CrowdStrike Global Threat Report : forte hausse des intrusions dans l’informatique cloud

Les intrusions dans les environnements cloud ont augmenté de 75 % en 2023, selon l’édition 2024 du rapport Global Threat Report de CrowdStrike.

Publié mercredi, le Global Threat Report de CrowdStrike est le rapport annuel de l’entreprise de sécurité consacré aux tendances émergentes et persistantes dans le paysage de la menace cyber. Comme d’habitude, le rapport consacre beaucoup de temps à la cybercriminalité financière (ou eCrime, selon CrowdStrike), mais cette année, il accorde également une place importante aux crises géopolitiques en cours, telles que le conflit entre Israël et le Hamas.

Les attaques impliquant le cloud ont connu un essor considérable d’une année sur l’autre. Les intrusions dans les environnements cloud ont augmenté de 75 % l’année dernière par rapport à 2022. Les cas d’intrusion délibérée ont augmenté de 110 %. En outre, 84 % des intrusions dans le cloud attribuées à des acteurs malveillants étaient motivées financièrement.

CrowdStrike a attribué une part importante de cette activité (29 %) à Scattered Spider, un acteur prolifique du ransomware, à qui l’on doit un certain nombre d’attaques très médiatisées telles que celles contre Okta, ainsi que contre les géants du jeu Caesars Entertainment et MGM Resorts.

« Tout au long de l’année 2023, Scattered Spider a fait preuve d’un savoir-faire progressif et sophistiqué dans des environnements cloud ciblés afin de maintenir la persistance, d’obtenir des informations d’identification, de se déplacer latéralement et d’exfiltrer des données », peut-on lire dans le rapport.

CrowdStrike évoque les attaques en extorsion de données, qui impliquent le vol de données, mais n’utilisent pas de ransomware pour les chiffrer. Selon l’entreprise, cette méthode continue d’être une voie de monétisation attrayante – et plus facile – pour les acteurs malveillants, « comme en témoigne l’augmentation de 76 % du nombre de victimes revendiquées sur les sites vitrine des BGH [Big Game Hunting, ou chasse au gros gibier] entre 2022 et 2023 ».

Parmi les autres données notables du rapport, on peut citer :

• Une augmentation de 73 % des attaques directes (ou intrusions interactives) au second semestre 2023 par rapport au second semestre 2022 ;
• Le temps moyen d’intrusion (le temps qui s’écoule entre une intrusion initiale et un déplacement latéral) passe de 79 minutes en 2022 à 62 minutes en 2023 ;
• Et les activités sans logiciels malveillants, telles que les attaques basées sur l’identité, représentent 75 % des détections en 2023, en augmentation par rapport aux 71 % de l’année précédente.

Sur le plan géopolitique, l’entreprise de sécurité a consacré une partie de son rapport au conflit entre Israël et le Hamas qui a débuté le 7 octobre de l’année dernière. À l’instar des recherches de Google publiées la semaine dernière, CrowdStrike a observé que des acteurs iraniens ciblaient des entités israéliennes. Du côté du Hamas, l’entreprise a déclaré que bien que CrowdStrike « suive de multiples adversaires associés au groupe militant du Hamas », aucune activité attribuée à ces adversaires n’a été observée en rapport avec le conflit en cours.

« Cela est probablement dû à l’indisponibilité des ressources ou à la dégradation de l’accès à Internet et des infrastructures de distribution d’électricité dans la zone de conflit », peut-on lire dans le rapport.

La rédaction de TechTarget a interrogé Adam Meyers, vice-président senior de CrowdStrike, chargé des opérations de lutte contre les adversaires, sur les cyberactivités d’Israël lors d’une conférence de presse collective la semaine dernière. « Israël a coupé l’électricité et l’Internet à Gaza. Il n’est donc pas possible de mener une cyberattaque si les lumières sont éteintes », a-t-il déclaré.

En ce qui concerne l’avenir, les prédictions de CrowdStrike concernent un certain nombre d’élections dans le monde en 2024. L’entreprise a observé que 55 pays représentant plus de 42 % de la population mondiale participeront à des élections présidentielles, parlementaires ou générales cette année, dont l’Inde, les États-Unis, la Russie, le Mexique et d’autres. D’autres élections très médiatisées auront lieu dans des pays « impliqués dans des conflits géopolitiques majeurs ou proches de ceux-ci », notamment l’Iran, Taïwan, la Biélorussie et les pays susmentionnés que sont la Russie et l’Inde.

L’éditeur a indiqué que les opérations de désinformation et le simple hacktivisme – historiquement communs avec les activités électorales – se poursuivront probablement cette année.

« Les activités malveillantes les plus courantes ciblant les élections ont historiquement impliqué des opérations d’information, probablement menées par des entités d’États contre les citoyens des pays qui présentent un intérêt géopolitique spécifique pour l’acteur malveillant et l’hacktivisme simple et de courte durée (y compris les attaques DDoS et les défigurations de sites Web) contre les entités gouvernementales étatiques et locales », a déclaré CrowdStrike. « Il est très probable que cette tendance se poursuive en 2024 ».