Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
May 31, 2024
En 2023, les cyberattaques se développeront plus rapidement à mesure que les temps d'intervention moyens chuteront
denisismagilov - stock.adobe.com Le temps d'attente médian – le temps entre l'accès d'un attaquant aux systèmes de sa victime et la détection ou l'exécution de l'attaque – a considérablement diminué,
Denisismagilov - stock.adobe.com
Le temps d'attente médian – le temps entre l'accès d'un attaquant aux systèmes de sa victime et la détection ou l'exécution de l'attaque – a considérablement diminué, passant de 10 à huit jours entre janvier et juillet 2023, après avoir diminué de cinq jours, passant de 15 à 10 en 2022. après une forte hausse en 2021.
C'est ce que révèlent les données tirées des cas de réponse aux incidents (IR) de Sophos X-Ops, qui ont été publiées aujourd'hui dans le rapport Active Adversary de la société pour les leaders technologiques 2023.
Cette statistique majeure pourrait être considérée comme une bonne nouvelle, comme le signe que les capacités de détection des équipes de sécurité des utilisateurs finaux s'améliorent, mais d'un autre côté, elle pourrait également refléter des acteurs de la menace de plus en plus bien organisés, techniquement compétents et efficaces sur le plan opérationnel, qui savent quoi faire. ils veulent et comment l'obtenir.
En effet, X-Ops a constaté que les attaquants mettent désormais environ 16 heures pour atteindre les ressources Active Directory (AD) critiques de leurs victimes. De tels actifs gèrent généralement l’identité et l’accès aux ressources de l’organisation, ce qui en fait une mine d’or pour les acteurs malveillants cherchant à élever leurs privilèges, comme l’explique John Shier, directeur technologique de Sophos.
« Attaquer l'infrastructure Active Directory d'une organisation est logique d'un point de vue offensif », a-t-il déclaré. « AD est généralement le système le plus puissant et le plus privilégié du réseau, offrant un large accès aux systèmes, applications, ressources et données que les attaquants peuvent exploiter dans leurs attaques. Lorsqu’un attaquant contrôle AD, il peut contrôler l’organisation. L'impact, l'escalade et la surcharge de récupération d'une attaque Active Directory sont la raison pour laquelle elle est ciblée.
« Accéder au serveur Active Directory et en prendre le contrôle dans la chaîne d'attaque offre aux adversaires plusieurs avantages. Ils peuvent rester inaperçus pour déterminer leur prochain mouvement et, une fois prêts à partir, ils peuvent parcourir le réseau d'une victime sans entrave.
« La récupération complète d'un domaine compromis peut être un effort long et ardu », a déclaré Shier. « Une telle attaque porte atteinte aux fondements de la sécurité sur lesquels repose l'infrastructure d'une organisation. Très souvent, une attaque AD réussie signifie qu’une équipe de sécurité doit repartir de zéro.
Le rapport révèle également que dans le cas des attaques de ransomware, le temps d'attente médian est désormais tombé à cinq jours, ce qui peut être lié à la croissance des attaques de ransomware dans lesquelles aucun casier de ransomware n'est déployé, comme la récente campagne de Clop contre MOVEit de Progress Software. outil.
Les attaques de ransomwares étaient le type d'attaque le plus répandu dans les cas IR sur lesquels l'équipe X-Ops a travaillé, représentant 69 % des engagements. Shier a cependant noté que, mis à part les incidents de ransomware connus, un nombre important d'attaques semblaient être des violations du réseau consistant en une intrusion mais sans motif clair, soulevant la question : combien d'entre elles étaient réellement des attaques de ransomware déjouées.
« Nous avons pu identifier plusieurs attaques perpétrées par Cuba et Vice Society, tous deux tristement célèbres fournisseurs de ransomwares, mais surtout, ces attaques n'ont jamais atteint le stade de ransomware », a écrit Shier.
« La leçon à retenir pour les dirigeants d’entreprise est qu’une action rapide peut briser même une chaîne d’attaque éprouvée telle que celle utilisée par les ransomwares ; dans le cas d'un certain nombre de ces incidents, c'est probablement ce qui s'est produit.
Reflétant une tendance observée depuis longtemps mais généralement non quantifiée parmi les acteurs de la menace, consistant à exécuter des ransomwares le week-end ou les jours fériés – comme lors de l'incident de Kaseya du 4 juillet 2021 – Sophos a révélé que dans 81 % des attaques de ransomware observées, la charge utile finale a explosé en dehors de l'extérieur. pendant les heures de travail, et parmi celles qui ont été déployées pendant les heures de travail, cinq seulement ont eu lieu un jour de semaine.
Le nombre d'attaques détectées dans la télémétrie de X-Ops a généralement augmenté au fil de la semaine, avec 43 % des attaques de ransomware détectées un vendredi ou un samedi, lorsque les équipes de sécurité se terminent pour le week-end ou sont complètement absentes du bureau.