Deuxième rapport Sophos Active Adversary 2024 (1S24) – Sophos News
Ce n’est pas une nouveauté : 2024 a été une année tumultueuse sur de nombreux fronts. Pour notre deuxième rapport Active Adversary de 2024, nous examinons spécifiquement les tendances et les développements que nous avons identifiés au cours du premier semestre (1S24). Bien que l’année elle-même ait été, à bien des égards, banale en apparence pour les personnes chargées de la sécurité des petites et moyennes entreprises, la guerre entre attaquants et défenseurs a fait rage, comme toujours, et nous pouvons donc remarquer une certaine agitation juste derrière ce calme apparent.
Principaux points à retenir
- L’abus des services Microsoft intégrés (LOLbins) est en hausse.
- Les abus du RDP continuent de sévir, avec toutefois une variante.
- La scène des ransomwares : un démantèlement n’implique pas forcément une disparition totale au niveau de l’attribution.
D’où viennent les données ?
Les données de ce rapport sont tirées de cas traités au premier semestre 2024 (1S24) par a) notre équipe IR externe et b) l’équipe de réponse aux incidents qui gère les cas critiques observés chez nos clients MDR (Managed Detection and Response). Ainsi, nous comparons les résultats des 190 cas sélectionnés pour ce rapport avec les données recueillies lors des précédents dossiers Sophos X-Ops, depuis le lancement de notre service de réponse aux incidents (IR) en 2020.
Pour ce rapport, 80% de l’ensemble de données (dataset) provient d’entreprises de moins de 1 000 employés. C’est inférieur aux 88% de notre dernier rapport ; la différence est principalement (mais pas entièrement) due à l’ajout des cas MDR à cet ensemble. Un peu moins de la moitié (48%) des organisations nécessitant notre aide comptent 250 employés ou moins.
Quels sont les secteurs concernés exactement ? Comme c’est le cas dans nos rapports Active Adversary depuis que nous avons commencé à les publier en 2021, le secteur manufacturier était le plus susceptible de faire appel aux services de réponse aux incidents de Sophos X-Ops, même si le pourcentage de clients issus de ce secteur a fortement diminué, passant de 25% en 2023 à 14% au premier semestre 2024. Les secteurs de la construction (10%), de l’éducation (8%), des technologies de l’information (8%) et de la santé (7%) complètent le top cinq. Au total, 29 secteurs différents sont représentés dans cet ensemble de données. De plus amples informations sur les données et la méthodologie utilisées pour sélectionner les cas présentés dans ce rapport sont disponibles en annexe.
L’essentiel de ce rapport analyse nos conclusions, telles que listées dans les principaux points à retenir ci-dessus, et fournit des mises à jour sur un certain nombre de questions soulevées par les éditions précédentes. L’analyse de l’ensemble des données pour 2024 sera entreprise dans la prochaine édition du rapport, prévue pour début 2025.
L’utilisation de LOLbin en augmentation rapide
Les LOLbins, des binaires abusés mais légitimes déjà présents sur la machine ou couramment téléchargés à partir de sources légitimes associées au système d’exploitation, ont toujours fait partie du paysage de notre rapport Active Adversary. Nous les comparons aux détections que nous appelons “artefacts”, et qui sont des packages tiers introduits illégalement dans le système par des attaquants (par exemple, mimikatz, Cobalt Strike, AnyDesk). Les LOLbins sont des fichiers légitimes, ils sont signés et lorsqu’ils sont utilisés de manière apparemment inoffensive, ils sont moins susceptibles d’attirer l’attention d’un administrateur système.
Nous avons constaté cette année une légère augmentation de l’utilisation et de la variété des artefacts, et nous examinerons ces changements plus loin dans ce rapport. La hausse des LOLbins est cependant saisissante (pour les besoins de cette nouvelle édition, nous nous concentrons principalement sur les binaires du système d’exploitation Microsoft Windows, même si nous constatons également des abus dans d’autres systèmes d’exploitation). Au premier semestre 2024, nous avons trouvé 187 LOLbins Microsoft uniques utilisés parmi nos 190 cas, plus d’un tiers d’entre eux (64) n’apparaissant qu’une seule fois dans notre ensemble de données. Cette évolution représente une augmentation de 51% par rapport aux chiffres des LOLbins de 2023. L’augmentation globale du nombre de LOLbin depuis 2021 est illustrée à la figure 1.
