Report | Rapport Cybersécurité 2024

Report | Rapport Cybersécurité 2024

Report | Rapport Cybersécurité 2024

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 3

3

S O M M A I R E 04

CHAPITRE 1 PRÉSENTATION DU RAPPORT SUR LA CYBERSÉCURITÉ 2024 PAR MAYA HOROWITZ, VP CHECK POINT RESEARCH

07

CHAPITRE 2 CHRONOLOGIE DES PRINCIPAUX CYBERÉVÉNEMENTS DE 2023

27

CHAPITRE 3 TENDANCES EN MATIÈRE DE CYBERSÉCURITÉ DE 2023 28 Ransomware Zero-Day et Méga Attaques 33 Une surface d’attaque qui s’élargit : le nouveau risque lié aux périphériques 37 L’hacktivisme et les wipers associés à des Etats : une nouvelle réalité 42 Des jetons visés par une attaque : le talon d’Achille du Cloud 46 Malware d’installation PIP : des référentiels attaqués

51 CHAPITRE 4 ANALYSE GLOBALE

76 CHAPITRE 5 DES VULNÉRABILITÉS MONDIALES TRÈS MÉDIATISÉES

81 CHAPITRE 6 APPROCHE DE L’ÉQUIPE DE RÉPONSE À INCIDENT (CPIRT)

87 CHAPITRE 7 DES IDÉES POUR LES RSSI

91 CHAPITRE 8 L’IA : UNE DÉFENSE EFFICACE FACE AUX BATAILLES ACTUELLES DE LA CYBERSÉCURITÉ

101 CHAPITRE 9 DESCRIPTION DES FAMILLES DE MALWARES

109 CHAPITRE 10 CONCLUSION

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 4

4

PRÉSENTATION DU RAPPORT

SUR LA CYBERSÉCURITÉ

2024

0 1

CHAPITRE 1

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 5

5

Bienvenue à l'édition 2024 du Rapport sur la cybersécurité de Check Point. L'année 2023 a

été témoin d'une métamorphose majeure dans le paysage de la cybersécurité, marquée

par une évolution fulgurante tant dans la nature que dans l'ampleur des cyberattaques. Cette

année, les menaces numériques ont transcendé l'obscurité du monde virtuel pour se hisser sur le

devant de la scène, captivant l'intérêt de toutes les strates de la société, des institutions

gouvernementales au grand public.

Les motivations derrière ces attaques sont aussi variées que les méthodes employées. Parmi

ces menaces, les ransomwares continuent de susciter une inquiétude majeure. En effet,

les cybercriminels ne sont pas uniquement guidés par l'appât du gain, mais par le désir de

notoriété. Les attaques par ransomware, qui exploitent les failles zero day et utilisent des « shame

sites » pour exposer publiquement leurs victimes, sont devenues monnaie courante.

Cette tendance a transformé le ransomware en une sorte de compétition entre

cybercriminels. Les répercussions de ces attaques vont bien au-delà du simple versement de la

rançon : des entreprises telles que MGM, DP World ou la British Library ont dû supporter des

coûts considérables pour rétablir leurs systèmes.

Nous assistons également à une montée de l'hacktivisme, où des hackers s'engagent pour

des causes politiques ou sociales. Autrefois l'apanage d'activistes isolés, ce type de

piratage est désormais utilisé par les gouvernements pour cibler leurs adversaires de manière

détournée. Le phénomène est devenu particulièrement évident dans le sillage d'événements

tels que la guerre entre la Russie et l'Ukraine et le conflit entre Israël et le Hamas.

Les pirates ont exploré de nouvelles voies pour infiltrer les systèmes, en ciblant notamment des

périphériques tels que les routeurs et les commutateurs, qui se révèlent être des proies faciles.

Des entreprises de grande envergure, parmi lesquelles Okta et 23AndMe, ont été prises pour cible

par des attaques exploitant des identifiants de connexion dérobés ou des logiciels malveillants.

CHAPITRE 1

M AYA H O R O W I T Z VP Research, Check Point

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 6

6

CHAPITRE 1

L'intelligence artificielle (IA) joue un rôle plus important dans les cyberattaques cette année. Les

assaillants ont stratégiquement intégré des outils d'IA pour augmenter l'efficacité de leurs

campagnes de phishing. Mais les cyberdéfenseurs, eux aussi, exploitent efficacement l'IA

pour contrer ces menaces, et c'est une excellente nouvelle.

La lutte contre les cybercriminels compte également quelques victoires à son actif. Le FBI

et d'autres organismes de répression ont réussi à neutraliser des menaces majeures telles que le

réseau Hive Ransomware et l'infrastructure Qbot. Mais la résurgence de certains de ces

groupes nous rappelle que la lutte contre la cybercriminalité est un combat de longue haleine.

Ce rapport revient sur les principaux événements de cybersécurité de 2023, et propose un

éclairage et une analyse pour mieux comprendre les enjeux de demain et se préparer

efficacement. Nous nous efforçons de mettre à disposition des informations précieuses

pour les entreprises, les décideurs politiques et les experts en cybersécurité, pour les aider

à se doter de défenses plus solides dans un monde de plus en plus numérique.

Nous espérons que vous trouverez ce rapport instructif et qu'il contribuera à renforcer la sécurité

de vos environnements numériques.

Maya Horowitz VP Research at Check Point Software Technologies

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 7

7

CHRONOLOGIE DES PRINCIPAUX

CYBERÉVÉNEMENTS DE 2023

0 2

CHAPITRE 2

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 8

8

JANVIER Une base de données réunissant plus de 14 millions de noms d'utilisateurs et de mots de passe a été découverte sur un forum du dark web. Cette base de données contenait plus de 100 000 identifiants de connexion à des sites appartenant à des administrations australiennes.

Le groupe de ransomware Vice Society a lancé une série d'attaques d’envergure contre des écoles au Royaume-Uni et aux États-Unis. Le FBI (Federal Bureau of Investigation), pour répondre à ces évènements, a publié une alerte officielle mettant en garde contre les activités de ce groupe.

Check Point Threat Emulation protège contre cette menace (Trojan.Wins.ViceSociety.*) Check Point Research signale que les acteurs de la menace sur les forums de piratage ont commencé à intégrer des outils d'intelligence artificielle tels que ChatGPT dans la conception des malwares et des outils d'attaque de type infostealer et encryptor. Royal Mail, le service postal international du Royaume-Uni, est confronté à une cyberattaque qui a perturbé ses opérations. Le service a demandé à ses utilisateurs de ne pas poster de courrier, car il est incapable d’assurer la livraison des colis à leur destination. Cette attaque a été revendiquée par le groupe de ransomware LockBit, qui menace de divulguer les données volées si le montant de la rançon demandée n'est pas payé.

Check Point Harmony Endpoint et Threat Emulation protègent contre cette menace (Ransomware.Win.Lockbit)

Check Point Research a remarqué que des cybercriminels russes tentaient de contourner les restrictions mises en place par OpenAI pour utiliser ChatGPT à des fins malveillantes. Sur les forums de piratage clandestins, les hackers discutent de méthodes pour contourner les restrictions liées aux adresses IP, aux cartes bancaires et aux numéros de téléphone, des données qui permettent d'accéder à ChatGPT depuis la Russie.

CHAPITRE 2

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 9

9

FÉVRIER Check Point Research a signalé que le jeton cryptographique Dingo, dont la capitalisation boursière s'élève à 10 941 525 dollars, est un scam. Les acteurs de la menace qui se cachent derrière ce jeton ont ajouté une fonction de porte dérobée dans son contrat intelligent pour manipuler les frais. Plus précisément, ils ont utilisé la fonction « setTaxFeePercent » dans le code du contrat intelligent du jeton pour manipuler les frais d'achat et de vente à un taux alarmant de 99 %. La fonction a déjà été utilisée 47 fois, et les investisseurs du jeton Dingo pourraient bien risquer de perdre la totalité de leurs fonds.

KillNet, un groupe d'hacktivistes pro-russes, a lancé une opération de grande envergure contre le secteur américain de la santé en procédant à de multiples attaques DDoS.

JD Sports, le détaillant britannique de vêtements de sport, a révélé qu’une violation de ses données avait touché environ 10 000 de ses clients. Les données divulguées concerneraient les détails des commandes en ligne passées entre novembre 2018 et octobre 2020, dont les noms et prénoms, adresses e-mails, numéros de téléphone, coordonnées de facturation, adresses de livraison, etc.

Check Point Research a découvert deux packages de code malveillant, Python-drgn et Bloxflip, qui ont été diffusés par des acteurs malveillants. Ces individus ont exploité les référentiels de packages comme un canal de distribution de malwares fiable et évolutif.

Le groupe à l'origine de la vaste campagne de ransomware « ESXiArgs », qui a touché des milliers d'hôtes VMware ESXi, a mis à jour le processus de chiffrement de son malware. La nouvelle version du malware bloque désormais la méthode de récupération recommandée par les chercheurs car elle chiffre également les fichiers qui auraient pu être utilisés pour déclencher le processus de récupération.

Check Point IPS protège contre cette menace (VMWare OpenSLP Heap Buffer Overflow (CVE-2019-5544; CVE-2021-21974))

La plateforme de réseau social Reddit a été touchée par une faille de sécurité après qu'un employé ait été victime d'une attaque de phishing. Selon le communiqué de l'entreprise, bien que des documents internes et du code source aient été volés, les informations et identifiants des utilisateurs n'ont pas été affectés.

CHAPITRE 2

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 10

Une des principales universités israéliennes, « The Israel Institute of Technology » (Technion), a été la cible d'une attaque par ransomware qui l'a contrainte à désactiver son réseau et à reporter les examens de fin d'année au semestre prochain. Des interrogations subsistent quant à une éventuelle motivation politique ou personnelle derrière l'attaque, étant donné que les assaillants sont un groupe jusqu'à présent non identifié et que la demande de rançon comportait des messages atypiques.

Les spécialistes de Check Point ont constaté que les acteurs de la menace arrivaient à contourner les restrictions de ChatGPT pour générer des contenus malveillants et perfectionner le code d'un malware Infostealer basique datant de 2019.

Des chercheurs ont analysé plusieurs campagnes utilisant des packages malveillants dans des tentatives d'attaques contre la chaîne d'approvisionnement. Une campagne sur Pypi (Python) a créé plus de 450 packages liés aux cryptomonnaies. Ils permettaient de substituer les adresses des portefeuilles de cryptomonnaies. Une autre campagne a répertorié 5 packages qui délivraient des malwares voleurs d'identifiants. Une campagne npm (Java) a également été identifiée. Elle a permis de diffuser un cheval de Troie d'accès à distance.

La ville d'Oakland a déclenché un état d'urgence local pour faire face à une attaque de ransomware qui a contraint la ville à désactiver ses systèmes informatiques.

La campagne massive de ransomware ESXiArgs continue de gagner du terrain et a récemment touché plus de 500 hôtes dont la majorité se trouve en France, en Allemagne, aux Pays-Bas, au Royaume-Uni et en Ukraine.

OpenAI a lancé un service payant appelé ChatGPT Plus, mais des acteurs de la menace proposent actuellement un accès à la plateforme soi-disant gratuit pour inciter les utilisateurs à télécharger des applications malveillantes ou à se rendre sur des sites internet de phishing.

CHAPITRE 2

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 11

MARS Pierce Transit, une entreprise de transport en commun qui dessert quotidiennement plus de 18 000 personnes dans l'État de Washington, a été victime d'une attaque par ransomware orchestrée par le ransomware LockBit. Le groupe a affirmé avoir volé du courrier, des accords de non-divulgation, des données clients, des contrats etc.

Check Point Threat Emulation et Harmony Endpoint protègent contre cette menace (Ransomware.Win.Lockbit) Les chercheurs de Check Point ont identifié une campagne de cyber-espionnage du groupe APT chinois SharpPanda. Cette campagne a ciblé des entités gouvernementales en Asie du Sud-Est et a utilisé le framework Soul pour accéder au réseau des victimes et exfiltrer des informations.

Check Point Threat Emulation et Anti-bot protègent contre cette menace (Trojan.WIN32.SharpPanda)

Check Point Research a révélé l'existence du cheval de Troie Android FakeCalls, capable d'imiter plus de 20 applications financières et de faire du phishing vocal en imitant des conversations avec des employés de banque. Ce malware, conçu pour le marché sud-coréen récupère également des données privées sur les appareils des victimes.

Check Point Harmony Endpoint et Threat Emulation protègent contre cette menace.

Check Point Research a découvert des failles de sécurité dans le site chess.com que des utilisateurs pourraient utiliser pour manipuler les résultats des parties. Les chercheurs ont utilisé cette vulnérabilité pour réduire le temps de jeu de l'adversaire et ainsi gagner des parties.

Check Point Research a analysé ChatGPT4. Ils ont identifié cinq scénarios qui permettent aux acteurs de la menace de contourner les restrictions et d'utiliser ChatGPT4 pour créer des e-mails de phishing et des malwares.

CHAPITRE 2

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 12

Le constructeur automobile italien de luxe Ferrari a signalé une violation de ses données à la suite d’une attaque d'extorsion sur les systèmes informatiques de l'entreprise. Les données exposées sont des informations personnelles de clients de l'entreprise, telles que les noms complets, les adresses, les adresses e-mail et les numéros de téléphone.

Check Point Research a repéré des packages malveillants sur PyPI, un index de packages Python, qui se servait de techniques de phishing pour dissimuler leurs intentions malveillantes. Les packages malveillants téléchargent et exécutent discrètement du code obfusqué pendant leur processus d'installation, avec des risques pour la chaîne d'approvisionnement à la clé.

Check Point CloudGuard Spectral protège contre cette menace.

