Rapport Cisco Talos : de plus en plus d'attaques contre les applications Web
Selon la nouvelle analyse Talos de Cisco sur les vecteurs de menaces mondiaux, les attaques contre les applications web ont fortement augmenté au troisième trimestre 2023. Les secteurs les plus touchés par les attaques ont été les télécommunications et l'éducation. L'absence d'authentification multi-facteurs reste l'une des plus grandes vulnérabilités.
Cisco Talos a présenté son analyse trimestrielle des menaces pour le troisième trimestre 2023. Au cours de cette période, les attaques contre les applications web ont représenté 30 % de tous les incidents. Par rapport aux 8 % du trimestre précédent, il s'agit d'une augmentation remarquable. Ces activités concernaient des attaques par injection, y compris l'injection SQL, et l'utilisation de shells web.
Les ransomwares restent une menace permanente et ont représenté 10 % des incidents. Au cours du troisième trimestre, qui couvrait les mois de juillet, août et septembre, les familles de ransomwares LockBit et BlackByte ont été actives comme au cours des trimestres précédents. Mais pour la première fois, l'équipe de Talos a observé une nouvelle variante du ransomware BlackByte, qui est apparue sous le nom de BlackByte NT.
L'analyse montre que les applications mal configurées et l'absence d'authentification multifactorielle (MFA) sont les deux principales vulnérabilités en matière de sécurité. "Toutes les organisations devraient mettre en œuvre une forme quelconque de MFA, car il s'agit d'un mécanisme de protection efficace pour empêcher l'accès non autorisé aux systèmes et aux données", explique Roman Stefanov, responsable des ventes de cybersécurité chez Cisco Suisse. Il souligne toutefois qu'il faut tout de même faire attention. "Les pirates essaient de tromper les utilisateurs avec des attaques dites d'épuisement, c'est-à-dire de nombreux messages push en même temps. Il est crucial de rester vigilant".
Les télécommunications et l'éducation en ligne de mire
Selon Talos, les secteurs des télécommunications et de l'éducation ont été les plus ciblés. Chacun de ces secteurs a représenté 20 % des incidents. Des acteurs isolés et des groupes aux motivations et au savoir-faire différents ont été actifs.
Les entreprises de télécommunications sont des cibles attrayantes en raison du contrôle qu'elles exercent sur plusieurs installations d'infrastructures critiques. Elles servent de point d'entrée aux attaquants pour accéder à d'autres entreprises, abonnés ou fournisseurs tiers. Ces organisations possèdent souvent de grandes quantités de données clients, qui sont souvent ciblées par des cybercriminels motivés par des raisons financières, comme les groupes de ransomware.
Les établissements d'enseignement sont intéressants pour les cybercriminels, car ils disposent de grandes quantités de données personnelles identifiables sur les étudiants, ainsi que des instituts de recherche avec une propriété intellectuelle précieuse. De nombreuses organisations éducatives ont un budget limité pour la cybersécurité, ce qui peut limiter leurs capacités de défense.
Le groupe APT (Advanced Persistent Threats) "ShroudedSnooper", inconnu jusqu'à présent, a également été découvert au troisième trimestre 2023. Il vise les entreprises de télécommunications et suit ainsi une tendance aux attaques sophistiquées dans ce secteur. Dans le cadre de cette activité, ShroudedSnooper a utilisé deux nouveaux implants de portes dérobées appelés "HTTPSnoop" et "PipeSnoop". Ces portes dérobées interagissent avec les pilotes et les périphériques Windows HTTP de base afin de surveiller les requêtes entrantes pour des URL HTTP(S) spécifiques et d'exécuter le contenu qu'elles contiennent sur le point final infecté.
Source : www.cisco.com