Figure 1 : L’augmentation brutale de l’utilisation des LOLbins au cours du 1S24 intervient après des années de lente augmentation de leur utilisation.
Il y a à peine trois ans, nos statistiques de 2021 montraient que les artefacts étaient plus de deux fois plus courants que les LOLbins dans les cas investigués. Le rapport est désormais plus proche de 5 pour 4, comme le montre la figure 2.
Figure 2 : L’utilisation d’artefacts et de LOLbins augmente globalement, et les attaquants lancent davantage les deux en même temps pour voir celui qui sera le plus efficace. Lors d’un incident particulier survenu cette année, l’équipe de réponse aux incidents a noté l’utilisation de 14 artefacts pour 39 LOLbins.
Quels LOLbins les attaquants utilisent-ils ? Comme toujours, le RDP est en tête du peloton, sur lequel nous aurons plus à dire dans la section suivante. Nous avons trouvé 29 LOLbins spécifiques utilisés dans au moins 10% des cas ; leurs noms et leur prévalence sont présentés dans la figure 3. Cette évolution représente une augmentation substantielle par rapport à la distribution de l’année dernière, où seulement 15 des 124 LOLbins uniques repérés apparaissaient dans plus de 10% des cas.
Figure 3 : Les LOLbins les plus couramment enregistrés sur 1S24 ; tous ces éléments sont apparus dans au moins 10% des cas.
La plupart des noms présents sur la figure ci-dessus ne sont pas une surprise pour les lecteurs réguliers du rapport Active Adversary, le RDP domine le paysage, avec cmd.exe, PowerShell et net.exe qui jouent, comme d’habitude, un rôle majeur. Cependant, nous pouvons constater une utilisation accrue de certains de ces LOLbins familiers dans la figure 4, qui montre également le pourcentage illustrant l’augmentation de l’utilisation de chaque LOLbin observé dans plus de 10% des cas sur 1S24. Notez la prévalence des binaires utilisés pour la détection ou l’énumération : 16, selon notre décompte.
Figure 4 : Sur les 29 LOLbins les plus utilisés que nous avons vus au cours du 1S24, seuls cinq ont été observés moins fréquemment qu’en 2023 (les LOLbins dont l’utilisation a considérablement changé, soit 15% de plus ou de moins que dans les données de l’année précédente, sont indiquées ci-dessus par des doubles flèches). Veuillez noter que dans le contexte de cette liste, “Planificateur de tâches” inclut à la fois le Planificateur de tâches et schtasks.exe, tandis que WMI inclut le WMIC désormais obsolète.
Que doit faire un défenseur ? Premièrement, ce changement au niveau des outils utilisés signifie qu’il ne suffit pas de simplement surveiller votre réseau pour détecter les éléments qui ne devraient pas s’y trouver. Chaque LOLbin fait en quelque sorte partie du système d’exploitation, du RDP à fondue.exe, tracert.exe et time.exe (trois des LOLbins à usage unique que nous avons repérés dans les données). Plus que jamais, il est crucial de comprendre QUI fait partie de votre réseau et ce qu’il est censé y faire. Si Alice et Bob du service informatique lancent des actions avec PowerShell, c’est probablement normal. Si Mallory du service des relations publiques utilise PowerShell, posez-vous des questions.
De plus, la journalisation et une surveillance bien informée du réseau sont essentielles. À un moment donné de notre analyse, nous nous sommes demandés si les augmentations que nous constations n’étaient peut-être que le résultat de l’intégration des données de notre équipe MDR. Après avoir normalisé les données, nous avons pu conclure que ce n’était pas le cas, mais nous avons été une fois de plus surpris par la différence générée par le fait d’avoir des yeux de type MDR observant le système en ce qui concerne à la fois l’accès initial et l’impact (plus d’informations à ce sujet dans une minute).
Pour en savoir plus sur les LOLbins, notamment les fonctions des binaires individuels et leur place (en général) dans le framework MITRE ATT&CK, nous vous recommandons de visiter le projet collaboratif LOLBAS sur Github.
RDP (Remote Desktop Protocol)
Concernant le RDP, ce rapport Active Adversary est un peu comme un disque rayé : RDP, RDP, RDP. Comme le montrent les chiffres ci-dessus, le RDP est invaincu en tant que source de problèmes infosec, avec un peu moins de 89% des cas que nous avons observés au cours du premier semestre 2024 (1S24) montrant des indications d’abus de ce dernier.