AVRIL Les deux versions Windows et macOS de 3CXDesktopApp, une application VoIP de 3CX Communications Company, ont été compromises et utilisées pour distribuer des versions trojanisées dans une attaque de la chaîne d'approvisionnement à grande échelle. Dans cette campagne appelée SmoothOperator, les cybercriminels ont détourné l'application 3CX en y intégrant un fichier malveillant, puis l’ont chargé avec de 3CXDesktopApp et envoyé par balise à l'infrastructure de l'attaquant. Cette attaque pourrait concerner plus de 600 000 entreprises qui utilisent 3CX dans le monde entier. Elle est attribuée au groupe nord-coréen Lazarus et est répertoriée sous le numéro CVE-2023-29059.

Check Point Threat Emulation et Harmony Endpoint protègent contre cette menace (Trojan-Downloader.Win.SmoothOperator; Trojan.Wins.SmoothOperator) Crown Resorts, la plus grande entreprise australienne de paris et de loisirs, a révélé être victime d'une tentative d'extorsion de la part du groupe de ransomware CL0P. Dans cette tentative d'extorsion, le groupe CL0P a exploité la vulnérabilité de Fortra GoAnywhere.

Check Point Threat Emulation et Harmony Endpoint protègent contre cette menace (Ransomware.Wins.Clop; Ransomware.Win.Clop; Ransomware_Linux_Clop)

CHAPITRE 2

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 13

Depuis plusieurs années, des chercheurs surveillent le groupe d'hacktivistes Anonymous Sudan, qui a lancé de nombreuses attaques DDoS contre des entreprises en Europe, en Australie, en Israël et ailleurs, souvent pour dénoncer ce qui est, selon eux, des activités anti-musulmanes. Actuellement, ce groupe est classé et identifié comme un sous-groupe du collectif d'hacktivistes Killnet, affilié à la Russie, dont il soutient l'action.

Check Point Research a découvert une nouvelle souche de ransomware nommée Rorschach, distribuée via le téléchargement latéral d'une DLL d'un produit de sécurité légitime et signé. Ce ransomware est extrêmement personnalisable et présente des caractéristiques techniques uniques jusque-là inédites dans les ransomwares. C'est l'un des ransomwares les plus rapides observés, en termes de vitesse de chiffrement.

Check Point Harmony Endpoint protège contre cette menace.

Check Point Research a découvert trois vulnérabilités (CVE-2023-28302, CVE-2023-21769 et CVE-2023- 21554) dans le service « Microsoft Message Queuing », plus communément appelé MSMQ. La plus grave d'entre elles, que CPR a appelée QueueJumper (CVE-2023-21554), est une vulnérabilité majeure qui permettrait à des attaquants non authentifiés d'exécuter à distance un code arbitraire dans le contexte du processus de service Windows mqsvc.exe.

Check Point IPS protège contre cette menace (Microsoft Message Queuing Remote Code Execution (CVE-2023-21554)) Check Point Research observe une nette augmentation des cyberattaques contre les appareils IoT, avec une augmentation de 41 % du nombre moyen d'attaques hebdomadaires par organisation au cours des deux premiers mois de 2023, par rapport à 2022. Chaque semaine, en moyenne, 54 % des entreprises sont victimes de tentatives de cyberattaques contre les dispositifs IoT, et ce particulièrement en Europe, suivie de la région APAC et de l'Amérique latine.

Check Point Quantum IoT protège contre cette menace.

CHAPITRE 2

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 14

Check Point Research met en garde contre une recrudescence des discussions et des échanges de comptes ChatGPT volés, avec une attention particulière portée aux comptes Premium. Les cybercriminels diffusent des identifiants de comptes ChatGPT, troquent des comptes ChatGPT Premium et utilisent des outils de Bruteforcing pour ChatGPT. Ils permettent aux cybercriminels de contourner les restrictions de géofencing d'OpenAI et d'accéder aux anciennes requêtes des comptes ChatGPT existants.

L'équipe de chercheurs de Check Point identifié de nouvelles techniques mises en œuvre par le malware Raspberry Robin. Ces méthodes regroupent plusieurs techniques anti-évasion, d'obfuscation et de mesures anti-VM. Le malware exploite également deux vulnérabilités dans Win32k (CVE-2020-1054 et CVE-2021- 1732) dans le but d'élever ses privilèges.

Check Point Threat Emulation et IPS protègent contre cette menace (Trojan.Wins.RaspberryRobin; Microsoft Win32k Elevation of Privilege (CVE- 2021-1732), Microsoft Win32k Elevation of Privilege (CVE-2020-1054))

MAI Check Point Research fait de nouvelles révélations concernant Educated Manticore, un groupe d'activités lié à Phosphorus, aligné sur l'Iran et actif au Moyen-Orient et en Amérique du Nord. Educated Manticore a suivi les tendances récentes et s'est mis à utiliser des images ISO et très probablement d'autres fichiers d'archive pour déclencher des chaînes d'infection.

Check Point Harmony Endpoint et Threat Emulation protègent contre cette menace (APT.Wins.APT35.ta)

CHAPITRE 2

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 15

Check Point Research a révélé l'existence d'un nouveau malware Android, FluHorse. Le malware imite le comportement d'applications légitimes, la plupart comptant plus de 1 000 000 d'installations. Il vole les identifiants des victimes ainsi que les codes d'authentification à deux facteurs (2FA). FluHorse cible différents secteurs des marchés d'Asie de l'Est et se distribue par e-mail.

Check Point Harmony Mobile protège contre cette menace (FLU_HORSE_STR)

Check Point Research a constaté une recrudescence des cyberattaques dirigées contre des sites internet associés à la marque ChatGPT. Ces attaques consistent à distribuer des malwares et à lancer des tentatives de phishing via des sites internet qui semblent être associés à ChatGPT, pour inciter les utilisateurs à télécharger des fichiers malveillants ou à partager des informations sensibles.

Le géant du stockage de données Western Digital a déclaré avoir été victime d'une violation de données qui a exposé les informations personnelles des clients de l'entreprise. Les données exfiltrées concernent notamment les noms, les adresses de facturation et d'expédition, les adresses e-mail et les numéros de téléphone. Les cybercriminels ont prétendu ne pas être membres du groupe du ransomware ALPHV (alias Black Cat), mais utilisent le site de fuite de ce groupe pour menacer et extorquer l'entreprise. Check Point Research a découvert un implant de micrologiciel personnalisé pour les routeurs TP-Link associé à un groupe APT parrainé par l'État chinois et repéré sous le nom de Camaro Dragon, qui présente des similitudes avec Mustang Panda. L'implant a bien été utilisé dans des attaques ciblées contre des instances européennes des affaires étrangères, et comporte plusieurs éléments malveillants. Il contient notamment une porte dérobée personnalisée appelée "Horse Shell", qui donne aux attaquants un accès constant, leur permet de créer une infrastructure anonyme et de se déplacer latéralement au sein des réseaux compromis.

Check Point Quantum IoT Protect et Threat Emulation protègent contre cette menace (APT.Wins.HorseShell)

CHAPITRE 2

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 16

Le FBI, la CISA et l'ACSC mettent en garde contre le groupe de ransomware BianLian qui a modifié ses tactiques pour ne plus se consacrer qu’à l'extorsion. Au lieu de chiffrer les fichiers et d'exiger une rançon, le groupe fait le choix de voler des données sensibles et de menacer de les divulguer si la rançon n’est pas payée.

Check Point Threat Emulation protège contre cette menace (Ransomware.Win.GenRansom.glsf.A)

Check Point Research a récemment publié un rapport concernant GuLoader. Il s’agit d’un téléchargeur majeur basé sur un shellcode, est largement employé dans de nombreuses attaques pour diffuser divers logiciels malveillants très recherchés. Sa charge utile est complètement chiffrée, ce qui permet aux cybercriminels de stocker les charges utiles dans des services de cloud public bien connus et de contourner les protections antivirus.

Check Point Threat Emulation protège contre cette menace (Dropper.Win.CloudEyE.*)

Check Point Research évoque les récentes attaques soutenues par l'État chinois et leur utilisation des équipements réseau. Ces informations font suite à la diffusion par les autorités américaines et internationales de cybersécurité d'un avertissement conjoint concernant un cyberacteur soutenu par l'État chinois, également connu sous le nom de Volt Typhoon. Cet acteur a réussi à infiltrer des infrastructures informatiques cruciales dans divers secteurs, notamment des organismes gouvernementaux et des entreprises de télécommunication.

CHAPITRE 2

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 17

CHAPITRE 2

JUIN Progress a dévoilé une vulnérabilité dans MOVEit Transfer et MOVEit Cloud (CVE-2023-34362) qui pourrait permettre une élévation des privilèges et un accès potentiel non autorisé à l'environnement. Suite à cette découverte, Progress a enquêté, proposé des mesures d'atténuation et publié un correctif de sécurité, le tout dans un délai de 48 heures. Malheureusement, pendant ce temps, des cybercriminels associés au groupe de ransomware Clop, affilié à la Russie, ont exploité la vulnérabilité et lancé une attaque de la chaîne d'approvisionnement contre les utilisateurs de MOVEit. Zellis, fournisseur de services de paie, a été le premier à révéler l'existence d'une faille de sécurité, bien que de nombreux autres utilisateurs aient été touchés.

Check Point IPS blade protège contre cette menace (MOVEit Transfer SQL Injection (CVE-2023-34362))

Check Point Research a publié l'analyse d'un outil de porte dérobée qu'utilise le groupe APT chinois Camaro Dragon. Cet outil, surnommé TinyNote, est écrit en Go et contient une fonction de contournement du logiciel antivirus indonésien SmadAV, très répandu dans les pays d'Asie du Sud-Est. Parmi les victimes du groupe APT figurent très probablement des ambassades dans les pays d'Asie du Sud-Est.

Check Point Threat Emulation protège contre cette menace (APT.Wins.MustangPanda.ta.*)

Un hôpital de l'Illinois a dû fermer ses portes après avoir été victime d'une attaque par ransomware, le premier établissement de santé à fermer en raison de ce type d'incident. En 2021, l'attaque dont a été victime SMP Health a empêché l'hôpital de présenter des demandes de remboursement auprès des assureurs, dont Medicare et Medicaid, et ce pendant plusieurs mois. Une situation qui a entraîné une grave crise financière pour l'hôpital.

Le Louisiana Office of Motor Vehicles (OMV) et l'Oregon DMV Services ont publié des communiqués pour avertir les citoyens américains qu'une violation de leurs données exposait des millions de permis de conduire. Le gang du ransomware Clop a piraté les systèmes de transfert de fichiers sécurisés MOVEit Transfer des agences et a volé les données stockées.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 18

CHAPITRE 2

Check Point IPS blade, Harmony Endpoint et Threat Emulation protègent contre cette menace ((Progress MOVEit Transfer Multiple Vulnerabilities); Webshell.Win.Moveit, Ransomware.Win. Clop, Ransomware_Linux_Clop; Exploit.Wins.MOVEit)

Les chercheurs de Check Point ont découvert un malware sophistiqué destiné à un établissement médical européen. Les auteurs de l'attaque ont été identifiés comme étant Camaro Dragon (Mustang Panda), un groupe APT financé par l'État chinois. Les acteurs de la menace ont recours à des clés USB malveillantes en guise de vecteur d'accès initial pour cibler des réseaux restreints. Leur charge utile contient un module qui infecte toute autre clé USB connectée à l'hôte infecté. Il semblerait que le malware se soit ainsi propagé au- delà de ce qui était initialement prévu par les attaquants, et qu'il ait probablement infecté par inadvertance des dizaines d'entreprises dans le monde entier.

Check Point Harmony Endpoint et Threat Emulation protègent contre cette menace (APT.Wins.MustangPanda; APT.Wins. MustangPanda.ta)

JUILLET Check Point Research a identifié une version modifiée malveillante de l'application de messagerie Telegram, une application particulièrement prisée. Cette version malveillante installe Triada, un cheval de Troie, qui peut inscrire la victime à plusieurs abonnements payants, effectuer des achats in-app et dérober des identifiants de connexion.

La chaîne de télévision américaine Nickelodeon aurait été touchée par une fuite de 500 Go de données à la suite d’une violation de sécurité. On compte parmi ces données des scripts, des fichiers d'animation et des épisodes complets. La chaîne de télévision a confirmé que ces données étaient légitimes, mais qu'elles dataient de plusieurs dizaines d'années. Cette fuite a eu lieu en janvier dernier, à cause d'une faille d'authentification sur un site de commentaires.

Check Point Reserach a publié une analyse de la plateforme d'IA générative de Google, Bard, et y décrit plusieurs scénarios où la plateforme pourrait être utilisée pour générer des contenus malveillants. Les cybercriminels pourraient se servir de Bard pour créer des e-mails de phishing, des keyloggers malveillants et même un code de ransomware rudimentaire.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 19

CHAPITRE 2

La campagne d'espionnage de comptes de messagerie Microsoft Exchange, attribuée à l'acteur de menace chinois « Storm-0558 », aurait accédé au compte e-mail de l'ambassadeur des États-Unis en Chine et compromis des centaines de milliers d'e-mails de particuliers du gouvernement américain. Selon les chercheurs, la méthode utilisée pour cette campagne aurait également pu cibler les comptes d'autres services Microsoft, tels que OneDrive et Azure.

Le gouvernement norvégien a signalé une cyberattaque sur une plateforme logicielle utilisée par 12 grands ministères. La cyberattaque fait suite à l'exploitation par des pirates d'une vulnérabilité de type « zero-day » de contournement de l'authentification dans Endpoint Manager Mobile (EPMM) d'Ivanti.

AOÛT Prospect Medical Holdings, un important prestataire de services de santé, responsable de 16 hôpitaux et de 166 cliniques et centres ambulatoires aux États-Unis, a été victime d'une attaque majeure par ransomware. L'attaque a perturbé les activités de l'entreprise dans au moins trois États et a obligé les hôpitaux à transférer des patients vers d'autres établissements. Pour le moment, aucun groupe de ransomware n'a revendiqué publiquement la responsabilité de l'attaque.

