L'utilisation de l'IA par les cybercriminels continue de progresser

Au premier semestre 2024, l'un des principaux objectifs des cybercriminels reste de développer des menaces et des campagnes rapides, discrètes et en même temps sophistiquées. Au cours du premier semestre, le spécialiste japonais de la cybersécurité a observé comment les cybercriminels ciblaient des actifs mal configurés et non protégés pour s'infiltrer discrètement dans les systèmes et voler des données sensibles. Dans l'ensemble, l'accès à des applications en nuage vulnérables domine la liste des événements à risque au premier semestre 2024. Dans de nombreux cas, l'absence de protection des terminaux sur des appareils non gérés a également exposé les entreprises à des risques inutiles.

Malgré les succès des forces de l'ordre, la situation de la menace reste complexe

La famille de ransomwares ayant détecté le plus de fichiers au premier semestre 2024 était LockBit, avec une baisse massive des détections suite à l'opération de police "Opération Cronos". Les institutions financières ont été les plus touchées par les attaques de ransomware, suivies de près par les entreprises du secteur technologique.

Malgré le succès des mesures répressives prises au cours du premier semestre 2024, la situation de la menace reste complexe :

• LockBit : Malgré une disruption et des sanctions considérables, LockBit tente de maintenir sa position. Trend Micro a analysé une nouvelle version, LockBit-NG-Dev, écrite en .NET et qui pourrait être indépendante de la plate-forme.

• Réseaux de logiciels malveillants de type "dropper"Même après le démantèlement de réseaux de zombies comme IcedID et Trickbot, les groupes de ransomware continuent à trouver des failles, à abuser des outils de surveillance et de gestion à distance (RMM), à lancer des attaques de type Bring-Your-Own-Vulnerable-Driver (BYOVD) et à utiliser des scripts shell personnalisés.

• Nouveaux outils et tactiques : Tant les acteurs soutenus par l'État que les cybercriminels ont utilisé des routeurs compromis comme couche d'anonymisation. Alors que des groupes comme Sandworm utilisent leurs propres botnets de proxy, d'autres comme APT29 ont recours à des réseaux de proxy commerciaux. Dans une campagne étudiée, le groupe APT Earth Lusca a utilisé les relations tendues entre la Chine et Taiwan comme appât d'ingénierie sociale pour infecter des victimes ciblées.

Les acteurs continuent de repousser les limites de l'IA

Trend Micro a observé que les acteurs de la menace cachent des programmes malveillants dans des logiciels d'IA légitimes, exploitent des LLM (Large Language Models) criminels et vendent même des offres de jailbreak as a service. Ces dernières permettent aux cybercriminels de tromper les robots d'IA générative pour qu'ils répondent à des questions qui vont à l'encontre de leurs propres directives - en particulier pour développer des logiciels malveillants et des leurres d'ingénierie sociale. Les acteurs ont également affiné les offres de deepfake afin de réaliser des détournements virtuels, de commettre des fraudes ciblées sous forme de BEC (Business-Email-Compromise) et de contourner les contrôles KYC (Know-Your-Customer). Pour ce dernier, des logiciels malveillants ont également été développés pour intercepter les données biométriques.

"La cybersécurité a évolué ces dernières années pour faire face à des attaques de plus en plus complexes et ciblées", explique Udo Schneider, Governance, Risk & Compliance Lead Europe chez Trend Micro. "Dans les années à venir, il deviendra indispensable pour le secteur de la sécurité d'être proactif. Les directions et les équipes de sécurité doivent faire face aux menaces et aux risques en constante évolution en adoptant une approche axée sur la résilience et basée sur les données, ainsi qu'une stratégie globale de gestion des (cyber) risques".

Source : www.trendmicro.com