38 % des attaques de ransomwares « rapides » recensées dans cette étude ont eu lieu dans les 5 jours suivant l’accès initial

La rapidité de ces attaques empêche les cyberdéfenseurs de répondre

PARIS, FR — novembre 28, 2023 —

Sophos, un leader mondial de la cybersécurité innovante «as a Service», publie son étudeActive Adversary Report for Security Practitioners qui révèle l’absence de fichiers de télémétrie dans près de la moitié des cyberattaques étudiées. Dans 82% des cas étudiés, des cybercriminels ont désactivé ou effacé les traces de leurs actions. L’étude couvre des cas de réponse aux incidents analysés par Sophos durant le premier semestre 2023.

Ces lacunes dans la télémétrie réduisent la visibilité indispensable sur le système d’information des entreprises, d’autant que le temps d’exposition des cyberattaquants – le délai qui s’écoule entre leur accès initial et leur détection – ne cesse de décroître, raccourcissant le laps de temps dont disposent les cyberdéfenseurs pour répondre efficacement à un incident.

«Le facteur temps est critique dans la réponse à une menace active: le délai entre la détection de l’accès initial et la neutralisation de la menace doit être le plus court possible. Plus un cyberattaquant peut progresser loin dans sa chaîne d’attaque, plus cela pose de problèmes potentiels aux cyber défenseurs. L’absence de données télémétriques ne fait que compliquer la remédiation, ceque la plupart des entreprises ne peuvent se permettre. C’est pourquoi une journalisation complète et précise est essentielle mais nous constatons bien trop fréquemment que les entreprises nedisposent pas des traces indispensablesà une enquête approfondie », explique John Shier, Field CTO chez Sophos.

Dans son étude, Sophos classifie les attaques dont le temps d’exécution est inférieur ou égal à cinq jours comme «rapides», ce qui représente 38% des cas étudiés. Les attaques dites «lentes» présentent un temps d’exécution supérieur à cinq jours, ce qui représente 62% des cas étudiés.

Une comparaison granulaire entre ces attaques de ransomwares «rapides» et «lentes» ne fait pas apparaître une grande différence dans les outils, techniques et procédures. Ls exécutables de type LOLBins (Living Off The Land Binaries) utilisés par les attaquants n’ont pas à revoir leur stratégie face au raccourcissement du temps d’exposition. Ceux-ci doivent néanmoins être conscients que la rapidité des attaques et l’absence de télémétrie risque de brider leur temps de réponse et d’amplifier les dommages.

Les techniques, tactiques et procédures utilisées, ainsi que les programmes de type LOLbins (Living off the land binaries) sont similaires dans les deux types d’attaques, lentes ou rapides. Les attaquants utilisent les mêmes stratégies. Mais il faut être conscient que la rapidité d’exécution de l’attaque et l’absence de trace permet d’amplifier les dommages occasionnés.

«Les cybercriminels utilisent des techniques éprouvées, et n’innovent que lorsqu’ils y sont contraints. Les attaquants n’ont pas de raison de modifier leurs techniques, tactiques et procédures si elles fonctionnent efficacement.

Aussi, les entreprises, n’ont donc pas à revoir radicalement leur stratégie de défense pour faire à l’accélération des attaques. Les défenses qui détectent les attaques rapides s’appliquent aussi à tout type d’attaque., Ainsi il s’avère indispensable d’avoir une télémétrie la plus complète possible et une surveillance généralisée du système d’information.», ajoute John Shier. «La clé consiste à freiner l’attaque autant que possible: compliquer la tâche des attaquants, permet de gagner un temps précieux permettant d’y répondre le plus rapidement possible.

«Par exemple, dans le cas d’une attaque de ransomware la mise en œuvre de protections contribue à ralentir ou empêcher l’exfiltration de données. Cette tâche se produit généralement avant la détection et représente généralement la partie laplus structurante d’une attaque. C’est ce que nous avons observé dans deux incidents liés auransomware Cuba. Une entreprise avait souscrit à notre offre Sophos MDR, ce qui a permis de détecter l’activité malveillante et debloquer l’attaque en quelques heures afin d’éviter l’exfiltration de données. En revanche, une autre organisation ne disposant pas de ce service a mis plusieurs semaines à détecter l’attaque après l’accès initial, alors que les cyberattaquants étaient déjà parvenu à exfiltrer 75 giga-octets de données. Et cette organisation a fait appel à nos services de réponse à incident alors qu’elle tentait de répondre elle-même à cette attaque depuis approximativement un mois. Ce n’est qu’à ce moment-là que cette seconde entreprise a fait appel à notre équipe de réponse aux incidents. Un mois après, elle tentait toujours de retrouver une activité normale.»

L’étude Sophos Active Adversary Report for Security Practitioners s’appuie sur 232 cas de réponse aux incidents traités par Sophos dans 25 secteurs d’activité du 1er janvier 2022 au 30 juin 2023. Les entreprises ciblées se répartissent dans 34 pays sur six continents. 83% des cas concernent des structures de moins de 1000 salariés.

L’étude Sophos Active Adversary Report for Security Practitioners fournit des informations exploitables permettant aux professionnels de la sécurité d’optimiser leur stratégie de défense.

Pour en savoir plus sur les comportements, outils et techniques des cyberattaquants, retrouvez l’étudeActive Adversary Report for Security Practitioners sur Sophos.com.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents (IR), ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.