Des chercheurs de Check Point partagent les dernières découvertes concernant des vulnérabilités basées sur NPM, découvertes dans plus de 50 packages courants et qui mettent en danger un nombre incalculable de projets et d'organisations.

Check Point CloudGuard CNAPP protège contre cette menace

Discord.io a confirmé avoir été victime d’une violation de données exposant les informations de 760 000 membres. Elle a provoqué la suspension temporaire de ses services. Cette information survient après qu'un cybercriminel connu sous le nom d'Akihirah ait partagé la base de données de Discord sur un forum clandestin.

À Taïwan, c'est une campagne d'espionnage en cours qui vise des dizaines d'entreprises qui a été découverte. Selon les chercheurs, cette activité a été menée par un groupe APT chinois connu sous le nom de Flax Typhoon, qui recoupe les activités d'Ethereal Panda. Le groupe de menace n’a pas recours aux malwares personnalisés mais préfère utiliser des outils légitimes déjà présents dans les systèmes d'exploitation des victimes pour mener ses opérations d'espionnage.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 20

2

CHAPITRE 2

Des pirates informatiques pro-russes ont perturbé les services ferroviaires dans le nord-ouest de la Pologne en accédant aux fréquences réservées aux chemins de fer. Pendant l'attaque, les pirates ont diffusé l'hymne national russe et un discours de Vladimir Poutine, le président russe.

SEPTEMBRE Dans le cadre de l'opération « Duck Hunt », le FBI a annoncé le démantèlement du réseau de malwares Qakbot (Qbot), actif depuis au moins 2008. Qakbot est réputé pour infecter les victimes via des e-mails malveillants. Ces e-mails contiennent des pièces jointes et des liens malveillants, et font office de plateforme pour les opérateurs de ransomwares. Qakbot a touché plus de 700 000 ordinateurs dans le monde, dont ceux d'institutions financières, d'entreprises publiques et de fabricants d'appareils médicaux. Check Point Research a partagé son analyse du malware Qakbot et de ses opérations sur plusieurs années.

Check Point Harmony Endpoint et Threat Emulation protègent contre cette menace (Trojan.Wins.Qbot; Trojan.Win.Qbot; Trojan.Downloader.Win.Qbot; Trojan-PSW.Win32.Qakbot; Trojan.WIN32.Qakbot) Check Point attire l'attention sur une campagne de phishing par e-mail récente qui exploite de manière abusive Google Looker Studio, l'outil qui permet de visualiser des données. Pour ce faire, les attaquants envoient des e-mails contenant des diaporamas aux victimes depuis des comptes Google officiels. Ils incitent les victimes à se connecter à des sites internet tiers pour collecter des crypto-monnaies. Les sites internet demanderont ensuite aux victimes de saisir leurs identifiants pour les voler.

Check Point Harmony Email protège contre cette menace.

Les chercheurs de Check Point ont examiné l'impact potentiel de la nouvelle technologie d'IA générative sur les stratégies d'influence lors des élections. Cette technologie a la capacité de produire de la propagande audiovisuelle personnalisée pour cibler les électeurs à grande échelle, un véritable risque pour l'intégrité des élections démocratiques. Pour résoudre ce problème, Google exigera désormais des informations détaillées sur les messages publicitaires à caractère politique qui font usage de l'IA.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 21

2

CHAPITRE 2

La chaîne américaine de centres de vacances, de casinos et d'hôtels MGM a été victime d'une cyberattaque. Elle a provoqué d'importantes perturbations dans les hôtels et les casinos de la société qui a désactivé ses réseaux internes par mesure de précaution. La cyberattaque a paralysé les distributeurs automatiques de billets, les machines à sous, les cartes-clés numériques des chambres et les systèmes de paiement électronique. C'est ALPHV, affilié au ransomware, qui a revendiqué la responsabilité de l'attaque. Check Point Research présente ses conclusions concernant l'activité du groupe ALPHV durant les 12 derniers mois.

Le gang du ransomware Monti a revendiqué une cyberattaque contre la troisième plus grande université de Nouvelle-Zélande, l'Université de technologie d'Auckland. Ils affirment avoir volé 60 Go de données et demandé à la victime de payer une rançon avant le 9 octobre.

Check Point Threat Emulation protège contre cette menace (Ransomware.Wins.Monti)

Check Point Research a découvert de nouvelles versions du malware bancaire BBTok, qui cible les clients de plus de 40 banques mexicaines et brésiliennes. Des recherches récentes ont mis en lumière des chaînes d'infection récemment identifiées, exploitant une combinaison inédite de LOLBins (Living off the Land Binaries), qui se traduit par des taux de détection peu élevés. Elle révèle également certaines des ressources côté serveur que l'acteur de la menace a utilisées dans les attaques, qui ont visé des centaines d'utilisateurs au Brésil et au Mexique.

Check Point Threat Emulation et Harmony Endpoint protègent contre cette menace (Banker.Wins.BBTok; Banker.Win.BBTok; Technique.Wins.SuxXll; Trojan.Win.XllAddings)

OCTOBRE Les chercheurs de Check Point ont détecté une campagne de phishing qui exploite Dropbox, le programme couramment utilisé pour le partage de fichiers. Les cybercriminels utilisent de vraies pages Dropbox pour envoyer des e-mails en apparence officiels aux victimes. Ces e-mails redirigent les destinataires vers des pages de phishing pour voler leurs identifiants.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 22

2

CHAPITRE 2

Les chercheurs de Check Point ont découvert plusieurs vulnérabilités importantes dans le réseau social WEB3 Friend.tech. Cette série de vulnérabilités permet aux attaquants d'accéder et de modifier les valeurs des bases de données de l'entreprise, et de profiter d'un accès à des services payants.

Le American Rock County Public Health Department, qui propose des soins à plus de 160 000 résidents dans la région du Wisconsin, a été victime d'une attaque par ransomware. Cette attaque a obligé les responsables à mettre certains systèmes hors ligne. C'est le groupe de ransomware Cuba qui a revendiqué l'attaque, et a affirmé avoir volé des documents comptables, des informations fiscales etc.

Check Point Harmony Endpoint et Threat Emulation protègent contre cette menace (Ransomware.Win.Cuba, Ransomware. Wins.Cuba.ta.*)

Le groupe de ransomware LockBit a revendiqué avoir lancé une attaque qui aurait ciblé le revendeur de produits et de services informatiques CDW, dont le chiffre d'affaires atteint plusieurs milliards de dollars. Le gang a demandé une rançon de 80 millions de dollars et a menacé de divulguer les données volées, dont des numéros de badge d'employés, des informations sur les audits, des données sur le paiement des commissions etc. L'entreprise a isolé les serveurs touchés, qui, selon ses dires, ne sont pas directement en contact avec les clients.

Check Point Harmony Endpoint et Threat Emulation protègent contre cette menace (Ransomware.Win.Lockbit; Gen.Win.Crypter.Lockbit; Ransomware.Wins.LockBit.ta; Ransomware_Linux_Lockbit) Le FBI et la CISA ont publié une alerte de cybersécurité conjointe dans le cadre de leur campagne #StopRansomware, qui signale et analyse le ransomware AvosLocker. Il opère sous un modèle de ransomware-as-a-service (RaaS). Ils mettent l'accent sur les détails techniques et les méthodes de transfert de technologie du groupe pour aider à atténuer les effets et renforcer la défense.

Check Point Harmony Endpoint et Threat Emulation protègent contre cette menace (Ransomware.Wins.Avoslocker.ta.A, Gen.Win.Crypter. AvosLocker.B, Ransomware.Win.AvosLocker.B, Ransomware_Linux_ AvosLocker)

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 23

2

CHAPITRE 2

Les pirates ont réussi à accéder à certaines parties du réseau de Okta, le géant de l'authentification des identités dans le cloud. Les cybercriminels ont pu infiltrer le département du service client de l'entreprise pendant au moins deux semaines. Ils ont tenté d'exploiter des jetons copiés à partir de communications du service client pour accéder aux réseaux des clients. Il semble que l'entreprise n'a eu connaissance de l'incident que lorsqu'un client a signalé le détournement d'un message du service client.

Check Point Research a analysé la cyberactivité au cours des dix premiers jours du conflit entre Israël et le Hamas. Plusieurs groupes d'hacktivistes affiliés au Moyen-Orient, à l'Islam et à la Russie, ont intensifié leurs opérations contre Israël. Parmi les différents vecteurs d'attaque observés, citons les attaques DDoS, les dégradations et les fuites d'informations sur certains sites internet israéliens, dont l'impact est pour la plupart très limité.

L'université de Stanford a été victime d'une cyberattaque qui a endommagé les systèmes de son SUDPS (département de la sécurité publique). Le groupe de ransomware Akira a revendiqué la responsabilité de l'attaque, qui aurait provoqué l'exposition de 430 Go de données de l'université.

Check Point Harmony End Point et Threat Emulation protègent contre cette menace (Ransomware_Linux_Akira; Ransomware. Wins.Akira)

NOVEMBRE Boeing a reconnu qu'une cyberattaque avait perturbé ses activités de distribution de pièces détachées et qu'elle travaillait avec les autorités compétentes pour faire la lumière sur cette affaire. Plus tôt cette semaine, le groupe de ransomware LockBit avait ajouté Boeing à sa liste de victimes et affirmé avoir volé de grandes quantités de données.

Check Point Harmony Endpoint et Threat Emulation protègent contre cette menace (Ransomware.Win.Lockbit, Ransomware_Linux_ Lockbit )

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 24

2

CHAPITRE 2

Check Point Research a annoncé avoir découvert une campagne d'espionnage orchestrée par Scarred Manticore, un acteur malveillant lié au ministère iranien du Renseignement et de la Sécurité (MOIS). La campagne exploite LIONTAIL, un cadre avancé de malware passif installé sur des serveurs Windows. La campagne actuelle se concentre sur des entreprises importantes du Moyen-Orient, et plus particulièrement sur les administrations, l'armée et le secteur des télécommunications.

Check Point IPS, Threat Emulation et Harmony Endpoint protègent contre cette menace (Backdoor.WIN32.Liontail.A/B, APT.Wins. Liontail.C/D)

Dans le cadre d'une étude récente, Check Point Research a passé en revue l'évolution des événements cybernétiques liés à la guerre entre Israël et le Hamas. Ces dernières semaines, on a constaté que les hacktivistes propalestiniens élargissent leurs actions hors d'Israël, en visant surtout les pays qu'ils considèrent comme des alliés d'Israël. Ces cyber-opérations sont censées avoir un impact sur les informations et les mesures de rétorsion. Mais les dommages signalés sont limités. Les groupes choisissent leurs cibles en fonction de leurs intérêts et des événements géopolitiques en cours.

La filiale américaine de la plus grande banque chinoise, l'Industrial and Commercial Bank of China (ICBC), a subi une attaque par ransomware qui a interrompu certains de ses services financiers, et aurait eu une incidence sur la liquidité des bons du Trésor américain. C'est le groupe de ransomware LockBit qui serait à l'origine de l'attaque.

Check Point Threat Emulation et Harmony Endpoint protègent contre cette menace (Ransomware.Wins.LockBit.ta*; Ransomware.Win.Lockbit; Gen.Win.Crypter.Lockbit.AI; Ransomware_Linux_Lockbit)

Le groupe de renseignement militaire SandWorm, affilié à la Russie, serait responsable d'une attaque contre 22 entreprises d'infrastructures essentielles au Danemark. Les attaques, les plus graves de l'histoire du Danemark, ont compromis des systèmes de contrôle industriel, forçant les entreprises du secteur de l'énergie à passer en mode hors ligne.

Check Point Research a procédé à une analyse approfondie et expérimentale pour tester les capacités d'analyse des malwares de ChatGPT. Les conclusions indiquent que le système d'intelligence artificielle a besoin d'être guidé pour développer ses capacités et proposer des résultats.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 25

2

CHAPITRE 2

La société de transcription médicale Perry Johnson & Associates (PJ&A), basée dans le Nevada, a révélé avoir été la cible d’une violation de données qui a touché plus de 9 millions de patients auprès de plusieurs prestataires de soins de santé aux États-Unis. Les données exposées concernent noms, adresses, dates de naissance, numéros de sécurité sociale et dossiers médicaux des patients. Cette attaque est considérée comme l'une des pires violations de données médicales de ces dernières années.

Check Point Research, qui s'appuie sur le système Blockchain de Threat Intel, a découvert un stratagème sophistiqué de Rug Pull toujours actif, qui est parvenu à subtiliser près d'un million de dollars. L'auteur, qui encourageait les victimes peu méfiantes à investir en profitant du battage médiatique sur les gains mal acquis, a été démasqué.

DÉCEMBRE Check Point Research a proposé un aperçu sur l'activité du groupe Cyber Av3ngers, qui aurait attaqué des postes de travail de la compagnie municipale des eaux d'Aliquippa, en Pennsylvanie. La CISA a publié dans la foulée un état des lieux concernant ce groupe d'hacktivistes affilié au Corps des gardiens de la révolution iranienne (IRGC), qui aurait sévi contre plusieurs sociétés de distribution d'eau aux États-Unis en ciblant les dispositifs PLC d'Unitronics.

La société américaine Greater Richmond Transit Company (GRTC), fournisseur de services à des millions de personnes, a été victime d'une cyberattaque qui a touché certaines applications et parties du réseau de la GRTC. Le groupe de ransomware Play a revendiqué la responsabilité de l'attaque.