En regardant de plus près les cas impliquant le RDP, il n’y a pas beaucoup de changement selon que les attaques ont utilisé le RDP en interne ou en externe. Ces statistiques sont restées stables au fil des années, comme le montre la figure 5.
Figure 5 : En 2022 et 2023, il y a eu plusieurs cas dans lesquels des attaquants ont effacé si minutieusement les traces de leur activité RDP que l’équipe de réponse aux incidents n’a pas pu discerner avec certitude quelles actions avaient été lancées avec succès ; la période 1S24 a affiché de meilleurs résultats de ce point de vue-là.
En dehors de la période couverte par ce rapport, la monotonie des statistiques en matière d’abus du RDP n’a été que légèrement perturbée en septembre par l’annonce de Microsoft selon laquelle la société déploierait une “Windows App/Application Windows” multiplateforme (c’est son nom) conçue pour fournir un accès à distance aux machines Windows 10 et 11 à partir de “comptes professionnels ou scolaires”, avec un accès RDP promis pour plus tard. Cependant, malgré les affirmations de l’entreprise concernant une sécurité renforcée, notamment une capacité d’authentification multifacteur, la plupart des observateurs n’ont pas tardé à décrire l’application Windows comme étant avant tout une nouvelle version du client Remote Desktop. Est-ce que notre prochain rapport Active Adversary offrira ou non de bonnes nouvelles concernant une baisse des abus du RDP ? Seul le temps nous le dira.
Les ransomwares
En ce qui concerne maintenant les ransomwares, une promenade dans les données sur les infections par ransomware a conduit à une observation intéressante : en matière d’attribution, le lien entre les démantèlements de ransomware très médiatisés et une présence réduite dans nos classements n’est pas toujours aussi fort qu’on pourrait l’espérer.
D’après notre expérience, certaines années, une variante de ransomware dominante éclipse les autres, et d’autres années répartissent les cas de ransomware de manière relativement égale entre plusieurs variantes. La différence correspond généralement à des perturbations juridiques (“démantèlements”) de groupes de ransomware de premier plan. Cependant, le premier semestre 2024 ne reflète pas cette tendance dans nos données. LockBit était le ransomware dominant en 2023, mais a fait l’objet d’une action menée par les forces de l’ordre fin février 2024. Malgré cette perturbation, LockBit est resté le ransomware dominant observé par l’équipe IR au cours du premier semestre.
Figure 6 : La tendance que nous avons observée dans les attributions de ransomware au cours des dernières années semble s’être effondrée au premier semestre 24 (1S24) avec LockBit… peut-être (deux des dénominations ci-dessus ont été tronquées à cause d’un manque de place ; “REvil….” signifie en réalité “REvil / Sodinokibi”, tandis que “ALPHV…. ” signifie “ALPHV/BlackCat”).
Pour être honnête, une action en justice n’a finalement pas d’impact majeur sur la scène globale des ransomwares : elle perturbe l’acteur malveillant ciblé, mais n’arrête pas définitivement la plupart des entités impliquées. À chaque action en justice majeure, le grand nombre d’autres variantes se disputant une position privilégiée fait que le vide laissé est vite comblé, et ainsi de suite. Notez que Conti ne représentait que 6 % des infections observées en 2020… puis Ryuk (2020) et Revil (2021) ont d’abord été touchés par le démantèlement du gang ou, dans le cas de Ryuk, du système de distribution Trickbot sur lequel il s’appuyait. Ensuite, Conti (probablement descendant de Ryuk) a prospéré pendant un an (2021), mais est tombé à des niveaux d’occurrence à un chiffre seulement à la fin de 2022. Dans le cas de LockBit, le propriétaire de cette variante a tenté un “retour” mi-2024, en reconstruisant son infrastructure et en redémarrant même son blog (une version du générateur de ransomware de LockBit a également été divulguée par un associé mécontent en septembre 2022, ce qui pourrait affecter sa prévalence).
