles ont besoin de corriger quoi que ce soit sur la facture. Les pièces jointes d’hameçonnage étaient assez rares au début de 2022, ont atteint un pic en milieu d’année, ont diminué et ont de nouveau augmenté à la fin de 2023. Malgré cette augmentation, le téléchargement d’une pièce jointe de phishing par un utilisateur d’entreprise est moins fréquent que le fait de cliquer sur un lien de phishing ou de télécharger un cheval de Troie. Netskope Threat Labs s’attend à ce que les pièces jointes de phishing deviennent encore plus courantes en 2024.

Profils et objectifs de l’adversaire

Jusqu’à présent, dans ce rapport, nous avons souligné que les applications cloud et SaaS continuent de gagner en popularité dans l’entreprise, gagnant plus d’utilisateurs et plus d’interactions par utilisateur chaque année. Nous avons également souligné que l’ingénierie sociale était la technique d’infiltration la plus courante en 2023, le phishing et les chevaux de Troie hébergés sur les applications SaaS et les ciblant se classant parmi les principales techniques. Mais qui étaient les adversaires qui employaient ces techniques ? Quelles étaient leurs motivations et leurs objectifs ? Quel risque représentaient-ils pour les organisations qu’ils ciblaient ? Cette section explore les réponses à ces trois questions.

Netskope Threat Labs suit les adversaires qui ciblent activement les clients de Netskope afin de mieux comprendre leurs motivations, leurs tactiques et leurs techniques afin de mieux nous défendre contre eux. Nous classons généralement les motivations de l’adversaire comme étant criminelles ou géopolitiques.

Adversaires criminels
L’objectif principal d’un groupe d’adversaires criminels est le gain financier, ce qui a récemment entraîné une forte concentration sur l’extorsion. L’extorsion est une activité extrêmement rentable pour les cybercriminels, avec des paiements de rançon estimés à 457 millions de dollars en 2022. De nos jours, les adversaires criminels ont élargi leur portefeuille de techniques d’extorsion pour augmenter les chances de succès. Ces techniques comprennent :

Déploiement de ransomwares. L’objectif est d’arrêter les opérations et les systèmes de la victime en cryptant toutes ses données. La tactique de négociation initiale consiste à promettre de décrypter leurs données s’ils paient la rançon. Certains adversaires vont même jusqu’à prétendre aider la victime – la victime a tellement de chance que l’adversaire bienveillant ne veut que de l’argent pour décrypter les fichiers et ne veut pas faire de mal réel. Imaginez si quelqu’un avec des intentions plus néfastes avait eu accès à l’environnement de la victime !
Déploiement d’un voleur d’informations. Un voleur d’informations vole les données sensibles de la victime, généralement en compressant et en exfiltrant les données via HTTP ou HTTPS pour se fondre dans le reste du trafic. Les données volées sont utilisées comme levier pour convaincre la victime de payer la rançon. Par exemple, si la victime peut facilement restaurer à partir de sauvegardes et reprendre des opérations normales, elle ne serait pas particulièrement motivée à payer. Peut-être que la menace d’exposer publiquement des données sensibles pourrait les faire changer d’avis.
Sabotage des systèmes. Les essuie-glaces sont de plus en plus souvent utilisés par les organisations criminelles comme dernière tactique pour aider à motiver le paiement. Au fur et à mesure que les négociations d’extorsion se poursuivent, les adversaires commenceront à détruire des données et à mettre les systèmes hors ligne, dans l’espoir que cela motivera davantage la victime à payer.

Bien que nous tentions d’étiqueter chaque groupe d’adversaires criminels en fonction du pays dans lequel ils opèrent, de nombreux groupes travaillent à l’échelle transnationale. De plus, beaucoup opèrent désormais dans un modèle d’affiliation, ce qui rend leurs opérations encore plus dispersées. Par conséquent, nous associons généralement un groupe au pays ou à la région d’où l’on pense que ses membres principaux se trouvent.

Adversaires géopolitiques
Les groupes adversaires géopolitiques sont généralement soit des États-nations, soit leurs mandataires, et leurs activités reflètent généralement des conflits politiques, économiques, militaires ou sociaux plus larges. Les groupes géopolitiques s’engagent généralement dans des cyberopérations contre d’autres États-nations dans le cadre d’une stratégie moderne de relations internationales. La frontière entre les adversaires géopolitiques et criminels peut s’estomper, certains groupes géopolitiques s’engageant également dans des activités à motivation financière. Les cyberopérations spécifiques entreprises par les adversaires géopolitiques varient, notamment :

Cyberespionnage
Sabotage d’infrastructures critiques
Guerre de l’information
Diffusion de la propagande
Manipuler l’opinion publique
Influencer les élections

Attribution
Il peut être difficile d’attribuer une activité à un groupe d’adversaires spécifique. Les adversaires tentent de cacher leur véritable identité ou même de lancer intentionnellement des opérations sous fausse bannière dans lesquelles ils essaient de faire croire que leurs attaques proviennent d’un autre groupe. Plusieurs groupes utilisent souvent les mêmes tactiques et techniques, certains allant jusqu’à utiliser les mêmes outils ou infrastructures. Même la définition de groupes adversaires peut s’avérer difficile, à mesure que les groupes évoluent ou que les membres passent d’un groupe à l’autre. Les attributions de l’adversaire sont floues et susceptibles de changer et d’évoluer au fur et à mesure que de nouvelles informations sont révélées.