Check Point Harmony Endpoint et Threat Emulation protègent contre cette menace (Ransomware.Win.Play; Ransomware.Wins.PLAY) Check Point Research dénonce une tendance inquiétante dans le paysage des crypto-monnaies. Les fraudeurs manipulent la liquidité du pool, et provoquent une augmentation vertigineuse des jetons de 22 000 %. La manipulation des réserves de liquidité s'est traduite par un vol rapide et calculé de 80 000 dollars à des détenteurs de jetons qui ne se doutaient de rien. Cet incident met en lumière l'évolution des stratégies employées par les fraudeurs pour exploiter les plateformes financières décentralisées.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 26

2

CHAPITRE 2

Le principal opérateur de téléphonie mobile ukrainien, Kyivstar, a été victime de la « cyberattaque la plus grave du monde jamais vue sur l'infrastructure des télécommunications », privant des millions de personnes de services de téléphonie mobile et d'Internet pendant au moins 48 heures. Il semblerait que l'attaque ait également touché les sirènes d'alerte d'attaques aériennes, les distributeurs automatiques de billets et les terminaux de point de vente. Le groupe Solntsepek a revendiqué la responsabilité de l'attaque. Affilié à la Russie, il avait été déjà associé au groupe militaire russe Sandworm. Un autre groupe affilié à la Russie, Killnet, en a également revendiqué la responsabilité, mais son implication n'a pas été confirmée. Kyivstar compte 24,3 millions d'abonnés à la téléphonie mobile et plus de 1,1 million d'abonnés au service Internet à domicile.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 27

2

CHAPITRE 3

TENDANCES DE

LA CYBERSÉCURITÉ

0 3

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 28

Ransomware Zero-days et Méga Attaques

En 2023, plusieurs grandes attaques de ransomware ont exploité des vulnérabilités de type « zero-day ».

Contrairement aux autres tendances en matière de ransomware évoquées précédemment, la question de

savoir si d'autres acteurs adoptent ou non cette stratégie dépend uniquement de facteurs économiques : Le

gain financier d'une attaque de ransomware contre plusieurs victimes justifie-il le coût de l'exploit zero-day

nécessaire pour la réaliser ? Pour répondre à cette question, voici un aperçu de ces attaques et de

l'écosystème sur lequel elles reposent.

Le terme ransomware, tel qu'il est utilisé aujourd'hui, ne se réfère pas seulement au chiffrement des

données. Il est utilisé pour qualifier les cyberattaques où un protagoniste motivé par des intérêts financiers

parvient à contrôler les actifs d'une victime et exerce des pressions pour lui extorquer de l'argent.

Ce réseau criminel est composé de groupes et d'individus toujours différents qui se livrent à un exercice

d'équilibre délicat. Leur objectif est d'attirer l'attention du public et de gagner une sorte de « célébrité » pour

séduire de nouveaux complices et préserver leur réputation, sans pour autant éveiller l’attention des

autorités. Les acteurs changent souvent de marque, d'où la difficulté de leur attribuer les attaques.

Quand nous analysons les grandes tendances d'attaques dans l'écosystème des ransomwares, nous nous

intéressons souvent aux nouvelles fonctionnalités que les fournisseurs de Ransomware-as-a-Service (RaaS)

mettent à disposition pour étoffer leurs capacités opérationnelles Il peut s'agir de techniques d'évasion telles

que l'utilisation de mécanismes de chiffrement intermédiaires ou le redémarrage en mode sécurisé, ou

encore une meilleure vitesse de chiffrement. On note également d'autres avancées : des tactiques

d'extorsion développées, comme le vol de données et la menace de les exposer, mais aussi l'adoption de

l'indexation des données volées, et la compatibilité avec des systèmes d'exploitation supplémentaires. Autre

évolution importante à laquelle nous avons assisté en 2023, le fait que les versions de ransomware pour

Linux se normalise.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 29

L'impact des ransomwares sur les activités des entreprises s'est intensifié et a enregistré un pic en 2023, comme

en témoignent de très nombreuses attaques très médiatisées, comme la violation de MGM Resorts International

par ALPHV. Lors de cette attaque, un grand nombre de données ont été volées et les activités de l'entreprise ont

été fortement perturbées. MGM a évalué les pertes à 100 millions de dollars. Par ailleurs, l'opérateur portuaire

australien DP World a subi une grave attaque par ransomware qui a perturbé 40 % des échanges de serveurs

dans le pays pendant plusieurs jours. Comme cela a été signalé, pour cette attaque, il n'a été question d'aucun

chiffrement, preuve que ces menaces ne cessent d'évoluer.

Au cours de l'année écoulée, nous avons constaté une augmentation marquée des cyberattaques par ransomware

de grande envergure qui ont touché de très nombreuses victimes. Certains de ces incidents ont eu un impact sur

des centaines, voire des milliers d'entreprises. Le groupe RaaS CL0P a ainsi exploité une vulnérabilité zero-day

de GoAnywhere, un outil de transfert de fichiers sécurisé. Plus de 130 entreprises ont ainsi été touchées. Début

juin, CL0P a exploité une vulnérabilité zero-day et a ainsi pu accéder au logiciel de transfert de fichiers MOVEit.

Cette attaque a provoqué la compromission de plus de 2 600 entreprises. CL0P a mené une attaque similaire en

2021 en exploitant des vulnérabilités de type « zero-day » dans le logiciel File Transfer Appliance d'Accellion pour

accéder aux bases de données de plusieurs clients. Toutes ces attaques ont été soigneusement sélectionnées en

fonction du nombre élevé de clients, de la qualité des données et de la possibilité de faire des victimes

supplémentaires.

CL0P a notamment choisi de ne pas chiffrer les données des victimes, mais a menacé de les exposer ou de les

vendre. Ce type d'extorsion peut avoir des graves conséquences, même pour les victimes qui effectuent

régulièrement des sauvegardes et ont recours à des procédures pour restaurer leurs données. Elle réduit

également les risques d'être détectée pendant la phase de chiffrement « bruyante » d'une attaque et évite aux

cybercriminels d'avoir à gérer les clés de déchiffrement et les responsabilités de « service client » associées au

déchiffrement de plusieurs fichiers.

Les exploits de type « zero-day » sont très prisés et font l'objet d'un marché en pleine expansion. Le prix de ces

exploits « zero-day » dépend du système ciblé et de la nature des vulnérabilités. Il peut aller de quelques

milliers de dollars à 2,5 millions de dollars (sur les plateformes mobiles). Les tarifs affichés publiquement sur

des plateformes officielles comme Zerodium reflètent ce qui se passe sur les marchés clandestins de la

cybercriminalité. La crédibilité des vendeurs sur ces marchés dépend de la réputation qu'ils ont acquise lors

de transactions antérieures et des fonds déposés en garantie.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 30

Dans la capture d'écran ci-dessous, un vendeur clandestin avec un historique et des demandes de montants

importants propose de vendre un exploit Windows Local Privilege Escalation (LPE) au prix de 150 000 dollars

(avant négociations). Pour avoir un ordre de prix, il est possible d'acheter des vulnérabilités Windows LPE sur

Zerodium pour un montant de 80 000 dollars.

Figure 1: Un forum clandestin propose une vulnérabilité Windows LPE de type « zero-day »

Les vulnérabilités zero day ont une durée de vie limitée. Plus elles sont exploitées, plus les chances qu'elles

soient détectées et qu'elles fassent l'objet de correctifs sont élevées. Contrairement à l'ajout de

fonctionnalités aux malwares, tout investissement dans une vulnérabilité de type zero-day, qu'il s'agisse de

son achat ou de son développement, implique un coût récurrent qui doit être financé pour chaque

campagne. Ce coût doit donc être couvert par les revenus générés par une attaque qui a une durée de vie

relativement courte.

Pour que l'exploitation du zero-day devienne une pratique courante, il faut que le rendement direct de

chaque attaque en vaille le coup. Selon certaines estimations, CL0P pourrait gagner entre 75 et 100 millions

de dollars rien qu'avec l'attaque MOVEit. Estimer précisément le montant des rançons versées peut être

difficile, mais il est raisonnable de supposer que, dans certains cas au moins, les rançons dépassent de loin

le coût de l'exploitation d'une vulnérabilité zero-day. D'autres groupes qui cherchent à générer des

bénéfices comme DarkCasino, ont profité de la vulnérabilité WinRAR (CVE-2023-38831) pour escroquer des

commerçants en ligne. Zerodium propose un prix de 80 000 dollars pour l'exploitation d'un RCE WinRAR.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 31

Dans le cadre d'un autre incident, c'est un acteur motivé par l’appât du gain qui a lancé le ransomware

Nokoyawa après avoir exploité une vulnérabilité zero day dans le Windows Common Log File System (CLFS)

pour augmenter les privilèges.

Après l'attaque MOVEit, les attaques par ransomware ont continué à exploiter des vulnérabilités de type «

zero-day ». On a vu des acteurs de la menace associés à CL0P exploiter une vulnérabilité de type « zero-

day » dans le logiciel d'assistance informatique SysAid. Plus de 5 000 clients pourraient ainsi être touchés

par cette vulnérabilité. L'entreprise a révélé dans un communiqué qu'elle avait pris connaissance de cette

nouvelle vulnérabilité (CVE-2023-47246) le 2 novembre, mais les premiers rapports concernant son

exploitation remontent au mois d'octobre. Hormis CL0p, deux des acteurs les plus prolifiques en matière de

ransomware, Akira et Lockbit, ont exploité une vulnérabilité zero-day (CVE-2023-20269) dans les appareils

Cisco et permis aux attaquants de lancer des attaques par force brute contre des comptes existants.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 32

Le risque de voir une recrudescence d'exploits coûteux de type zero-day dépend principalement de l’aspect

financier. Si les cybercriminels estiment que les retours potentiels dépasseront l'investissement, il faut

s'attendre à une augmentation de ce type d'attaques. Céder aux tentatives d'extorsion est une solution à

court terme pour résoudre une crise immédiate, mais à long terme, cela ne fait qu'encourager les

attaquants.

Se protéger efficacement contre les attaques zero-day se révèle être un véritable défi. Il est primordial de

mettre en place des mesures solides telles que des solutions anti-ransomware pour les terminaux, des

systèmes DLP (Data Loss Prevention), et des produits XDR (Extended Detection and Response).

S E R GE Y S H Y K E V ICH Threat Intelligence

Group Manager, Check Point Software

Technologies

A l’échelle du déploiement des ransomwares, si les pirates décident de se servir d'exploits zero day extrêmement chers, c'est qu'ils sont convaincus qu'ils en retireront des bénéfices.

C’est à nous de nous assurer que les profits ne dépassent pas le montant de l’investissement. Pour limiter le risque croissant de ce type d'attaques, installez des outils de sécurité performants, tels que des solutions anti- ransomware, DLP et XDR.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 33

Une surface d'attaque qui s’élargit : le nouveau risque lié aux périphériques Les stratégies de sécurité négligent souvent les périphériques, mais les cybercriminels les exploitent

depuis longtemps pour créer des réseaux de bots pour des attaques DDoS et pour organiser des

campagnes de spam.

Cette tendance se poursuit et a atteint son paroxysme cette année : les périphériques sont devenus des

cibles pour les APT des États-nations et des acteurs de la menace motivés par l’appât du gain. Ils les

utilisent soit comme composants essentiels d'une infrastructure sophistiquée d'exfiltration de données,

soit comme points d'entrée pour infiltrer les systèmes de réseaux plus complexes d'entités et d'appareils

triés sur le volet.

Initialement développée par des acteurs gouvernementaux, cette stratégie reposait sur l'utilisation

d'exploits coûteux de type « zero-day » et de malwares personnalisés. Toutefois, elle a évolué pour être

adoptée par des groupes plus diversifiés, motivés par l’appât du gain. Ces acteurs exploitent désormais

des configurations incorrectes et des vulnérabilités bien documentées dans des systèmes non corrigés

pour mener des attaques par ransomware.

Les périphériques tels que les routeurs, les commutateurs, les équipements VPN et de sécurité sont

souvent oubliés dans les analyses de la sécurité. Ils sont difficiles à identifier et à surveiller, manquent de

protection EDR et jouent le rôle de dispositifs de sécurité en tant que tels. Ils sont donc souvent négligés,

conservent les mots de passe par défaut, ne sont pas suffisamment patchés ou arrivent en fin de vie sans

aucun correctif. Très vulnérables, ces dispositifs connectés à Internet sont régulièrement exploités pour

mettre au point des botnets. Le malware Mirai et ses nombreux dérivés, par exemple, sont bien connus

pour infecter les routeurs Linux avec des mots de passe par défaut pour les utiliser dans des attaques

DDoS et des spams. Dans la mesure où ces violations n'affectent pas directement les réseaux, elles ne

sont pratiquement pas prises en compte.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 34

L'exploitation des périphériques a considérablement évolué ces derniers temps. Elle est aujourd'hui

assurée par des APT d'États-nations qui créent des infrastructures de communication et d'exfiltration

furtives pour leurs opérations secrètes. Récemment, un rapport de Check Point Research a dévoilé une

opération chinoise qui ciblait les routeurs TP-Link avec un malware de firmware dédié. L'APT Camaro

Dragon, commandité par un État, a installé une porte dérobée personnalisée appelée « Horse Shell » pour

garantir la persistance ainsi que pour le transfert de fichiers et le tunnelage du réseau. Les

communications sont ainsi anonymisées via une chaîne de nœuds infectés. Cette méthode qui consiste à se

servir de routeurs compromis comme réseaux clandestins pour obfusquer les C&C a déjà été signalée

sous les noms de RedRelay et ZuoRAT et a continué à sévir en 2023.

Les périphériques ne sont pas seulement conçus pour être intégrés à l'infrastructure de communication,

mais également pour servir de points d'entrée initiaux dans les réseaux. Microsoft a signalé une opération

très élaborée par en mai. Le groupe APT Volt Typhoon, parrainé par l'État chinois, a fait appel à une double

stratégie : il s'est servi d'appareils SOHO (Small Office/Home Office edge) et les a intégrés dans son

infrastructure de communication, qu'il a ensuite dénommée "KV-botnet". Ce botnet a ensuite été utilisé

pour masquer les communications de commande et de contrôle (C&C) émises par d'autres périphériques

compromis dans des structures d'infrastructures critiques aux États-Unis. Contrairement à Camaro

Dragon, qui est un malware spécifiquement conçu pour les micrologiciels, il s'agit plutôt d'un réseau de

botnet KV composé de routeurs Cisco et DrayTec obsolètes, et de pare-feu NETGEAR.

