Netskope Threat Labs suit les adversaires qui ciblent activement les clients de Netskope afin de mieux comprendre leurs motivations, leurs tactiques et leurs techniques. Nous exploitons ensuite ces informations pour aider nos clients à défendre leurs systèmes contre ces adversaires. Les adversaires suivis par Netskope Threat Labs se répartissent généralement en deux catégories, en fonction de leurs motivations.
Criminel
L'objectif principal des groupes criminels adversaires est le gain financier, et leurs outils comprennent généralement des logiciels de vol d'informations et des ransomwares. L'extorsion est une activité extrêmement lucrative pour les cybercriminels depuis plusieurs années, avec environ 457 millions de dollars de rançons versées en 2022. La plupart des adversaires criminels ont diversifié leurs opérations afin d'utiliser à la fois des ransomwares et des infostealers pour augmenter les chances que la victime paie. Si le fait de crypter leurs systèmes à l'aide d'un ransomware n'était pas suffisant pour les convaincre de payer, peut-être que la divulgation publique d'informations sensibles volées à l'organisation pourrait les aider. Bien que nous nous efforcions de classer chaque groupe criminel en fonction du pays dans lequel il opère, de nombreux groupes ont une activité transnationale. De plus, beaucoup fonctionnent désormais selon un modèle d'affiliation, ce qui rend leurs activités encore plus dispersées. Par conséquent, nous associons généralement un groupe au pays ou à la région d'où proviennent ses principaux membres.
Géopolitique
Les groupes adversaires géopolitiques sont motivés par des questions géopolitiques. Il s'agit généralement d'États-nations ou de leurs mandataires, et leurs activités reflètent souvent des conflits politiques, économiques, militaires ou sociaux plus larges. Par exemple, des groupes adversaires russes ont lancé des cyberattaques contre l'Ukraine qui ont coïncidé avec leur invasion de ce pays. Les groupes géopolitiques mènent généralement des cyberopérations contre d'autres États-nations, et ces opérations sont devenues un élément essentiel des relations internationales modernes. Les frontières entre adversaires géopolitiques et criminels sont parfois floues, certains groupes géopolitiques se livrant également à des activités motivées par l'appât du gain. Par exemple, le régime nord-coréen actuel finance le développement de son programme de missiles par le biais de la cybercriminalité. Les cyberopérations spécifiques menées par les adversaires géopolitiques varient, notamment le cyberespionnage contre des organisations gouvernementales et non gouvernementales et le sabotage d'infrastructures critiques afin de déstabiliser un adversaire. Les adversaires géopolitiques se livrent également à une guerre de l'information, diffusant de la propagande, manipulant l'opinion publique et influençant les élections populaires.
Il peut être difficile d’attribuer une activité à un groupe d’adversaires spécifique. Les adversaires tentent de cacher leur véritable identité ou même de lancer intentionnellement des opérations sous fausse bannière dans lesquelles ils essaient de faire croire que leurs attaques proviennent d’un autre groupe. Plusieurs groupes utilisent souvent les mêmes tactiques et techniques, certains allant jusqu’à utiliser exactement le même outillage ou même à partager l’infrastructure. Même la définition de groupes adversaires peut s’avérer difficile, à mesure que les groupes évoluent ou que les membres passent d’un groupe à l’autre. Pour ces raisons, les attributions de l’adversaire sont floues et susceptibles de changer et d’évoluer au fur et à mesure que de nouvelles informations sont mises en lumière. Dans le reste de ce rapport, nous présentons des statistiques sur les activités des adversaires observées sur la plate-forme Netskope Security Cloud et les groupes les plus susceptibles d’être responsables de ces activités.