Les groupes de ransomware continuent de mettre à jour leurs outils et leurs techniques pour des cibles élargies et une extraction de données efficace. Cette année, un nouvel acteur, Mimic, a détourné l'outil de recherche légitime Everything pour consulter les extensions et les noms de fichiers afin de déterminer quels fichiers chiffrer et éviter. Dans le même temps, le ransomware Royal a élargi ses cibles avec une évolution visant les plateformes Linux.

Nos enquêtes sur Royal et Mimic ont suggéré des liens avec le groupe de ransomware Conti, plus important et plus connu, tandis que notre enquête sur TargetCompany a révélé ses liens avec d'autres familles telles que BlueSky et le ransomware GlobeImposter. Ces liens corroborent notre analyse sur l'évolution des ransomware, présentant la façon dont les collaborations pourraient entraîner une réduction des coûts et une présence accrue sur le marché tout en maintenant l'efficacité des activités criminelles.

Cependant, le gain financier n'est peut-être pas la seule motivation des groupes de ransomware, car les entités gouvernementales pourraient proposer des possibilités de recrutement aux opérateurs au lieu de poursuites. Dans notre rapport du mois de mai sur la porte dérobée RomCom, nous avons présenté dans quelle mesure l'utilisation historique de la porte dérobée dans les attaques à motivation géopolitique contre l'Ukraine depuis au moins octobre 2022 suggère un changement de cibles de Void Rabisu. Les récentes attaques par ransomware sont désormais comparables aux groupes APT en matière de compétences, d'approche et de capacités d'attaque.

Les acteurs des ransomware qui continuent d'agir pour l'argent pourraient également orienter leurs efforts d'exfiltration de données vers le vol de cryptomonnaie, l'usurpation d'identité par email (BEC) et le déploiement de mécanismes courts et faussés pour la manipulation des marchés boursiers. La cryptomonnaie a également rendu les dispositifs de paiement plus efficaces en faveur des auteurs de menaces, soulignant la demande d'analyses shift left, synonyme de mise en œuvre du plus grand nombre possible de mesures pour empêcher les menaces d'entrer dans le réseau en premier lieu, en anticipant des attaques liées aux ransomware qui ne déclenchent une extorsion qu'après avoir obtenu l'accès et exfiltré les données.

L'indice d'exposition aux cyber risques (CRI) est redescendu à un niveau modéré avec un score de +0,01 au second semestre 2022, selon une enquête menée auprès de plus de 3 700 entreprises dans quatre régions. Cependant, les détails de notre rapport indiquent que le CRI d'Amérique du Nord est le plus élevé parmi les régions avec -0,10. Son indice de préparation aux cyber risques diminue de 5,30 à 5,29 et son indice de cybermenace chute de 5,63 à 5,39. Quant aux avis concernant les vulnérabilités, 894 ont été publiés au premier semestre 2023, soit seulement 50 de moins qu'au premier semestre de l'année précédente.

Parallèlement, les auteurs de menaces étendent leur réseau en exploitant les vulnérabilités sur de plus petites plateformes pour des cibles plus spécifiques, telles que le service de transfert de fichiers MOVEit, le logiciel de communication d'entreprise 3CX et une solution logicielle de gestion d'impression, PaperCut. Au mois de juin, le ransomware Clop a exploité une vulnérabilité dans MOVEit et a compromis diverses agences gouvernementales aux États-Unis plus tôt dans l'année, notamment le ministère de l'Énergie, les systèmes universitaires de plusieurs États ainsi que des entreprises privées.

En mai, Google a lancé huit nouveaux domaines de premier niveau (TLD), dont .zip et .mov. Ils peuvent poser des risques de sécurité si des cybercriminels les exploitent pour cacher des URL malveillantes derrière des sites Web légitimes en vue de distribuer des malware et de commettre d'autres attaques : une technique éprouvée qui reste efficace aujourd'hui.

Tandis que les innovations continuent d'évoluer et font appel à plus de données, les auteurs de menaces trouvent d'autres moyens de faire des victimes. Par exemple, les voitures connectées actuelles contiennent plus de 100 millions de lignes de code, procurant des fonctionnalités intelligentes aux utilisateurs, mais ouvrant également des portes aux pirates. De plus en plus de voitures intelligentes étant mises sur le marché, les pirates essaieront d'accéder aux données des comptes des utilisateurs et de les exploiter pour commettre des crimes.

Ces menaces soulignent la nécessité d'une gestion proactive des cyber-risques qui opérationnalise les éléments d'une stratégie Zero Trust ainsi que d'une visibilité et d'une évaluation continues sur l'ensemble du cycle de vie des risques, qui comprendrait la découverte, l'évaluation et l'atténuation. Les investissements en détection et réponse étendues se traduiraient par des données, des analyses et des intégrations suffisantes, à partir desquelles les équipes de sécurité et les chercheurs peuvent collecter des informations sur l'activité des menaces et la capacité des défenses à y faire face.