Les périphériques FortiGuard de Fortinet installés dans des infrastructures essentielles des États-Unis ont

été la cible d’attaques distinctes. Ils ont servi de passerelles pour des opérations d'espionnage et des

pannes potentielles, avec des communications dissimulées via le réseau KV-botnet.

CHAPITRE 3

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 35

Les vulnérabilités connues et non corrigées sur des périphériques en fin de vie ne sont pas les seules à

être exploitées. Les chercheurs de Mandiant ont remarqué que plusieurs APT chinois dont UNC3886 et

UNC4841 ont eu recours à des zero-day et des malwares personnalisés pour cibler des périphériques et

des réseaux. UNC3886 a utilisé des malwares personnalisés dédiés pour cibler les dispositifs de sécurité

Fortinet et les serveurs VMware, des équipements dépourvus de solutions EDR.

UNC4841 a lancé une campagne d'espionnage internationale avec une vulnérabilité zero-day dans un autre

périphérique, la passerelle Barracuda Email Security Gateway (ESG). Les attaquants ont ciblé des

organisations publiques et privées dans le monde entier, principalement sur le continent américain, à

l'occasion de l'une des campagnes les plus agressives observées cette année. Près d'un tiers des

entreprises concernées étaient des organismes gouvernementaux. Après avoir repéré les failles et pris

des mesures correctives, les attaquants ont introduit d'autres malwares. Après avoir repéré les failles et

pris des mesures correctives, les attaquants ont introduit d'autres malwares capables de persister sur

une partie des entités touchées par la violation. Cette campagne agressive et persistante a incité les

fournisseurs à recommander de manière exceptionnelle le remplacement de tous les appareils ESG,

considérés comme peu sûrs.

Les périphériques ne sont pas exclusivement l'apanage des acteurs chinois. Les APT affiliés au

renseignement militaire russe ont massivement utilisé cette stratégie contre des cibles ukrainiennes.

Depuis le début du conflit entre la Russie et l'Ukraine, une série de cyberattaques a gravement affecté les

secteurs de l'énergie, des médias, des télécommunications et de la finance en Ukraine, ainsi que les

agences gouvernementales. La compromission des périphériques a amplifié l'intensité et la fréquence de

ces attaques. Elle a permis aux acteurs russes de conserver un accès permanent aux réseaux ciblés et de

lancer de multiples attaques sur le long terme. Le groupe APT28, associé à la Russie a été repéré en train

de déployer JaguarTooth, un malware spécialement conçu pour exploiter les vulnérabilités des routeurs

CISCO IOS, qui bien que signalées dès 2017, sont toujours efficaces.

Les groupes de ransomware animés par des motivations économiques s'attaquent également aux

périphériques. Pour mener leurs attaques, CACTUS, Akira et LockBit exploitent des dispositifs VPN Citrix

et Fortinet mal configurés ou vulnérables. Certains groupes, tels que FIN8, LockBit et Medusa, ont exploité

des vulnérabilités critiques non corrigées dans les périphériques Citrix NetScaler pour attaquer de

grandes entreprises. Ces attaques ont abouti au déploiement de webshells persistants qui restent actifs

même après l'application des correctifs et le redémarrage de l'ordinateur. Les violations qui utilisent des

périphériques aboutissent souvent à des attaques par ransomware sur les réseaux compromis.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 36

Le groupe APT russe Sandworm a étendu son champ d'attaque au-delà de l'Ukraine. À la fin de 2023, il a

visé les secteurs des infrastructures et de l'énergie au Danemark. Signe d'une escalade majeure, le

groupe a lancé des attaques contre 22 entités danoises en exploitant deux vulnérabilités de type « zero-

day » dans les pare-feux Zyxel. Cette initiative stratégique destinée à compromettre des installations

critiques au Danemark, qui ciblait des périphériques vulnérables, a permis aux attaquants d'exécuter des

codes à distance sur des plates-formes laissées à l'abandon. Plusieurs entreprises ont donc été

contraintes d'interrompre leurs activités habituelles et de passer temporairement en mode îlotage. Un tel

changement souligne la grande capacité de Sandworm à exploiter les vulnérabilités et à coordonner les

attaques à grande échelle.

Jusqu'à présent les périphériques étaient avant tout visés par des botnets de type Mirai pour des attaques

par spam et DDoS. Ce sont désormais des acteurs plus avertis qui les exploitent pour des opérations

précises. Ils servent de support de communication pour d'autres campagnes, de points d'accès de départ

pour infiltrer les réseaux pour perturber leurs infrastructures d'origine. Cette stratégie, initialement

développée par des acteurs étatiques pour obtenir un accès discret, a été ensuite adoptée par des

attaquants motivés par l’appât du gain. Ils utilisent désormais une gamme variée d'outils disponibles pour

leurs opérations. Ce ciblage précis des périphériques s'est avéré efficace pour attaquer des cibles

majeures et éviter de se faire repérer pendant de longues périodes. Sans correctifs appliqués à temps et

sans systèmes de surveillance et de détection adéquats, notamment pour les périphériques, les terminaux

de réseau grand public resteront extrêmement vulnérables. Nos solutions de sécurité et nos capacités de

surveillance doivent évoluer en même temps que le paysage des menaces.

Face à la menace croissante de l’exploitation des périphériques, nous devons ajuster nos stratégies de sécurité et renforcer notre infrastructure de protection contre les cyberattaques.

En 2024, les entreprises devront absolument suivre les conseils donnes dans cette section pour se protéger des attaques sophistiquées contre des périphériques.

ELI SMADJA

Security Group Manager

Check Point Sotware Technologies

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 37

L'hacktivisme et les wipers associés à des États : une nouvelle réalité

La nature de l'hacktivisme, qui utilise les cyber-attaques pour promouvoir des intérêts socio-politiques, a

considérablement évolué ces dernières années. Originellement organisé par des militants et des groupes

peu structurés, il a progressivement basculé vers une implication substantielle des pouvoirs publics.

Dans sa forme actuelle, une part importante des cyberactivités est menée par des groupes d’hacktivistes

affiliés à des États. Ces groupes servent de vitrines et médiatisent les résultats des activités menées par

les unités de lutte contre les menaces persistantes avancées (APT) des États-nations. C'est sous le

couvert de groupes hacktivistes que les États-nations peuvent faire croire à un soutien du peuple, se

dissocier des attaques et éviter les ripostes.

L'utilisation croissante de wipers pour perturber au maximum les opérations fait partie de ce nouveau

modus operandi. Ces tendances ont marqué la guerre entre la Russie et l'Ukraine et se poursuivent dans

le conflit entre Israël et le Hamas. Malgré l'intensité de ces activités et les importantes ressources

investies, leur véritable impact sur la dynamique de la guerre fait débat.

Anonymous Sudan, un groupe apparu au début de l'année 2023 et fréquemment associé à la Russie, s'est

activement attaqué à des entités occidentales sous prétexte qu'elles soutenaient des idées islamiques. Ce

groupe a effectué de nombreuses attaques par déni de service distribué (DDoS) dans le monde entier et ont

eu un impact sur des infrastructures essentielles et plusieurs autres secteurs.

Parmi les cibles très médiatisées d'Anonymous Sudan figurent les infrastructures et les sites internet

d'entreprises telles que Microsoft, Twitter (X), Telegram et Scandinavian Airlines. En une seule année

d'existence, Anonymous Sudan a organisé quelques-unes des attaques DDoS les plus réussies jamais

enregistrées, dont une offensive de grande envergure contre les services de Microsoft. Le groupe collabore

avec des organisations affiliées à la Russie, comme Killnet, et participe notamment à des cyberactivités

liées à la guerre entre la Russie et l'Ukraine, ainsi qu'à des entités anti-occidentales.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 38

Contrairement à d'autres collectifs d'hacktivistes, Anonymous Sudan utiliserait une infrastructure de

serveurs en location pour ses attaques, suggérant qu'il a accès à des ressources financières

conséquentes. Ces caractéristiques, combinées à une préférence marquée pour l'anglais et le russe et à

une utilisation limitée de l'arabe (bien que langue officielle du Soudan) ont conduit les chercheurs à

soupçonner un lien avec la Russie ou un soutien de sa part.

En décembre 2023, une attaque destructrice, la plus importante depuis le début de la guerre entre la

Russie et l'Ukraine, a frappé le plus grand opérateur de réseau mobile d'Ukraine, Kyivstar. Le groupe

d'hacktivistes Solntsepyok, jusqu'alors peu connu, a revendiqué cette attaque. L'Ukraine associe cette

activité hacktiviste au groupe APT Sandworm, dirigé par les services de renseignement militaire russes.

L'attaque aurait complètement détruit le cœur de l'opérateur de télécommunications.

Depuis les dernières années, l'Iran a considérablement développé et utilisé ses cybercompétences, et

s'est particulièrement investi dans des opérations d'influence cybernétiques. Cette tendance s'est

intensifiée avec la guerre entre Israël et le Hamas. Contrairement à l'hacktivisme lié à l'État russe, qui se

concentre principalement sur les attaques par DDoS, les groupes hacktivistes associés à l'Iran ont adopté

une approche plus agressive et technologiquement plus avancée, axée sur la destruction, le piratage et

les fuites de données.

Depuis toujours, l'Iran a financièrement soutenu le Hamas, un soutien qui s'est intensifié depuis le début

de la guerre, le 7 octobre 2023. Conformément à la stratégie de la Russie, l'Iran a déployé des

cyberforces « hacktivistes » pour se lancer dans la cyberguerre.

Le groupe KarMa, affilié à l'Iran, a ouvert sa chaîne Telegram en anglais le 8 octobre et a rapidement

attiré l'attention avec plus de 10 000 abonnés. KarMa fait office de cyberpersonnage, une sorte de

couverture en ligne pour le ministère iranien du renseignement et de la sécurité (MOIS) qui gère l'APT

« Scarred Manticore », le Dev-0842 et plusieurs autres groupes. KarMa diffuse sur son canal Telegram

des informations collectées lors d'intrusions dans des entités israéliennes via des opérations

d'espionnage de Scarred Manticore. Certaines de ces violations ont été accompagnées d'attaques par

wiper, qui ont fait subir des dommages dans les infrastructures des entreprises touchées. Le wiper

spécialisé Linux et Windows déployé, appelé « BiBi-Wiper » en référence au Premier ministre israélien

Benjamin Netanyahu, a été attribué à Dev-0842. Cette opération est typique de la recrudescence des

malwares de destruction, qui sont devenus une nouvelle norme dans les opérations d'hacktivisme.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 39

Le même modus operandi a déjà été utilisé par des acteurs affiliés à l'Iran contre des entités du

gouvernement albanais en 2022. Pendant une série d'attaques, un cyberpersonnage surnommé

« Homeland Justice » a exploité un canal Telegram et un site internet spécialisés qui ont servi à faire

fuiter des contenus d'entités gouvernementales albanaises dont les systèmes ont été violés et ont subi

des attaques par wiper. Les attaques ont été exécutées par des acteurs affiliés au MOIS, parmi lesquels

Scarred Manticore et Dev-0842. Ce schéma d'utilisation de cyberpersonnages et de canaux de

communication spécifiques pour divulguer des contenus et lancer des attaques par wipers correspond à

une stratégie cohérente employée par ces groupes affiliés à l'Iran. En décembre 2023, le « Homeland

Justice » iranien a repris ses activités en lançant une nouvelle vague de cyberattaques contre des entités

albanaises majeures.

Un autre groupe APT affilié au MOIS iranien, connu sous le nom d'Agrius ou DEV-0227, a lancé une

attaque indépendante contre un hôpital israélien Ziv, à la fin du mois de novembre 2023. Si Agrius a

l’habitude de déployer des wipers souvent maquillés en ransomware, l'attaque contre Ziv n'aurait pas

réussi à perturber le réseau de l'hôpital bien que des informations sensibles aient été dérobées. Tout

comme KarMa, les données volées ont ensuite été publiées sur la chaîne Telegram et le site internet d'un

autre cyberpersonnage nommé Malek Team, lui aussi apparu dès les premiers jours du conflit.

Cyber Toufan Operations, un autre cyberpersonnage affilié à l'Iran apparu récemment, a été créé en

novembre 2023 et possède une chaîne Telegram en arabe et en anglais. Ce groupe a divulgué des

informations obtenues auprès de diverses entreprises israéliennes après la violation d'un service

d'hébergement israélien. À l'instar des incidents précédents, cette attaque a donné lieu à un vol de

données et à un malware destructeur. D'autres groupes hacktivistes affiliés à l'Iran, dormants mais

réactivés au cours du conflit actuel, tels qu'AlToufan et Moses Staff, sont attribués au Corps des gardiens

de la révolution islamique (IRGC).

Une grande partie de ces cyber-opérations se concentre sur la guerre de l'information et la guerre

psychologique. Leur objectif principal est de faire connaître des cyber-attaques soi-disant réussies et de

montrer ainsi les vulnérabilités des victimes ciblées.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 40

Les auteurs de ces menaces exagèrent souvent la portée des opérations de destruction qu'ils ont

réellement menées et publient même des informations ou des données fausses sur ces attaques. Cyber

Av3ngers, un groupe qui sert de couverture à des activités associées à l'Iran, a publié des détails sur des

attaques remontant à 2022, dont certaines avaient été perpétrée par d'autres groupes.

Cette stratégie qui consiste à mélanger de véritables signalements de violations avec des signalements

montés de toutes pièces est également employée par plusieurs autres groupes en ligne, dont celui connu

sous le nom de Soldiers of Solomon, étroitement lié aux Cyber Av3ngers. Ces groupes s'intéressent

principalement aux contrôleurs logiques programmables (PLC) et aux caméras IOT. Cyber Av3ngers et

Soldier of Solomon ont tous deux été officiellement attribués au Corps des gardiens de la révolution

islamique (IRGC).

