Fort de plus d’un milliard d’internautes protégés à travers le monde, ESET édite semestriellement un rapport d’observation. Nous porterons notre attention sur le paysage des menaces de juin 2023 à novembre 2023. Ce rapport s’appuie sur les données issues de notre télémétrie d’une part et d’autre part propose les analyses de nos chercheurs sur les groupes d’attaquants APT et cybercriminels.
Voici trois sujets clefs extraits du rapport, dont vous pouvez consulter l’intégralité à la fin de cet article. Tendances et chiffres clefs sur l’hameconage et les menaces véhiculées par courriels, les attaques visant SMB et RDP et pour finir un zoom sur l’utilisation de l’Intelligence Artificielle comme leurre.
Dans le rapport complet, vous trouverez d’autres sujets qui ne sont pas couvert ci-dessous, tels que la recrudescence d’attaques de rançongiciels menées par le groupe Cl0p, s’appuyant sur le hack « MoveIT », le déploiement de logiciels espions visant Android et pour terminer l’importance des campagnes d’infostealers (logiciels exfiltrant les login et mots de passe et toutes autres informations sensibles des machines).
Chiffres clefs de la télémétrie ESET
La majorité des chiffres donnés ci-dessous proviennent de la télémétrie ESET pour la France. Le volume des attaques est en croissance. Le top 10 est toujours dominé par l’hameçonnage qui tente de nous soutirer nos informations d’identification pour la suite Office, Outlook et/ou d’autres services en ligne. Ce type d’attaques représente près d’un quart de tous les fichiers détectés dans les données de télémétrie ESET.
Notons le nombre croissant de JavaScripts malveillants, principalement représenté par la détection JS/Agent, qui est passé de la cinquième à la deuxième place, représentant 10 % des menaces détectées. En particulier pour la France, les e-mails de sextorsion sont également en hausse, bien qu’à un rythme plus lent qu’auparavant, avec une augmentation de 32 %.
Spam, hameçonnage, tendance des attaques sur les messageries
Le volume des menaces véhiculées par les courriers électroniques ne faiblit pas, il est marqué par une légère hausse au cours de l’année. Les scripts et les documents PDF malicieux sont majoritaires et représentent près de 75% des contenus malveillants attachés aux messages. Ils sont suivis par les documents MS Office, des éléments à surveiller de près lors du filtrage. En effet les premières places du classement regroupent les messages malveillants qui visent à récupérer les identifiants à MS office ainsi que ceux des applications populaires. A l’exception de la seconde place tenue par des messages de sextorsion (spécifiquement en France).
Tendances des exploitations des services RDP et SMB (France)
Au cours du second semestre 2023 les attaques visant les services RDP et SMB n’ont pas faibli. La France se trouve d’ailleurs parmi les pays les plus ciblés. L’opération la plus fréquente est l’attaque qui vise à deviner les mots de passe, à la fois envers les services RDP ainsi que les services SMB.
La protection multi facteur de ces accès est fortement encouragée ainsi qu’un nombre limité de tentative de connexion.
La chasse aux utilisateurs ChatGPT est ouverte
Au cours du 2e semestre 2023, ESET a bloqué plus de 650 000 tentatives d’accès à des domaines malveillants dont les noms comprenaient la chaîne « chapgpt » ou un texte similaire. Si la plupart des blocages ont eu lieu en juin, les mois suivants ont vu un flux constant de nouveaux domaines malveillants prétendant offrir des services liés à ChatGPT.
En dehors de ces applications Web, presque tous les noms de domaine chatgpt malveillants étaient liés à des extensions Chrome malveillantes - détectées comme JS/Chromex.Agent.BZ.
Ce que leurs créateurs promettent aux victimes, c’est une fenêtre de recherche dans leur navigateur, qui combine la puissance de la recherche Google et de ChatGPT. Cependant, le serveur de l’attaquant peut envoyer une URL en réponse et l’extension peut l’afficher dans un nouvel onglet du navigateur. Cette fonctionnalité, non divulguée par le développeur, pourrait conduire la victime vers des pages Web malveillantes.
Notons que d’autres campagnes menées sur le thème de l’IA visent à récupérer les clefs API d’utilisateurs. Ainsi les cybers criminels peuvent utiliser avec un anonymat certain et sans frais les outils leur permettant d’améliorer leurs campagnes.
Quels enseignements tirer du rapport ESET ?
Sans surprise l’humain reste au cœur des préoccupations pour renforcer la sécurité globale des SI. Les menaces véhiculées par emails sont en constante évolution, tant en quantité qu’en qualité. L’intelligence artificielle générative apportant une pierre de taille à l’édifice. A la fois par son attractivité et les escroqueries qui y sont liées, autant que par l’apport technique qu’elle apporte aux attaquants.
Par ailleurs et comme le montrent les statistiques des attaques sur les protocoles SMB et RDP, toutes les parties prenantes doivent être sensibilisées et accompagnées. Qu’il s’agisse de shadow IT ou de déploiement régulier, les ressources doivent faire l’objet d’un traitement sous l’angle de la cyber sécurité, pour ne pas servir de porte d’entrée au SI. L’humain est tout autant une force et une ressource rare. Pour se protéger la surveillance du SI doit être constante, ne faiblissant pas à l’aune du weekend ou des congés.
C’est à partir de ce constat qu’ESET propose un service de MDR adossées à ses solutions de sécurité. Nos experts épaulent les équipes IT et sécurité à la recherche des intrusions et comportements suspects en tirant parti des solutions composant notre XDR (EPP, EDR, sandbox cloud, filtrage email et plus largement Office 365 ou Google workplace).
Téléchargez le rapport des menaces ESET H2 2023 (en anglais)
A propos des données
Les statistiques et tendances des menaces présentées dans ce rapport sont basées sur des données de télémétrie globales d'ESET. Sauf mention contraire explicite, les données incluent les détections indépendamment de la plateforme ciblée. De plus, les données excluent les détections d'applications potentiellement indésirables, d'applications potentiellement dangereuses et de logiciels publicitaires, sauf indication contraire dans les sections spécifiques à une plateforme et dans la section sur les menaces liées aux cryptomonnaies. Ces données ont été traitées avec la sincère intention de limiter les biais et dans le but de maximiser la valeur des informations fournies. La plupart des graphiques dans ce rapport montrent des tendances de détection plutôt que de fournir des valeurs. Cela est dû au fait que les données peuvent être sujettes à de mauvaises interprétations, surtout lorsqu'elles sont comparées directement à d'autres données de télémétrie. Cependant, les valeurs absolues ou les ordres de grandeur sont fournis lorsque cela est jugé pertinent.
