Durant son événement annuel “Cyber Security Weekend » qui s’est déroulé mi-novembre en Jordanie, Kaspersky a partagé des informations concernant l’évolution du paysage de la menace cyber à travers les régions de META – Moyen Orient, Turquie et Afrique. Les experts de Kaspersky ont abordé différents sujets, et menaces ciblant particulièrement les entreprises et les organisations industrielles et ont partagé leurs prédictions concernant les menaces de l’année à venir. Un focus particulier a été fait sur la sécurité des technologies émergentes telles que la robotique, l’IoT et les menaces spécifiques liées aux industries critiques. Ces technologies devraient être adressées à travers une approche de sécurité by design, comme celle de la Cyber Immunité de Kaspersky.
« Le monde hyper connecté d’aujourd’hui nous demande de reconsidérer la manière dont nous faisons de la cybersécurité. Nous avons besoin de passer à une approche plus fiable – une qui ne laisse aucune place à l’erreur. C’est pourquoi nous travaillons au développement de produits cyber-immunes avec une protection innée contre les cybermenaces. La plupart des attaques sur des systèmes cyber-immunes sont inefficaces. Un monde numérique plus sûr, plus résilient où la Cyber Immunité est la nouvelle norme est possible » explique Eugène Kaspersky, CEO de Kaspersky.
Des statistiques pour la région.
Selon les statistiques de Kaspersky Security Network, à peu près un tiers des utilisateurs de la région META a été affecté par une menace en ligne, ou hors ligne[1] entre Janvier et Septembre 2022. La Tunisie et le Qatar comptent le plus grand nombre d’utilisateurs affectés par des menaces en ligne (respectivement 40,3% et 39,8%). Ils sont suivis par la Turquie (38,5%), le Kenya (38%). L’Egypte et la Jordanie comptent respectivement 28,1 et 28% d’utilisateurs affectés par une menace et sont ainsi les pays les moins touchés de la région. Le plus grand nombre d’utilisateurs affectés par des menaces hors ligne a été rapporté au Nigeria (46,8%), en Tunisie (45,3%), au Maroc (44,88%) et au Kenya (43,4%).
Croissance des intrusions APT dans la région META, particulièrement en Afrique.
En 2022, nous avons constaté une croissance dans le nombre d’attaques persistantes et sophistiquées ciblant plusieurs pays dans la région META, et tout particulièrement en Afrique. En commençant par l’acteur de la menace le plus récent, Metador qui a ciblé des entreprises de télécommunications, HotCousin qui a étendu ses opérations à cette région, les nombreuses campagnes déployant des portes dérobées IIS, Deathstalker et Lazarus attaquant de multiples industries sur la région ainsi qu’une mystérieuse bibliothèque SSP de portes dérobées découverte sur des entités gouvernementales et à but non lucratif – de nombreuses nouvelles menaces actives sur la région ont été découvertes sur l’année 2022.
Prédictions 2023 – qu’est-ce qui nous attend ?
Les projections pour 2023 sont basées sur l’expertise Kaspersky et l’activité observée cette année en traquant plus de 900 groupes et campagnes APT.
Le prochain WannaCry et les drones pour le piratage de proximité. Statistiquement, on estime que les cyber-épidémies les plus notables se produisent tous les six à sept ans. On estime que le dernier en date est le fameux ransomware auto-répliquant WannaCry, exploitant une vulnérabilité d’EternalBlue qui s’est avérée très opportune pour permettre la propagation automatique du rançongiciel aux machines vulnérables. Les chercheurs de Kaspersky estiment que la probabilité que le prochain WannaCry se produise en 2023 est élevée. L’une des raisons qui pousse à envisager la survenue d’un tel événement est que les agents malveillants œuvrant pour les menaces les plus sophistiqués au monde sont susceptibles de posséder au moins un exploit approprié, tandis que les tensions mondiales actuelles favorisent considérablement les chances qu’un hack-and-leak de type ShadowBrokers puisse avoir lieu.