La majorité des activités des adversaires ciblant les clients de Netskope en 2023 étaient motivées par des motifs criminels, les adversaires géopolitiques étant les plus actifs contre les utilisateurs en Asie et en Amérique latine. En Asie, la plus forte concentration d’activités géopolitiques de l’adversaire a ciblé des victimes en Inde et à Singapour, et en Amérique latine, elle a ciblé des victimes au Brésil.

Dans l’ensemble, la majorité de l’activité de l’adversaire a été attribuée à des groupes criminels basés en Russie (ciblés dans le monde entier), suivis par des groupes géopolitiques en Chine (ciblant principalement des victimes en Asie, en particulier à Singapour). Les groupes d’adversaires situés dans d’autres régions représentaient moins d’un quart de toutes les activités d’adversaires suivies par Netskope Threat Labs en 2023. Dans le reste de cette section, nous présentons un profil d’adversaire pour les cinq groupes d’adversaires les plus actifs en 2023, en mettant en évidence leurs motivations, leurs tactiques, leurs techniques et leurs stratégies de ciblage. Cette liste comprend trois groupes criminels basés en Russie et deux groupes géopolitiques basés en Chine.

TA551

Emplacement: Russie
Motivation: Criminel
Alias: CABANE GOLD, Shathak

L’activité attribuée à TA551 provenait principalement de chevaux de Troie bancaires, en particulier des variantes de Pinkslipbot, Ursnif et QakBot. TA551 a ciblé des victimes dans le monde entier et dans de nombreux secteurs verticaux, notamment la fabrication, les services financiers, la technologie et les soins de santé. Alors que de nombreuses organisations criminelles ont adopté une stratégie centrée sur l’extorsion, TA551 semble se contenter de s’en tenir à sa stratégie éprouvée de vol d’informations bancaires directement auprès de ses victimes.

Araignée Sorcier

Emplacement: Russie
Motivation: Criminel
Alias: UNC1878, TEMP. MixMaster, Grim Spider, FIN12, GOLD BLACKBURN, ITG23, Pervenche Tempête

Wizard Spider est peut-être le plus tristement célèbre pour avoir développé le logiciel malveillant TrickBot et s’est depuis tourné vers la conduite d’opérations de ransomware. En 2023, Netskope a suivi l’activité associée à Wizard Spider ciblant des victimes dans le monde entier. Dans la plupart de leurs opérations, ils ont utilisé l’outil populaire de l’équipe rouge Cobalt Strike pour établir la persistance dans les environnements des victimes. Le cadre Cobalt Strike fournit un exécutable léger qui est implanté dans l’environnement de la victime et communique avec un serveur contrôlé par l’attaquant. Il est généralement utilisé pour fournir un accès à distance et déployer des charges utiles de logiciels malveillants supplémentaires (dans ce cas, principalement des ransomwares). La plupart de l’activité de Wizard Spider que nous avons suivie en 2023 a suivi un schéma commun : éviter les recherches DNS en communiquant directement avec le serveur contrôlé par l’attaquant via son adresse IP via HTTP.

TA505

Emplacement: Russie
Motivation: Criminel
Alias: Ruche0065

TA505 est un autre groupe de ransomware criminel russe et est responsable du ransomware Clop . À l’instar de Wizard Spider, l’entreprise a également utilisé massivement Cobalt Strike pour sa persistance et pour déployer des charges utiles de ransomware. Ils ont également utilisé le botnet Amaday pour déployer des ransomwares et d’autres charges utiles de logiciels malveillants sur les systèmes infectés. À l’instar de Wizard Spider, leurs implants Cobalt Strike et Amadey avaient tendance à communiquer directement avec leur infrastructure C2 via des adresses IP, en contournant les recherches DNS. Contrairement à Wizard Spider, qui ciblait des organisations dans le monde entier, les activités de TA505 étaient concentrées en Asie et en Europe.