À l'instar des cyberopérations russes lors du conflit en Ukraine qui se sont multipliées quelques mois

après le début de la guerre pour cibler d'autres pays occidentaux, et plus particulièrement les États

membres de l'OTAN, les cyberactivités iraniennes ont elles aussi ouvert leur champ d'action vers l'ouest.

Cyber Av3ngers a par exemple ciblé des écrans de contrôle numériques de fabrication israélienne, et a

ainsi infiltré plusieurs installations de distribution d'eau aux États-Unis et en Irlande.

Si l'on se réfère aux schémas observés dans le conflit ukrainien, force est de constater que les

cyberactivités de ce jeune conflit n'étaient pas uniquement le fait de groupes hacktivistes affiliés à des

États. Au cours des premières semaines de la guerre entre Israël et le Hamas, le paysage de la

cyberguerre a vu de nombreux groupes hacktivistes régionaux, majoritairement affiliés à l'islam,

intensifier leurs activités et des centaines de nouveaux groupes hacktivistes anti-israéliens se former.

Ces groupes ont principalement émergé sur Telegram. Les opérations conduites par ces entités

hacktivistes classiques ont essentiellement concerné des attaques DDoS mineures et des dégradations de

sites internet. L'impact de ces opérations était généralement mineur, se résumant principalement à des

captures d'écran partagées sur les canaux Telegram. Cela étant, d'importantes attaques DDoS ont été

observées au début du conflit. Les sites internet israéliens ont été confrontés à un ciblage intense.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 41

Face à cette situation, les groupes hacktivistes appartenant à la Russie n'ont pas gardé leur neutralité. Le

groupe Anonymous Sudan a notamment revendiqué plusieurs cyber-attaques contre Israël. Ils ont

notamment frappé l'application israélienne officielle utilisée pour les alertes de missiles pour la population

civile, et une attaque qui a mis hors service le domaine numérique du Jerusalem Post, l'un des principaux

journaux israéliens anglophones.

L'hacktivisme a évolué à un point tel que les groupes associés à des États dominent désormais une grande

partie des cyberactivités importantes. Malgré ce regain d'implication de la part de gouvernements hostiles

et l'accent plus marqué sur la destruction et la perturbation des activités, la réelle efficacité de ces cyber-

opérations reste sujette à controverse. Une part importante de ces activités passe souvent inaperçue dans

les médias grand public, éclipsée par les informations conventionnelles sur les conflits armés.

Ces cyberactions ne provoquent donc souvent qu'une réaction très limitée de la part de l'opinion publique.

Compte tenu de leur impact peu visible, on peut se demander si les ressources allouées à ces cyber-actions

sont justifiées. Pour déterminer le rôle qu'elles joueront à l'avenir dans les stratégies militaires modernes, il

sera essentiel d'évaluer en permanence l'efficacité de ces cyber-opérations qui ont le soutien d'un État.

« Connaitre son ennemi » dans le contexte de la cyberguerre, est devenu incroyablement difficile car les hacktivistes cachent souvent leurs réelles motivations.

OMER DE MB I NS K Y Data Research Group Manager,

Check Point Software Technologies

Les gouvernements et les entreprises sont tous deux vulnérables à leurs attaques, dont la fréquence et l’intensité dépendent des évènements géopolitiques.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 42

Des jetons visés par une attaque: le talon d’Achille du Cloud

Dans le sillage de la pandémie de COVID-19 et de la transition qui s'en est suivie vers le télétravail, les

différences entre les actifs sur site et les actifs hébergés dans le cloud se sont considérablement

estompées. Pour que les utilisateurs puissent accéder aux systèmes à distance, les services

d'authentification doivent être suffisamment robustes pour garantir une connexion sécurisée.

La popularité des mécanismes d'authentification unique (SSO) pour les applications tierces a contribué à

augmenter l'exposition potentielle. En effet, un seul point de défaillance suffit pour accéder à des services

multiples. Pour éviter ou limiter le vol et le bourrage d'identifiants, les entreprises ont renforcé leurs

protocoles de sécurité et imposé des méthodes d'authentification plus robustes, telles que

l'authentification multifactorielle (MFA). Mais les acteurs de la menace ont à leur tour développé des

stratégies pour contourner ces mesures de sécurité plus strictes, et ce principalement en exploitant des

jetons d'accès volés lors de sessions déjà authentifiées. Ces tactiques sont employées par des acteurs

étatiques ainsi que par des cybercriminels motivés par l'appât du gain.

Contrairement aux attaques Man-in-the-Middle dont il a été question précédemment (qui utilisent

généralement des frameworks tels qu'Evilginx pour intercepter les communications entre la victime et le

fournisseur de services et compromettre les identifiants et jetons de l'utilisateur), la majorité de ces

attaques récentes consistent à récupérer des jetons directement auprès de fournisseurs de services tiers

ou de services cloud.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 43

La gestion des accès et le nettoyage des données sensibles sont un véritable défi, en particulier lorsqu'il faut

traiter de grandes quantités de données. Il arrive ainsi que des jetons d'accès soient exposés par

inadvertance, même au sein de structures professionnelles. En septembre 2023, Microsoft a

malencontreusement utilisé un jeton SAS Azure non restreint pour partager un compartiment de données

d'entraînement à l'IA en open-source, qui a exposé accidentellement 38 téraoctets de données dont des

informations sensibles, des clés privées et des mots de passe.

En règle générale, les attaquants ont plus de mal à pénétrer dans les systèmes de réseau. Au cours d'une

cyberattaque complexe découverte en juillet, le groupe APT chinois connu sous le nom de Storm-0558 a

réussi à compromettre plusieurs comptes e-mail appartenant à au moins 25 entreprises, dont plusieurs

agences fédérales américaines. Pour ce faire, il s'est servi d'une clé de signature de consommateur de

compte Microsoft (MSA) qui a été volée. Cette clé, qui fait partie intégrante de l'infrastructure de sécurité de

Microsoft, permet de signer numériquement et d'authentifier des jetons lorsque les utilisateurs se

connectent à leur compte Microsoft. Microsoft a découvert que l'attaque a très probablement commencé par

la compromission du compte d'un de ses ingénieurs, et que les attaquants ont ainsi pu accéder à

l'environnement de débogage de l'ingénieur en question. Les attaquants ont localisé une clé MSA qui avait

été laissée par inadvertance dans un crash dump non nettoyé. Cette clé a ensuite été utilisée pour générer

de faux jetons d'authentification pour Outlook Web Access et Outlook.com, qui ont permis d'accéder sans

autorisation à plusieurs comptes clients. Chose étonnante, la clé compromise date d'avril 2021.

Ce type d'attaque ne concerne pas uniquement les fournisseurs de services cloud. Elles visent également

les fournisseurs de services gérés, les sociétés d'authentification et toutes les entités susceptibles de

posséder des jetons d'accès et des informations sensibles connexes. En octobre 2023, Okta, un acteur

majeur de la chaîne d'approvisionnement en identité et en authentification, a été victime d'une importante

faille de sécurité qui a affecté l'ensemble de sa base d'utilisateurs. À l'origine de la violation, des identifiants

volés, qui ont permis un accès non autorisé au système de gestion du service client d'Okta. Les fichiers

téléchargés par les clients, dont les fichiers d'archives HTTP (HAR) qui contiennent des données

importantes telles que les cookies et les jetons de session, ont également été compromis lors de cet accès.

S'ils ne sont pas nettoyés avant d'être téléchargés, ces artefacts compromis peuvent être utilisés pour se

connecter à des sessions système ou les détourner.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 44

Plus tard, des clients ont signalé que leurs artefacts volés avaient servi à tenter d'obtenir un accès non

autorisé à leurs systèmes. Okta avait déjà été victime d'une grave violation en 2022.

Parfois, les cybercriminels utilisent les services de collaboration dans le cloud, comme Microsoft Teams,

pour mener des attaques d'ingénierie sociale. En août 2023, Microsoft a signalé un incident concernant un

groupe APT russe connu sous le nom de Midnight Blizzard. Ce groupe a utilisé MS Teams pour contourner

les procédures d'authentification multifactorielle (MFA) et obtenir des jetons d'utilisateur. Dans un premier

temps, Midnight Blizzard a infiltré les locataires Microsoft 365 de petites entreprises en créant de

nouveaux domaines au sein de ces locataires et en se faisant passer pour des équipes d'assistance

technique. Ces domaines ont ensuite été utilisés dans des tentatives de phishing envoyées via Microsoft

Teams, où les attaquants ont cherché à obtenir des codes MFA auprès des utilisateurs des entreprises

externes.

Selon la méthode d'attaque, les pirates envoyaient des messages et des demandes de chat via Teams, et se

faisaient passer pour des membres du service technique ou de l'équipe de sécurité. Ils ont convaincu les

utilisateurs d'entrer un code spécifique dans leur application Microsoft Authenticator. Les auteurs de

l'attaque ont ainsi pu accéder aux comptes Microsoft 365 des utilisateurs et effectuer d'autres activités non

autorisées.

Les cyberattaques qui utilisent des jetons volés s'inscrivent dans une approche descendante, comme l'ont

montré les attaques contre Microsoft et Okta, où la compromission des fournisseurs de services a permis

d'accéder aux systèmes de leurs clients. L'attaque peut aussi être ascendante, et commencer par

l'intrusion dans le système d'un client. Dans ce scénario, la localisation des jetons et des données

sensibles permet à l'attaquant de pénétrer dans les services cloud et de se déplacer plus facilement

latéralement dans le réseau de la victime.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 45

Une grande université israélienne a été le théâtre de ce genre d'attaque. Au cours de cette attaque, des

acteurs liés au gouvernement iranien ont infiltré une université réputée, le Technion, l'Institut de

technologie d'Israël. Les attaquants ont réussi à accéder au site grâce à une vulnérabilité non corrigée et

ont fini par se connecter à un compte privilégié qui avait accès à l'agent Azure AD. Puis ils ont extrait les

identifiants en clair d'un compte Azure AD à accès privilégié. Ils ont ainsi pu semer le chaos dans

l'environnement Azure, et supprimer des grappes de serveurs, des postes virtuels, des comptes de

stockage, etc.

Gérer l'infrastructure du cloud à distance amène son lot de défis en termes de vérification d'identité et de

sécurité. Force est de constater que la sécurité du cloud est encore plus vulnérable qu'on ne le pensait.

Les acteurs des menaces évitent de plus en plus les utilisateurs finaux et visent directement les

fournisseurs de services dans le cloud. Pour faire face à ce phénomène inquiétant, toutes les parties

prenantes doivent réagir de manière concertée. Intégrer des méthodes exhaustives de nettoyage des

données s'avère essentiel pour garantir une sécurité robuste dans les environnements cloud, au-delà de la

gestion traditionnelle de la configuration et de l'authentification multifactorielle.de l'authentification

multifactorielle (MFA).

Plus l’espace des services cloud se développe, plus on constate de nouveaux risques pour la sécurité.

Les évènements de l’année dernière confirment bien le besoin de nouvelles méthodes pour répondre aux défis de la sécurité dans le cloud computing.

Il est urgent de trouver des solutions adaptées pour dissuader les acteurs de la menace de s’en prendre aux utilisateurs et aux fournisseurs de services.

L OTE M F I NKE L S TE E N

Director, Threat Intelligence & Research

Check Point Software Technologies

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 46

Malware d'installation PIP : des référentiels logiciels attaqués

Depuis des dizaines d'années, les développeurs de logiciels utilisent des packages et des bibliothèques de

logiciels tierces pour raccourcir les cycles de développement. Aujourd'hui, les plateformes de gestion de

packages open-source telles que PyPi, NPM, NuGet et RubyGems sont devenues incontournables et

permettent d'accéder facilement à un trésor de packages logiciels, quels que soient les besoins et le but

recherchés. Malheureusement, comme c'est souvent le cas avec les plateformes à succès, les acteurs

malveillants trouvent des moyens de les exploiter à leur avantage.

Les packages malveillants ont toujours suscité des inquiétudes en matière de sécurité, surtout dans les

environnements professionnels. Depuis un an, on observe une forte recrudescence des malwares diffusés

via les plateformes de packages open-source, tandis que rien qu'au premier trimestre 2023, on a recensé

environ 6 800 packages malveillants. Plusieurs centaines de milliers d'utilisateurs ont téléchargé ces

packages malveillants pendant toute l'année. Les cinq principales campagnes de distribution de packages

malveillants de l'année ont à elles seules entraîné 300 000 téléchargements et infections potentielles.

Les fichiers .py de Python sont actuellement à l'origine de 7 % des malwares téléchargés sur Internet,

contre 3 % seulement dans notre précédent rapport annuel. Ces attaques exploitent plusieurs vecteurs

classiques, dont le typosquattage des noms et le brandjacking de packages ainsi que les attaques de type «

dependency confusion ». Il est donc important de vérifier la légitimité du code, surtout quand il est écrit par

des développeurs inconnus.

Pendant le processus de développement du logiciel, les programmeurs utilisent souvent des packages

préexistants qui renferment des éléments pertinents à partir de sources de partage de code. Cette pratique

très répandue présente plusieurs avantages, dont celui de réduire le temps pour écrire le code et trouver des

solutions aux problèmes compliqués. Dans la plupart des cas, le code préexistant est efficace et a déjà été

testé pour détecter les bogues et les exceptions. Il est par conséquent possible d'accéder à de nombreuses

bibliothèques et packages open-source dans tous les langages de programmation.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 47

L'utilisation de bibliothèques et de packages open-source soulève plusieurs problèmes de sécurité que des

acteurs malveillants pourraient exploiter. Compte tenu de la nature des bibliothèques open-source,

n'importe qui peut contribuer et télécharger son code, d'où la difficulté de tracer et de vérifier le code

partagé. PyPI (Python Package Index), principal référentiel de packages logiciels pour le langage de

programmation Python, en est un excellent exemple. Bien qu'il y ait eu des tentatives récentes pour

atténuer ces menaces, PyPI repose largement sur les signalements des utilisateurs pour assurer la

sécurité des packages. Il arrive souvent que les packages malveillants soient téléchargés des centaines de

fois avant d'être signalés et supprimés.