Que risque-t-il de se passer ensuite ? Premièrement, il est possible que la tendance s’aplanisse d’elle-même dans les données du second semestre, comme prévu. Environ un mois après le démantèlement de LockBit, les équipes MDR et IR de Sophos, les participants à notre enquête intitulée L’état des ransomwares 2024 (State of Ransomware 2024) et d’autres observateurs du secteur ont tous signalé une diminution des infections par LockBit. Ces derniers ont encore rebondi pendant un certain temps en mai dernier ; il n’est pas rare de voir ce genre de phénomène après une action menée par les forces de l’ordre, mais ce dernier finit par s’estomper.
Deuxièmement, le nom du prochain ransomware qui sera bientôt omniprésent se trouve probablement quelque part dans la figure ci-dessus, signifiant ainsi que même si les administrateurs système ne souhaitent pas parier sur une variante en particulier, le prochain acteur malveillant majeur est probablement déjà sous le nez des défenseurs. Ceux qui cherchent à parer la prochaine attaque contre leurs systèmes peuvent commencer par suivre l’actualité concernant les noms connus et les nouveaux arrivants. Il est tout à fait raisonnable de célébrer le fait que des créatures comme Mikhaïl Matveev et Ekaterina Zhdanova risquent une peine de prison, mais l’histoire n’est pas terminée pour autant.
Dans l’ensemble, les infections par ransomware ont légèrement diminué au premier semestre. Pour l’équipe IR, 61,54% des cas traités concernaient des ransomwares, contre 70,13% en 2023 (l’écart a été plus que compensé par les violations de réseau, qui ont presque doublé leur incidence dans les cas IR : 34,62% au 1S24, contre 18,83% en 2023. Un examen attentif de toutes les données dont nous disposons nous amène à soupçonner que la baisse, bien que réelle, ne sera pas aussi prononcée lorsque les chiffres de l’année complète seront analysés).
Pendant ce temps, le MDR a traité principalement des violations de réseau au cours du 1S24, avec seulement 25,36% de leurs cas attribués à des ransomwares. Il convient de noter que le MDR, en raison de la nature du service, a tendance à rencontrer et à contenir les ransomwares bien plus tôt dans son cycle d’infection que l’équipe IR, généralement avant le chiffrement ou le déploiement. Ainsi, ils n’atteignent jamais le stade exigeant une réponse du type de celle couverte par le rapport Active Adversary (malheureusement, “attaque détectée (attack detected)” pour l’équipe IR signifie souvent “le client a réalisé qu’il avait été attaqué lorsqu’il a reçu une demande de rançon et que tous ses ordinateurs ont été bloqués”). Pour l’équipe MDR, la prévalence de LockBit s’était déjà stabilisée à la fin du mois de juin, avec 17,14% de leurs attributions de ransomware liées à cette variante, avec Akira et BlackSuit qui se rapprochaient de lui avec 11,43% chacun (enfin pour boucler la boucle, Akira et BlackSuit sont tous deux des descendants de… Conti. Même chanson, couplet suivant).
Accès initial et impact
Les troisième et quatorzième étapes de la matrice MITRE ATT&CK suscitent invariablement l’intérêt des lecteurs ; nous avons même écrit dans un rapport précédent sur les différences que nous avons observées entre deux cas très similaires traités par nos processus IR et MDR. Pour ce rapport, nous concentrerons notre analyse liée à MITRE sur les catégories elles-mêmes, à savoir Accès initial et Impact (Initial Access et Impact).
L’accès initial/Initial Access au premier semestre 2024 ressemblait beaucoup aux années précédentes. Comme on pouvait s’y attendre d’après les statistiques RDP, les techniques d’attaque des services externes à distance dominent la catégorie, représentant 63,16% des cas, contre 64,94% en 2023. Les comptes valides/Valid Accounts (59,47%, contre 61,04%) et l’exploitation d’applications destinées au public/Exploit [of] Public-facing Application (30%, contre 16,88%) complètent le trio de tête (étant donné que les cas peuvent présenter de nombreuses combinaisons de techniques d’accès initial, la somme des pourcentages n’affichera jamais 100).
La situation est plus intéressante avec Impact, dernière catégorie de la matrice MITRE. Après avoir dominé pendant des années la catégorie Impact impliquée dans au moins deux tiers de tous les cas, Data Encrypted for Impact (une étape typique des attaques de ransomware) chute à la deuxième place avec 31,58%, juste au-dessus du nouveau venu Data Manipulation (30%) et derrière No Impact (38,95%).
