jamesteohart - stock.adobe.com
Cyberattaques : d’où vient la menace ?
Loin de l’imagerie habituelle, les cybercriminels ne se contentent pas de hameçonnage et de pièces jointes malveillantes pour conduire leurs cyberattaques. L’éventail de vecteurs d’attaque est plus large.
Un assaillant « a réalisé une attaque en force brute pour obtenir l’accès à un compte local de passerelle VPN ». De là, « en moins de deux heures », il est parvenu à élever ses privilèges et « compromettre le domaine Active Directory via des comptes de services ».
C’est l’un des exemples mentionnés dans le rapport 2024 du CERT Wavestone. Ce dernier est basé sur les réponses à incidents sur lesquelles sont intervenues ses équipes entre août 2023 et septembre 2024. Cet exemple rappelle, si c’était nécessaire, que les vecteurs d’attaque sont loin de se limiter au phishing ou aux courriels infectés de pièces jointes malveillantes.
La part des attaques utilisant la force brute pour prendre le contrôle de comptes utilisateurs s’est maintenue à un niveau stable entre 2021 et 2023, selon Palo Alto Networks. Celle des attaques exploitant des vulnérabilités affectant des systèmes exposés directement sur Internet a en revanche considérablement progressé.
Le CERT Wavestone en a un exemple : « une filiale d’un groupe de banque et assurance a été attaquée via une vulnérabilité critique dans un composant exposé sur Internet qui n’était pas tenu à jour ». Une demi-surprise tant l’année 2023 a été marquée par un grand nombre de vulnérabilités critiques largement exploitées.
Mais ce n’est pas tout. Palo Alto Networks a également constaté une forte progression de la part des attaques rendues possibles par des identifiants compromis. Une observation cohérente avec celle d’autres acteurs de la cybersécurité.
Ainsi, selon Mandiant, pour près de 40 % des cyberattaques sur lesquelles ses équipes sont intervenues en 2023, et pour lesquelles le vecteur d’accès initial a été identifié, des identifiants légitimes avaient été compromis, notamment par infostealers.
Ces identifiants peuvent ouvrir la voie sur des serveurs VPN, des passerelles de déport d’affichage (RDWeb, Citrix Gateway, instances Guacamole, etc.) ou encore des services RDP. Selon Sophos, ces derniers ont été compromis dans 90 % des cas de réponse à incident sur lesquels se sont penchées ses équipes en 2023.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Recall : pourquoi cette future fonction des PC Copilot+ inquiète autant
-
Have I Been Pwned s’enrichit d’un trésor de guerre d’infostealers
-
Ransomware : des identifiants compromis aux avant-postes de près de 40 % des attaques
-
Cybersécurité : le temps de présence des attaquants diminue, le nombre de ransomwares augmente