APT41

Emplacement: Chine
Motivation: Géopolitique
Alias: Méchant panda

APT41 est un groupe d’espionnage parrainé par l’État qui se livre également à des attaques de ransomware à motivation financière. Bien que leurs activités dans le passé aient été réparties dans le monde entier, leurs activités en 2023 étaient principalement concentrées en Asie et en Europe, en particulier les organisations de services financiers basées à Singapour. Comme d’autres groupes, ils se sont fortement appuyés sur le cadre de la grève de Cobalt pour persister et déployer des charges utiles supplémentaires. Ils ont également utilisé la porte dérobée POISONPLUG, dont des variantes utilisent les plateformes de médias sociaux comme canaux de commande et de contrôle.

Terre Lusca

Emplacement: Chine
Motivation: Géopolitique
Alias: TAG-22

Earth Lusca est étroitement lié à APT41 en ce sens qu’il utilise un outillage très similaire. En 2023, ils ont utilisé Cobalt Strike et POISONPLUG contre des cibles dans le monde entier couvrant de multiples secteurs, notamment les services financiers, la fabrication, les soins de santé, la technologie et les SLED.

Recommandations

La complexité d’un environnement d’entreprise où les utilisateurs introduisent constamment de nouvelles applications alors que les applications existantes sont de plus en plus intégrées dans les processus métier de base, peut rendre ces environnements difficiles à sécuriser. Netskope Threat Labs recommande de limiter l’accès aux applications aux seules applications qui servent un objectif commercial légitime et de créer un processus d’examen et d’approbation pour les nouvelles applications. Pour les applications largement utilisées et fortement intégrées, Netskope recommande de mettre en œuvre un processus de gestion de la posture continue pour s’assurer que les applications sont configurées de manière à réduire les risques pour l’organisation. Nous vous recommandons également de mettre en place un processus de surveillance continue qui alertera les opérateurs de sécurité lorsque les applications sont utilisées à mauvais escient ou ont été compromises.

Les applications d’IA générative s’étant implantées dans l’entreprise, assurer l’activation et l’adoption en toute sécurité des applications d’IA devrait désormais être une priorité urgente pour la plupart des organisations. L’activation sécurisée implique l’identification des applications autorisées et la mise en œuvre de contrôles qui permettent aux utilisateurs de les utiliser à leur plein potentiel tout en protégeant l’organisation contre les risques. Pour plus d’informations sur la façon dont Netskope peut vous aider, veuillez consulter la présentation de la solution ChatGPT et Generative AI Data Protection.

Compte tenu de l’augmentation continue de l’ingénierie sociale pour l’accès initial, Netskope Threat Labs recommande de poursuivre les investissements dans la réduction du risque d’ingénierie sociale, y compris la formation à la sensibilisation à la sécurité et la technologie anti-phishing. En raison de l’attention croissante des adversaires qui se concentrent sur le ciblage et l’utilisation abusive des applications cloud et SaaS, les entreprises doivent s’assurer que leurs solutions de sécurité inspectent minutieusement tout le trafic réseau (y compris le trafic vers et depuis les applications cloud et SaaS populaires) et surveillent activement les applications gérées pour détecter les signes d’abus et de compromission.

Il existe de nombreux points communs entre les groupes adversaires actifs, notamment l’installation d’implants tels que Cobalt Strike pour permettre un accès à distance clandestin ; le déploiement de ransomwares, de voleurs d’informations et d’essuie-glaces ; et les tentatives d’extorsion qui ont suivi. Le verrouillage de l’accès à distance, l’application de correctifs aux systèmes contre les exploits connus et la réduction des risques d’ingénierie sociale peuvent aider à prévenir l’accès initial et donc l’activité plus importante et plus coûteuse des attaquants. Cependant, des couches supplémentaires de contrôles doivent également être déployées pour attraper les adversaires déterminés qui parviennent à se frayer un chemin au-delà des couches initiales. Ces couches supplémentaires comprennent le déploiement d’une sécurité réseau et de points de terminaison capable de bloquer les tentatives d’intrusion, les communications de commande et de contrôle et l’exfiltration de données malveillantes. Ils incluent également le déploiement d’outils de sécurité du réseau et des terminaux capables de détecter l’activité inhabituelle qui se produit généralement lorsqu’un adversaire a infiltré un système mais n’a pas encore déployé de ransomware ou exfiltré des données. Détecter et perturber un adversaire à ce stade peut encore empêcher une attaque de devenir dommageable ou coûteuse.

Une stratégie de cybersécurité à plusieurs niveaux axée sur la réduction des risques, le blocage des activités de l’adversaire et la surveillance continue peut aider à protéger les organisations contre les pertes considérables causées par une cyberattaque réussie.

Rapports sur l'informatique en nuage et les menaces

Le rapport cloud et menaces de Netskope vous fournit des renseignements uniques sur l'adoption des applications cloud, les évolutions du paysage des menaces liées au cloud et les risques qui pèsent sur les données des entreprises.

Parcourir les rapports

Accélérez le développement de votre programme de sécurité avec le leader du SASE.

Commencez