Nous avons écrit dans le passé sur le terme “No Impact” qui a une signification un peu différente quand il s’agit de ATT&CK. La dernière édition d’ATT&CK répertorie quatorze techniques qu’elle reconnaît comme faisant partie de la catégorie “Impact“. Ces techniques évoluent pour suivre le rythme des réalités actuelles en matière de paiement des ransomwares et de perte de productivité, et nous avons affiné notre analyse des données de cas précédents pour refléter ces améliorations (réduisant ainsi rétroactivement le nombre de cas pour lesquels le résultat en termes d’impact est ‘No’). Mais il serait peut-être trop demander que la catégorie ATT&CK englobe des éléments intangibles tels que la perte de réputation ou le burnout des employés. Les experts en réponse aux incidents sont bien conscients que personne ne veut avoir besoin de leurs services. Ainsi, même si “No” Impact semble rafraîchissant et agréable, et même si de nombreux cas traités par le MDR ont effectivement été déclenchés à temps pour empêcher les attaquants potentiels d’atteindre leurs objectifs, “No Impact” ne signifie pas qu’il n’y a eu aucun impact : cela signifie que les événements ayant eu lieu dépassent le vocabulaire d’ATT&CK.
Où en sommes-nous maintenant ? Vérification des résultats des précédents rapports AAR
Dans le but de garder cette édition du rapport relativement courte, nous aborderons brièvement quelques sujets antérieurs intéressants, avant la publication de notre rapport pour l’ensemble de l’année 2024.
Temps de séjour : les chiffres des temps de séjour ont diminué, comme nous l’avons montré dans notre premier rapport 2023. Les chiffres du 1S24 indiquent que cette baisse s’est stabilisée, voire légèrement inversée pour les cas traités par notre équipe de réponse aux incidents. Pour les ransomwares, les temps de séjour médians oscillent autour de 5,5 jours ; en tenant compte de tous les autres types d’incident, la médiane se situe à 8 jours. Bien que l’équipe en charge de ce rapport ne dispose pas encore de cas MDR des années précédentes à des fins d’analyse, un examen de leurs données sur 1 semestre montre la différence que fait la surveillance : une durée médiane de 3 jours pour les ransomwares et d’un jour pour tous les types d’incident. Étant donné que les cas MDR nécessitant une réponse à un incident ne représentent qu’une très petite partie de toute l’activité que le MDR voit au quotidien, l’impact d’une surveillance vigilante et continue est laissé comme exercice au lecteur.
Time-to-AD: dans notre deuxième rapport de 2023, nous avons examiné le temps nécessaire aux attaquants pour prendre le contrôle de l’Active Directory de la cible (un point à partir duquel on peut raisonnablement dire que la cible est compromise) et l’intervalle entre le moment où l’attaquant prend le contrôle de l’AD et celui où l’attaque est détectée. Il s’agit d’une autre statistique pour laquelle les données du MDR diffèrent radicalement de celles compilées par l’équipe IR. Les nombres IR ont fluctué au cours du 1S24 par rapport à ceux des années précédentes, les attaquants mettant environ deux heures de plus pour atteindre Active Directory (15,35 heures en 2023, 17,21 heures pour le 1S24). Une diminution apparente du temps de séjour entre l’acquisition d’AD et la détection de l’attaque (29,12 heures pour le 1S24, contre 48,43 heures en 2023) est intéressante et pourrait mériter un examen minutieux dans le prochain rapport, si une plus grande accumulation de données révèle qu’il s’agit d’une réelle évolution.
Nous noterons que les trois versions d’Active Directory que nous avons le plus souvent vues compromises étaient Server 2019 (43%), Server 2016 (26%) et Server 2012 (18%), représentant ensemble 87% des serveurs AD compromis. Ces trois versions ne sont désormais plus prises en charge par Microsoft, même si les informations du Patch Tuesday indiquent toujours quelles mises à jour s’appliqueraient à chaque version. Si vos systèmes fonctionnent avec d’anciennes versions Server, considérez ces chiffres comme un signal d’alarme pour effectuer une mise à jour (pour ceux qui suivent nos articles sur le Patch Tuesday, nous avons commencé ce mois-ci à relayer plus d’informations sur les versions précises du serveur affectées par les correctifs de chaque mois).