La grande majorité des programmeurs ne vérifient pas l'intégrité du code open-source avant de l'ajouter au

leur. Comprendre le flux d'un code écrit par quelqu'un d'autre est loin d'être évident, surtout s'il contient

des milliers de lignes. Très souvent, les programmeurs ne sont pas conscients de tous les risques de

sécurité liés à un morceau de code, et même s'ils l'examinent, ils peuvent passer à côté d'artefacts

malveillants.

Ces composants malveillants peuvent infecter les réseaux cibles, voler et exfiltrer des informations

sensibles comme les mots de passe et les informations sur les cartes bancaires, et télécharger d'autres

composants de malware.

Créer un package open-source malveillant est souvent simple et peut avoir un réel impact. Dans ce

scénario d'attaque, la menace ne se limite pas au développeur qui télécharge le package malveillant, mais

s'étend également à ses clients qui utilisent ses logiciels en toute confiance. On parle donc d'une attaque de

la chaîne d'approvisionnement logicielle.

Au fil des ans, les acteurs de la menace ont mis au point plusieurs vecteurs d'attaque importants pour les

plates-formes de packages logiciels open-source. Les spécialistes de la sécurité ont prouvé que ces

vecteurs étaient réalisables. Le vecteur le plus courant concerne le typosquatting. Dans ce type d'attaque,

l'acteur malveillant publie des packages malveillants sous des noms mal orthographiés ou des variantes de

packages légitimes classiques, et attendent qu'un utilisateur les télécharge involontairement la version

malveillante. Les packages sont habituellement installés à l'aide d'une commande telle que

« package_manager_name install package_name » par exemple, « npm install async ». Par conséquent,

une petite erreur dans le nom du package peut aboutir sans le savoir à l'installation d'un package

malveillant.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 48

En juin 2023, des chercheurs ont découvert une campagne contenant plus de 160 packages Python

malveillants qui avaient été téléchargés plus de 45 000 fois. L'acteur de la menace a téléchargé des

packages Python qui imitaient certains des packages les plus courants. L'un d'entre eux était un package

malveillant appelé « reaquests », conçu pour imiter le package Python « requests » largement utilisé pour

les opérations de requête HTTP par des millions d'utilisateurs. Ce ne sont pas seulement les bibliothèques

Python qui sont visées, mais tous les référentiels qui utilisent le partage de code open-source. Le

référentiel NuGet, un gestionnaire de package open-source et un système de distribution de logiciels pour

les bibliothèques .NET, a permis de lancer une importante campagne de typosquatting. Les packages

frauduleux ont été téléchargés plus de 150 000 fois en un mois avant d'être retirés du référentiel NuGet. Les

packages malveillants contenaient un script PowerShell qui était exécuté au moment de l'installation et

déclenchait le téléchargement d'une charge utile au second stade. La charge utile finale était un voleur de

crypto-monnaie personnalisé appelé « Impala Stealer », conçu pour voler les identifiants des utilisateurs

sur les plateformes d'échange de crypto-monnaies.

Les cybercriminels ne se limitent pas à exploiter les fautes de frappe pour diffuser des packages

malveillants. Dans le cas du « package brandjacking », l'auteur de la menace crée des packages

malveillants qui ont le même nom que les packages légitimes dans l'espoir d'inciter les utilisateurs à les

télécharger.

Lors d'une récente attaque contre des Mac, les auteurs de la menace ont créé une version malveillante de

la bibliothèque de cryptographie Cobo Custody Restful pour déployer des malwares. La version malveillante

portait le même nom que la version légitime et était stockée dans le registre PyPI. Les cybercriminels ont

abusé du fait que ce package ne soit pas distribué officiellement via le registre PyPI et qu'il soit uniquement

distribué via GitHub. À défaut de spécifier explicitement la destination de l'installation, le gestionnaire pip

install donne la priorité à la version PyPI malveillante plutôt qu'à celle, légitime, de GitHub.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 48

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 49

Il n'y a pas que les gestionnaires de package qui sont exploités. Les acteurs de la menace cherchent à

compromettre les comptes légitimes existants qui hébergent du code open-source, tels que GitHub, afin

d'ajouter des codes malveillants à des packages légitimes. Des chercheurs ont démontré que cette méthode

permettait de prendre le contrôle d'un package NPM courant, avec plus de 3,5 millions de téléchargements

par semaine grâce à un nom de domaine expiré associé à l'un des mainteneurs du package. Le domaine

récupéré leur a permis de réinitialiser le mot de passe GitHub, et donc de publier des versions Trojanisées

des packages NPM.

À la différence du brandjacking de package, les attaques par confusion de dépendances visent le

gestionnaire de package et non pas l'utilisateur. La vulnérabilité exploitée par l'auteur de la menace

concerne la manière dont de nombreux gestionnaires de packages téléchargent les dépendances pendant la

création d'un logiciel. L'attaquant publie un package qui porte le même nom qu'un package connu sur un

référentiel public, mais le package original se trouve dans un référentiel privé. Le script d'installation du

logiciel est ainsi détourné pour extraire des fichiers de code malveillant. Un rapport de recherche réalisé en

avril 2023 indique que 49 % des entreprises sont à la merci de ce vecteur d'attaque.

Au début de l'année, des chercheurs en sécurité ont découvert que PyTorch avait été compromis. Il s'agit

d'un cadre d'apprentissage automatique largement utilisé et développé par Meta Platforms. Cette attaque a

été déclenchée lorsqu'un acteur de la menace a téléchargé un package malveillant sur le référentiel PyPI

avec le même nom et un numéro de version plus récent que le package légitime, d'où une confusion dans

les dépendances. Elle a touché des milliers de machines et a permis le vol d'informations.

Les packages open-source malveillants sont exploités à la fois par des acteurs de la menace prolifiques et

par des acteurs commandités par des nations. L'attaque suivante a été attribuée au groupe nord-coréen

Lazarus, dont le nom est tristement célèbre. En août 2023, le groupe a téléchargé plusieurs packages

malveillants sur le référentiel PyPI. Un des packages a été déguisé en module de connexion VMware

vSphere nommé « vConnector ». Un autre package imitait « prettytable », un outil Python courant utilisé

pour afficher des tableaux dans un format ASCII attractif. La version légitime est téléchargée plus de 9

millions de fois par mois, tandis que la version malveillante « tablediter » a été téléchargée 736 fois. Les

chercheurs de Check Point ont par ailleurs constaté, sur des forums clandestins russophones, la diffusion

de malwares conçus spécifiquement pour le registre PyPI. Ainsi, les attaquants peuvent lancer des attaques

malveillantes facilement, et ce sans préavis.

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 50

La propagation de packages malveillants dans les référentiels de logiciels open-source est une

préoccupation majeure qui exige une vigilance constante et des mesures proactives des développeurs et

des utilisateurs. Bien que les avantages des logiciels open-source soient évidents, la vague d'attaques

telles que le typosquatting, le brandjacking et la confusion des dépendances trahit les limites de ces

plates-formes. Les plateformes de gestion de package telles que PyPi, NPM et NuGet sont faciles à

exploiter, preuve qu'il est urgent d'améliorer les protocoles de sécurité et les méthodes de vérification du

code. Les développeurs doivent accorder la priorité à la sécurité pour protéger les utilisateurs contre les

conséquences de ces infiltrations malveillantes.

ORI ABR AM O V S K Y

Head Of Data Science, Check Point Software

Technologies

Les référentiels de logiciels comme et NPM ont vu une forte augmentation des attaques malveillantes, avec 6 800 cas signalés au premier trimestre 2023. Les utilisateurs doivent donc renforcer la sécurité et revoir le code pour se protéger des menaces telles que le typosquatting, le brandjacking et la confusion des dépendances.

Figure 2: Un malware PyPI distribué sur un forum clandestin

CHAPITRE 3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 51

ANALYSE GLOBALE

0

0 4

CHAPITRE 4

CATÉGORIES DE CYBERATTAQUE PAR RÉGION

DANS LE MONDE

MALWARE POLYVALENT

INFOSTEALERS

RANSOMWARE

CRYPTOMINERS

MOBILE

Figure 3 : Pourcentage de structures victimes d'un type de malware dans le monde en 2023.

AM ÉR IQUES

MALWARE POLYVALENT

INFOSTEALERS

RANSOMWARE

CRYPTOMINERS

MOBILE

Figure 4: Pourcentage de structures victimes d'un type de malware sur le continent américain en 2023.

8%

9%

9%

12%

31%

10%

6%

27%

9%

7%

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSECURITE 2024 52

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 53

CHAPITRE 4 2

CATÉGORIES DE CYBERATTAQUE PAR RÉGION

EMEA

MALWARE POLYVALENT

INFOSTEALERS

RANSOMWARE

CRYPTOMINERS

MOBILE

Figure 5 : Pourcentage de structures victimes d'un type de malware dans la région EMEA en 2023.

APAC

MALWARE POLYVALENT

INFOSTEALERS

CRYPTOMINERS

RANSOMWARE

MOBILE

Figure 6 : Pourcentage de structures victimes d'un type de malware dans la région APAC en 2023

8%

11%

13%

15%

35%

5%

8%

10%

12%

32%

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSECURITE 2024 53

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 54

CARTE DE L'INDICE MONDIAL DES MENACES

Cette carte représente l'indice de risque de cybermenace global et fait apparaître les

principales zones à risque dans le monde.*

* Plus foncé = risque plus élevé

* Gris = données insuffisantes

Figure 7: Carte de l'indice mondial des menaces

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSECURITE 2024 54

CHAPITRE 4

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 55

Education / Recherche 2046 (-12%)

Gouvernement / Armée 1598 (-4%)

Santé 1500 (3%)

Communications 1493 (+8%)

ISP / MSP 1286 (-6%)

Finance / Banque 1162 (+3%)

Services publics 1111 (+1%)

Commerce de details / gros 1062 (+22%)

Loisirs / hotellerie 956 (+1%)

Industrie 919 (-3%)

Consultant 837 (+21%)

SI / VAR / Distributeur 802 (-11%)

Transport 748 (-0,3%)

Assurance / Légal 740 (-23%)

Fournisseur de logiciels 652 (-13%)

Fournisseur de matériel 506 (+13%)

Figure 8 : Moyenne mondiale des attaques hebdomadaires par organisation et par secteur d'activité en 2023 [% de changement par rapport à 2022].

Les secteurs de l'éducation, de l'administration et de la santé restent des cibles privilégiées des

cyberattaques. Grâce à une meilleure sensibilisation et à un grand nombre d'attaques de grande

envergure au cours des dernières années, les protocoles de sécurité du secteur de l'éducation sont

nettement plus performants. C'est peut-être ce qui a contribué à réduire quelque peu le nombre

d'attaques contre ce secteur ces dernières années. Pourtant, le nombre de tentatives d'attaques

contre un établissement d'enseignement moyen reste supérieur à 2 000 par semaine. Certaines

attaques s'inscrivent dans le cadre de campagnes plus vastes, comme celles qui ont touché

l'université Johns Hopkins et le réseau universitaire de Géorgie, qui U par le ransomware CL0P par

l'intermédiaire du logiciel de transfert de fichiers géré MOVEit.

CHAPITRE 4

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 56

Les écoles primaires sont particulièrement vulnérables aux cyberattaques. En effet, leurs systèmes

contiennent de grandes quantités d'informations confidentielles et les investissements en matière de

cybersécurité sont moins élevés que dans d'autres secteurs. Le secteur privé, qui comprend le

commerce de détail, la fabrication en gros et les institutions financières, est plus susceptible de céder

aux demandes de rançon que les groupes du secteur public, et a enregistré des attaques de plus en

plus nombreuses au cours de l'année écoulée L'accès à ces organismes est souvent négocié sur les

marchés clandestins.

Figure 9: Messages postés sur un forum clandestin pour vendre l'accès à des entreprises de vente au détail.

En 2023, le paysage de la cybersécurité a connu une recrudescence inquiétante des attaques de ransomware

affectant plusieurs secteurs. Les attaques par ransomware représentent désormais 10 % de tous les types de

malwares détectés par les capteurs de Check Point. Cette tendance se confirme dans les données de la CPIRT

(Check Point Incident Response Team) et les publications des victimes sur les « shame sites » (sites de la

honte) de ransomware. Selon les données de la CPIRT, près de la moitié de tous les incidents de ce type

concernaient des ransomwares. Le nombre de victimes par ransomwares a atteint près de 5 000 victimes, soit

une nette augmentation par rapport aux 2 600 victimes recensées en 2022.

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 57

2018

2018 2019 2020 2021

2023

2022

EMAIL WE B

16%

84%

17%

83%

36%

64%

33%

67%

14%

86%

12%

88%

Figure 10 : Protocoles de livraison – Vecteurs d’attaque Email vs Web entre 2018 et 2023

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 58

TO P D E S TYPES DE FICHIERS MALVEILLANTS - WEB VS. EMAIL

56%

Figure 11: Web—Top des types de fichiers malveillants en 2023

69%

Figure 12: Email—Top des types de fichiers malveillants en 2023

xls* comprend les fichiers Office Excel courants tels que .xls, .xlsx, .xlsm

doc* comprend les fichiers Office Word courants tels que .doc, .docx, docm et .dot

15%

8% 7% 4%

2% 1% 1% 1% 1%

20%

3% 2% 1% 1% 1% 1% 1% 0.1%

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 59

35%

Figure 13: Types de fichiers d'archives malveillants transmis par e-mail en 2023

Les attaques par e-mail continuent d'être le principal vecteur d'infection initial. Quatre-vingt-huit pour cent

de tous les fichiers malveillants sont envoyés par e-mail, le reste est directement téléchargé sur Internet.

