Les hackers prennent leur temps

Le temps passé par les cybercriminels dans le réseau d’une organisation avant que leur activité ne soit remarquée (on appelle ça le « dwell time ») augmente considérablement. C’est ce qu’a récemment rapporté l’entreprise de cybersécurité Sophos (Oxford, UK), une des acteurs majeurs en matière de logiciel antivirus. On parle d’une augmentation de 36% en 2021 par rapport à 2020. Sophos signale non seulement une augmentation considérable du « dwell time » -d’environ 11 jours en 2020 à 15 en 2021-, mais elle constate aussi que les hackers apprécient désormais également les petites entreprises. Pour les entreprises de 3000 collaborateurs et plus, les agresseurs prenaient une vingtaine de jours. Dans le cas des entreprises de moins de 250 employés, ils passaient pas moins de 51 jours, de manière indésirable, sur les réseaux.
John Shier, conseiller en protection senior chez Sophos : «Les hackers considèrent que les grandes entreprises ont plus de valeur, et ils sont donc plus motivés à pénétrer dans leur système pour y chercher ce dont ils ont besoin, et y revenir ensuite. Les petites entreprises ont moins de ‘valeur’ ; les hackers peuvent donc se permettre de fouiner plus longtemps dans l’ombre sur leur réseau. Il est également possible que ces hackers aient moins d’expérience et aient donc besoin de plus de temps pour chercher ce dont ils ont besoin une fois qu’ils sont introduits. Enfin, les petites entreprises ont habituellement une vision moins claire de la chaîne d’attaque et détectent/neutralisent donc moins rapidement les cybercriminels, ce qui leur permet de rester plus longtemps inaperçus.

Professionnel et industriel
John Shier : « Le monde de la cybercriminalité est devenu incroyablement varié et spécialisé. Avec les « Initial Access Brokers (IAB) », une industrie de la cybercriminalité s’est développée qui perce les défenses des cibles, mène des reconnaissances ou installe une porte dérobée, pour ensuite acheter un accès clé en main à des cybercriminels opérant avec des rançongiciels (« ransomware ») pour leurs propres attaques. Dans ce paysage de la cybercriminalité toujours plus dynamique, basé sur la spécialisation, il devient de plus en plus difficile pour les entreprises de suivre le rythme des approches et outils toujours différents des hackers. Il est vital que les défenseurs comprennent à quoi ils doivent faire attention à chaque phase de la chaîne d’attaque, de façon à ce que les attaques soient détectées et neutralisées le plus rapidement possible. »
Des temps d’attente plus longs et des points d’accès ouverts rendent les entreprises vulnérables face à des agresseurs multiples. On a découvert des situations dans lesquelles plusieurs cybercriminels, dont des ‘Initial Access Brokers’, des gangs ‘ransomware’, des cryptominers et même parfois plusieurs opérateurs ‘ransomware’, s’attaquer en même temps à la même entreprise.
Plus encore
Malgré une diminution de l’utilisation du RDP (Remote Desktop Protocol) pour l’accès externe, les pirates informatiques ont plus utilisé cet outil pour des mouvements latéraux. En 2020, les agresseurs ont utilisé le RDP pour une activité externe dans 32% des cas analysés (ce chiffre a baissé à 13% en 2021). Par contre, en 2021, les hackers ont utilisé le RDP dans 82% des cas pour des mouvements latéraux internes, au lieu de 69% en 2020. Par ailleurs, 73% des incidents relevés avaient trait au rançongiciel. Près de 50% des incidents de type rançongiciel concernait l’exfiltration de données, un transfert de données non autorisé depuis un PC, ou en résumé un vol de données. L’écart moyen entre le vol de données et le déploiement du rançongiciel s’élevait à 4,28 jours.