Identifiants compromis (compromised credentials) : nous avons également souligné l’augmentation des identifiants compromis comme cause première des attaques dans notre deuxième rapport 2023. En 2023, 56% de tous les incidents avaient pour cause première des identifiants compromis. Au premier semestre 2024, cette domination s’est quelque peu atténuée. Même si les identifiants compromis restaient la cause première globale pour 2024, ce nombre était principalement dû aux cas IR, comme le montre la figure 7. Pour les clients MDR, les vulnérabilités exploitées sont en tête du classement des causes premières, bien que l’écart soit inférieur à 1%.
Figure 7 : Les causes premières des incidents traités par IR et MDR variaient, les cas étant répartis de manière plus égale au sein du MDR et les identifiants compromis ressortant “gagnants” au niveau IR.
Quelques mots sur les artefacts avant de partir
Comme mentionné ci-dessus, nos données ont trouvé non seulement des LOLbins, mais aussi des artefacts tiers en augmentation dans les cas que nous avons observés au premier semestre 2024. L’augmentation de l’utilisation des artefacts n’est pas aussi frappante que celle des LOLbins, mais quelques aspects méritent une discussion plus approfondie.
Premièrement, les chiffres sont en légère hausse. Nous avons constaté 230 artefacts uniques sur les systèmes ciblés au cours du premier semestre 2024, contre 205 pour l’ensemble de 2023, soit une augmentation de 12% (à titre de comparaison, 2022 comptait 204 artefacts ; 2021 en comptait 207).
Deuxièmement, les noms des artefacts les plus fréquemment trouvés ne varient pas beaucoup d’une année à l’autre, comme le montre la figure 8. Nous avons noté que l’utilisation de Cobalt Strike poursuit le recul qu’elle a amorcé en 2023, présent dans seulement 13,68% des infections au premier semestre (au cours des années précédentes, Cobalt Strike était présent à un moment donné dans près de la moitié des cas, et il figure toujours en haut du classement des détections d’artefacts au niveau global. De meilleures détections des défenseurs pour Cobalt Strike conduisent probablement à cette baisse). 127 artefacts n’apparaissent qu’une seule fois dans les données du 1S24, soit moins que les 102 détections à usage unique de 2023.
Figure 8 : La tendance qui dure depuis des années et qui tend vers une utilisation plus diversifiée des artefacts se poursuit, aucun artefact ne se produisant dans plus de 30% des cas au cours du premier semestre 2024.
Un défenseur apprenant que plus de la moitié de tous les artefacts sont des outils à usage unique risque peut-être de désespérer d’attraper tout ce qu’un attaquant pourrait utiliser pour lancer ses attaques. Nous encourageons ce défenseur à regarder le tableau ci-dessus et à se rappeler que le casting peut changer, mais que les artefacts restent une réalité et représentent un véritable risque. Le tableau ci-dessus montre tous les artefacts apparus dans plus de 10,00% des cas sur une période de quatre ans. Garder un œil de manière continue sur tous ces packages est à la fois faisable et utile. Envisagez de développer et d’appliquer une politique de blocage par défaut pour les applications sur vos systèmes ; cela nécessite une bonne quantité de travail au départ, mais évite des problèmes à mesure que les attaquants élargissent leur gamme d’utilisation des outils.
Conclusion
Cela a été un cadeau extraordinaire pour l’équipe en charge de l’analyse et de la rédaction du rapport AAR de voir comment les statistiques ont changé à mesure que nous incorporions le grand volume de données du groupe MDR de Sophos X-Ops avec la base de données de nos collègues IR rassemblant plusieurs années d’activités. Le processus d’interrogation des données a débouché sur des changements de paysage remarquables : qui aurait cru que les LOLbins pouvaient être passionnants ? Sans oublier des modèles tels que les abus du RDP qui restent résistants aux meilleures pratiques telles qu’une surveillance continue et vigilante.
Mais surtout, nous restons perplexes devant le nombre de cas qui reposaient sur des fondamentaux : pas seulement les trois principes immortels de Sophos…
Fermez les ports RDP exposés, Utilisez le MFA, et Corrigez les serveurs vulnérables.
…mais aussi une simple connaissance de certains schémas qui aurait pu empêcher les clients de faire partie d’un ensemble de données comme celui-ci. Nous espérons qu’un aperçu précis et détaillé du récent paysage de ce rapport Active Adversary aidera les professionnels IT à se concentrer davantage sur les principes fondamentaux qui peuvent nous assurer tous plus de sécurité.