Ces changements fondamentaux devraient également se traduire par de nouveaux types de cibles et l’apparition de scénarios d’attaque inédits. En effet, les experts estiment que l’année à venir pourrait être marquée par les manœuvres de cybercriminels ambitieux capables de combiner intrusions physiques et informatiques, en utilisant des drones pour réaliser du piratage de proximité. Parmi les scénarios d’attaque possibles, citons le montage de drones dotés d’un outillage suffisant pour permettre la collecte de handshake WPA utilisés pour pirater des mots de passe WiFi hors-ligne, ou encore la possibilité de larguer des clés USB malveillantes dans des zones à accès restreint dans l’espoir qu’un passant les ramasse et les branche sur une machine.
Parmi les autres prédictions de menaces avancées pour 2023, on retrouve aussi :
- Les logiciels malveillants délivrés par le SIGINT: L’un des vecteurs d’attaque les plus puissants que l’on puisse imaginer, qui exploite des serveurs disposés dans des emplacements stratégiques de la dorsale Internet permettant des attaques de type « man-on-the-side », pourrait revenir en force en 2023. Bien que ces attaques soient extrêmement difficiles à repérer, les chercheurs de Kaspersky pensent qu’elles vont se généraliser et donner lieu à davantage de découvertes.
- L’essor des attaques destructrices: Compte tenu du climat politique actuel, les experts de Kaspersky prévoient un nombre record de cyberattaques destructrices, perturbant à la fois les activités du secteur public et des industries clés. Il est probable qu’une partie d’entre elles passent pour des accidents aléatoires et ne soient pas aisément attribuées à des cyberattaques. Les autres prendront la forme d’attaques de pseudo-ransomware ou d’opérations d’hacktivistes afin de donner à leurs véritables auteurs des moyens plausibles de démentir l’origine des attaques. Les cyberattaques bénéficiant d’une couverture médiatique importante, prenant pour cible des infrastructures civiles, comme les réseaux d’énergie ou de radiodiffusion, pourraient également devenir viser des câbles sous-marins ou encore des nœuds de distribution de fibres optiques, qui sont difficiles à défendre.
- Les serveurs de messagerie comme cibles prioritaires : Les serveurs de messagerie abritent des renseignements essentiels qui intéressent les acteurs d’APT et présentent la plus grande surface d’attaque envisageable. Les leaders du marché de ce type de logiciel ont déjà dû faire face à l’exploitation de vulnérabilités critiques, et 2023 sera l’année des 0days pour tous les principaux logiciels de messagerie.
- Les APT visent technologies, producteurs et opérateurs satellitaires : Avec les moyens actuels et les preuves que les APT sont capables de cibler des satellites, comme l’a prouvé l’incident Viasat, il est probable que les acteurs de menaces sophistiquées s’attachent de plus en plus à manipuler les satellites et à interférer avec les technologies satellitaires à l’avenir, ce qui renforce l’importance de sécuriser ces technologies.
- Hack-and-leak is the new black : Les nouvelles modalités de conflit hybride ayant vu le jour en 2022 ont impliqué un grand nombre d’opérations de hack-and-leak. Celles-ci vont perdurer au cours de l’année à venir, avec les acteurs APT disséminant les informations et faisant fuir les données sur des groupes de menaces concurrents.
- Un nombre croissant de groupes APT passeront de CobaltStrike à d’autres outils : CobaltStrike, un outil de red-teaming, est devenu un outil de choix pour les acteurs APT et les groupes cybercriminels. Ce dernier ayant été méticuleusement étudié par les experts et spécialistes en cybersécurité, il est probable que les agents malveillants se tournent vers de nouvelles alternatives telles que Brute Ratel C4, Silver, Manjusaka ou Ninja, qui offrent toutes de nouvelles capacités et des techniques d’évasion plus avancées.
À propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux.
[1] Malwares propagés dans le réseau local, par des clés USB ou d’autres moyens hors-ligne.