Remerciements
Les auteurs souhaitent remercier Chester Wisniewski, Anthony Bradshaw et Matt Wixey pour leurs contributions au processus AAR.
Annexe : Démographie et méthodologie
Lors de la rédaction de ce rapport, nous avons choisi de nous concentrer sur 190 cas qui pouvaient être analysés de manière significative pour obtenir des informations utiles sur l’état du paysage des adversaires à la fin du mois de juin 2024. La protection de la relation confidentielle entre Sophos et ses clients est bien sûr une priorité absolue, et les données que vous voyez ici ont été vérifiées à plusieurs étapes au cours de ce processus pour s’assurer qu’aucun client n’était identifiable via ces données, et qu’aucune donnée client ne faussait la synthèse de manière inappropriée. En cas de doute sur un cas spécifique, nous avons exclu les données de ce client du dataset.
Il convient de mentionner un cas pluriannuel impliquant notre équipe MDR. Ce cas, qui impliquait des activités de type État-nation dans plusieurs endroits, a été couvert ailleurs sous le nom de “Crimson Palace“. Bien que fascinant et véritable indicateur des tactiques d’attaque spécifiques que nous avons vues ailleurs depuis, il s’agit en réalité d’une telle valeur aberrante par rapport à la grande majorité de l’ensemble de données Active Adversary que nous avons choisi de laisser ses chiffres en dehors de ce rapport.
Figure A1: Ici, là et partout : c’est Sophos X-Ops MDR et IR dans le monde entier (Map generation courtesy mapchart.net).
Les 48 pays et autres lieux suivants sont représentés dans les données 1S24 analysées pour ce rapport :
Angola | Honduras | Pologne |
Argentine | Hong Kong | Qatar |
Australie | Inde | Roumanie |
Autriche | Israël | Arabie Saoudite |
Bahamas | Italie | Singapour |
Bahreïn | Japon | Slovénie |
Belgique | Kenya | Somalie |
Botswana | Koweït | Afrique du Sud |
Brésil | Malaisie | Espagne |
Canada | Mexique | Suède |
Chili | Pays-Bas | Suisse |
Colombie | Nouvelle-Zélande | Taïwan |
Égypte | Nigeria | Thaïlande |
Finlande | Panama | Émirats arabes unis |
France | Papouasie Nouvelle-Guinée | Royaume-Uni |
Allemagne | Philippines | États Unis d’Amérique |
Secteurs d’activité
Les 29 secteurs suivants sont représentés dans les données 1S24 analysées pour ce rapport :
Publicité | Finance | MSP/hébergement |
Agriculture | Alimentation | ONG |
Architecture | Administrations publiques | Pharmacie |
Communication | Santé | Immobilier |
Construction | Hôtellerie | Retail |
Éducation | Technologie de l’information | Services |
Électronique | Juridique | Transport |
Énergie | Logistique | Service public |
Ingénierie | Secteur manufacturier | Grossiste |
Divertissement | Exploitation minière |
Méthodologie
Les données de ce rapport ont été recueillies au cours d’enquêtes individuelles menées par les équipes X-Ops Incident Response et MDR de Sophos. Pour ce deuxième rapport de 2024, nous avons recueilli des informations sur toutes les investigations entreprises par les équipes durant le premier semestre de l’année et les avons normalisées via 63 domaines, en examinant chaque cas pour nous assurer que les données disponibles étaient appropriées au niveau du détail et de la portée des éléments regroupés tels que définis par l’objectif principal du rapport proposé. Nous avons en outre travaillé pour normaliser les données entre nos processus de reporting MDR et IR.
Lorsque les données n’étaient pas claires ou n’étaient pas disponibles, l’auteur a travaillé avec des cas IR et MDR individuels pour éclaircir les questions ou dissiper la confusion. Les incidents qui n’ont pas pu être suffisamment clarifiés pour les besoins du rapport, ou à propos desquels nous avons conclu que l’intégration risquait d’exposer ou d’endommager la relation Sophos-Client, ont été écartés. Nous avons ensuite examiné la chronologie de chaque cas restant pour obtenir plus de clarté sur des questions telles que l’entrée initiale, le temps de séjour, l’exfiltration, etc. Nous avons retenu 190 cas, qui ont servi de base pour ce rapport.
Billet inspiré de The Bite from Inside: The Sophos Active Adversary Report, sur le Blog Sophos.