Les acteurs de la menace se sont adaptés aux stratégies de protection des e-mails et étudient de nouvelles

techniques de diffusion. Suite aux restrictions imposées par Microsoft sur les macros VBA d'Office dans les

fichiers émanant de sources externes désignés par la marque du Web (MotW), on observe une forte

diminution de la fréquence des fichiers Office malveillants, qui passe de près de 50 % en 2022 à 2 % en 2023.

Parmi les autres vecteurs d'attaque importants, citons les fichiers HTML et autres types de fichiers

d'archive. Les fichiers HTML, entre autres, ont connu un regain d'intérêt. Ils représentent 69 % de toutes les

pièces jointes malveillantes.

Les acteurs de la menace utilisent les fichiers HTML de plusieurs manières. Ces fichiers servent à imiter

les pages de connexion de sites internet légitimes et à voler les identifiants des utilisateurs dans des

opérations de phishing. Ils peuvent contenir des JavaScripts malveillants ou des exploits sur des

navigateurs et des plugins de navigateur non corrigés. Comme l'ont démontré de récentes recherches de

CP<R>, ces tactiques ne sont pas réservées aux criminels novices, mais sont également utilisées par des

acteurs avancés des APT. D’autres du HTML comprennent le trafic de HTML, le téléchargement

automatique de fichiers exécutables et les redirections vers des URL dangereuses. Même une utilisation

justifiée du HTML dans les e-mails est rare, les entreprises devraient penser à prendre des mesures

restrictives.

25%

9% 8%

5% 4% 3% 2% 2% 2%

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 60

On voit aussi une hausse de l'utilisation de nombreux fichiers d'archives. Le contenu de ces fichiers protégés

par un mot de passe ne sont pas détectés par de nombreux services de sécurité, ce qui en fait un vecteur

d'attaque efficace. D'autres formats comme les fichiers .img et .iso dépendent du logiciel spécifique pour les

extraire et peuvent exploiter la fonctionnalité MotW, pour se propager. Même si Microsoft a corrigé cette

fonctionnalité, d'autres fournisseurs comme 7-zip ont des politiques opt-in, qui réduisent l'efficacité du

mécanisme de protection MotW.

La hausse de la détection des fichiers .py malveillants, qui arrivent en quatrième position dans la liste des

types de fichiers malveillants les plus courants diffusés sur le web, révèle une utilisation plus répandue des

packages de codes malveillants. Vous trouverez plus de détails sur cette tendance dans une analyse plus

détaillée. La baisse régulière du nombre de fichiers exécutables en pièces jointes d'e-mails malveillants,

passé de 26 % en 2022 à seulement 3 % l'année dernière, peut être attribuée aux politiques restrictives des

entreprises, à l'intégration de mécanismes de sécurité par les fournisseurs classiques de services d'e-mail,

tels que Google et Microsoft, et à une meilleure prise de conscience de la part des utilisateurs.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 60

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 61

STATISTIQUES MONDIALES SUR LES MALWARES

Quant aux comparaisons de données exposées dans les sections suivantes, elles se fondent sur les données

extraites de la base de données Check Point Threat Cloud sur la période allant de janvier à décembre 2023.

Pour chacune des régions ci-dessous, nous présentons les malwares les plus fréquents en 2023 et le

pourcentage de réseaux d'entreprise touchés par chaque famille de malwares.

Top des familles de malware

DANS LE MONDE 11%

Figure 14: Malwares les plus courants sur le continent américain – 2023

AMÉRIQUES 10%

Figure 15: Malwares les plus courants sur le continent américain – 2023

9% 8%

7%

5% 4% 4% 4% 4%

3%

8%

4% 4%

3% 3% 3% 3% 3%

2%

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 62

EUROPE, MOYEN ORIENT ET AFRIQUE (EMEA)

11%

Figure 16: Malwares les plus courants dans la région EMEA - 2023

ASIE PACIFIQUE (APAC)

12% 12%

Figure 17: Malwares les plus courants dans la région APAC – 2023

9% 9% 8%

6% 5%

4% 4% 4% 4%

9% 9%

7% 7% 6%

5% 5% 5%

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 63

CHAPITRE 4

ANALYSE GLOBALE DES PRINCIPAUX MALWARES

En tête du palmarès de Check Point recensant les malwares les plus répandus dans le monde en 2023, on

trouve un stratagème appelé FakeUpdates. Également connu sous le nom de SocGholish, il dépend d'un

réseau de sites internet compromis pour rediriger les utilisateurs vers de fausses mises à jour de logiciels

et de navigateurs. À leur tour, ces fausses mises à jour incitent les utilisateurs à télécharger et à exécuter

un téléchargeur JavaScript qui agit comme point d'accès initial, et permet de continuer à compromettre les

utilisateurs via d'autres malwares tels que GootLoader, NetSupport et DoppelPaymer. Le réseau de sites

internet compromis a été associé à TA569, un acteur prolifique qui joue le rôle de Courtier d'accès initial

(Initial Access Broker, IAB).

On pense que TA569 offre aux autres cybercriminels un accès initial aux victimes du malware selon un

modèle de tarification « pay-per-install » (PPI), leur permettant ainsi d'exploiter les systèmes compromis

pour déployer des ransomwares. La chaîne d'infection commence lorsqu'une victime accède à un site

internet compromis, qu'elle y ait été attirée par un e-mail de phishing ou qu'elle y ait accédé directement.

Unje fois sur le site, la victime peut tomber sur de faux messages de mise à jour du navigateur, de faux tests

de Captcha ou de prétendues mises à jour de logiciels de sécurité, qui aboutissent ensuite à l'infection par le

malware.

Qbot, également connu sous le nom de QakBot ou PinkslipBot, arrive en deuxième place du classement.

Qbot est un malware Windows, un cheval de Troie bancaire découvert pour la première fois en 2008. Au fil

des mises à jour et des évolutions, il est devenu l'un des malwares les plus connus et les plus diffusés. Qu'il

s'agisse de vol de données ou d'extorsion, Qbot a causé tellement de dégâts qu'en août 2023, le FBI et le

ministère de la Justice ont lancé une campagne internationale pour démanteler le botnet, le retirer des

serveurs infectés et confisquer plus de 8 millions de dollars de revenus illégaux. En décembre, la présence

de Qbot a été repérée dans de nouvelles campagnes de phishing.

Emotet a longtemps figuré au palmarès des malwares les plus répandus de Check Point. Malgré son mode

de fonctionnement dispersé, il a infecté 4 % des réseaux d'entreprise dans le monde, essentiellement au

cours du premier trimestre de l'année. En novembre 2021, une collaboration internationale sous l'égide

d'Europol a réussi à neutraliser Emotet, mais en 2022, le malware a fait un retour discret orchestré par le

groupe de cybercriminels Mealybug, également connu sous le nom de TA542. Ce retour s'est caractérisé par

des campagnes de spam intermittentes entrecoupées de périodes de silence prolongé.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 64

CHAPITRE 4

Après que Microsoft ait limité l'exploitation des macros VBA dans les documents téléchargés,

principalement utilisées dans la campagne d'Emotet, Mealybug a continué à envisager d'autres méthodes

d'infection. En 2023, il a été aperçu alors qu'il essayait différentes techniques. En mars, le groupe a

commencé à se servir de fichiers OneNote intégrant du VBScript dans ses campagnes. Une fois le fichier

téléchargé, les victimes étaient incitées à cliquer sur le bouton « View » pour accéder au contenu du

document, et permettre ainsi le téléchargement de la DLL Emotet. Le but de cette campagne était de

coïncider avec les dates limites pour le paiement des impôts aux États-Unis.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 65

CHAPITRE 4

TO P DES MALWARES POLYVALENTS

DANS LE MONDE AMÉRIQUES

FakeUpdates

Qbot

Emotet

Mirai

Ursnif

Ramnit

Autre

FakeUpdates

Qbot

Emotet

Mirai

Glupteba

Raspberry Robin

Autre

Figure 18: Malwares polyvalents les plus courants dans le monde - 2023

Figure 19 : Malwares polyvalents les plus courants sur le continent américain - 2023

EUROPE, MOYEN-ORIENT ET AFRIQUE (EMEA) ASIE PACIFIQUE (APAC)

FakeUpdates

Qbot

Emotet

Ursnif

Mirai

Phorpiex

Autre

FakeUpdates

Qbot

Ramnit

Emotet

DarkGate

Phorpiex

Autre

Figure 20: Malwares polyvalents les plus courants dans la région EMEA—2023

Figure 21: Malwares polyvalents les plus courants dans la région APAC - 2023

23%

40%

19%

3% 3% 4%

8%

23%

38%

19%

3% 4% 5% 9%

21%

44%

17%

3% 4% 8% 3%

17%

48% 13%

6%

6% 5% 5%

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 66

CHAPITRE 4

ANALYSE GLOBALE DES MALWARES POLYVALENTS

Comme dans notre rapport précédent, nous avons fusionné deux catégories de malwares, les chevaux de Troie

bancaires et les botnets, pour les remplacer par une nouvelle catégorie unifiée baptisée « malware polyvalent » Ce

réajustement répond à l'évolution de nombreux chevaux de Troie bancaires, qui ont intégré de nouvelles

fonctionnalités.

En plus des FakeUpdates, Qbot et Emotet, évoqués dans la rubrique précédente, DarkGate, un RAT Windows

développé en Delphi, a également gagné en popularité et se distingue tout particulièrement dans les campagnes qui

ciblent les organisations de la région APAC. Durant la seconde moitié de l'année 2023, DarkGate a bénéficié d'une

grande notoriété pour sa capacité à contourner la détection des systèmes de sécurité. Contrairement à Emotet et à

Qbot, qui organisent leurs propres campagnes d'infection et vendent ensuite des accès et des infections, DarkGate a

utilisé une stratégie de vente plus directe dans un modèle de Malware-as-a-Service (MaaS). Des forums clandestins

en ont fait la publicité directement auprès d'un groupe de clients triés sur le volet et ont insisté sur ses nouvelles

capacités et sa disponibilité limitée. Les campagnes de diffusion de DarkGate, orchestrées par un large éventail

d'acteurs, font appel à de nombreuses techniques, telles que le phishing et les messages de type « Teams ».

Figure 22 : Prix et offre de DarkGate sur un forum clandestin en 2023.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 67

CHAPITRE 4

TOP DES MALWARES INFOSTEALER

DANS LE MONDE AMÉRIQUES

AgentTesla

FormBook

LokiBot

Raccoon

Ramnit

Vidar

Autre

AgentTesla

FormBook

LokiBot

Vidar

Raccoon

Ramnit

Autre

Figure 23 : Top des malwares infostealer courants dans le monde - 2023 Figure 24: Top des malwares infostealer sur le

continent américain - 2023

EUROPE, MOYEN-ORIENT ET AFRIQUE (EMEA) ASIE PACIFIQUE (APAC)

FormBook

AgentTesla

LokiBot

Vidar

Raccoon

Ramnit

Autre

AgentTesla

FormBook

LokiBot

Ramnit

Raccoon

Vidar

Autre

Figure 25: Top des malwares infostealer dans la région EMEA-2023 Figure 26: Top des malwares infostealer dans la région APAC-2023

20%

40%

19%

4% 8% 5% 5%

23% 21%

3% 4%

19% 10%

19%

20%

37%

19%

4% 5% 5%

10%

22%

33%

16% 4%

6% 8% 11%

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 68

CHAPITRE 4

ANALYSE GLOBALE DES MALWARES INFOSTEALER

Le marché des malwares infostealer fonctionne essentiellement selon un modèle de Malware-as-a-Service

(MaaS), qui fait intervenir plusieurs acteurs importants. Les fournisseurs de MaaS, au cœur de cet

écosystème, se consacrent au développement et à la maintenance du malware et de son infrastructure

opérationnelle. Les opérateurs d'infostealer, qui louent ou achètent les malwares, les déploient dans des

vagues de cyberattaques visant des plateformes victimes. Les marchés clandestins jouent un rôle

déterminant dans l'échange des données recueillies pendant ces campagnes.

L'année dernière, cet écosystème n'a connu que peu de changements. Des malwares tels qu'AgentTesla,

FormBook et LokiBot sont toujours présents. Il suffit de regarder les prix proposés sur les forums

clandestins pour se rendre compte à quel point ces infostealers sont faciles à obtenir : ils sont en effet

proposés pour des abonnements mensuels allant de 60 à 1 000 USD. Ce système de tarification échelonné

s'adresse à un large éventail d'acteurs de la menace, des néophytes aux pirates chevronnés. Il faut y ajouter

les Initial Access Brokers, qui utilisent les données achetées pour infiltrer les réseaux, et les exploitent

souvent à grande échelle grâce à des ransomwares.

AgentTesla, identifié pour la première fois en 2014, est un MaaS doté de capacités de keylogging et est l'un

des infostealers que CP<R> détecte fréquemment. Dans sa version actuelle, le malware a été perfectionné

pour voler des identifiants dans plusieurs applications, notamment des navigateurs web, des logiciels VPN,

des services FTP et des comptes clients d'e-mail. Au-delà du vol d'identifiants, les fonctions d’AgentTesla lui

permettent de récupérer des informations sur le système, de désactiver les processus anti-malware et de

capturer le contenu du presse-papiers. Il est capable d'extraire des identifiants des registres et des fichiers

de configuration du système et de transmettre ces données volées à son serveur de commande et de

contrôle (C&C). Ce malware est notamment commercialisé sur des forums clandestins par l'intermédiaire

de modèles d'abonnement peu coûteux, et est donc facilement accessible aux cybercriminels en herbe.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 69

CHAPITRE 4

TOP DES MALWARES DE CRYPTOMINING

DANS LE MONDE AMÉRIQUES

XMRig

RubyMiner

LemonDuck

Lucifer

Wannamine

Autre

XMRig

RubyMiner

LemonDuck

Wannamine

Lucifer

Autre

Figure 27 : Top des malwares de cryptomining Figure 28 : Top des malwares de cryptomining dans le monde – 2023 sur le continent américain - 2023

EUROPE, MOYEN-ORIENT ET AFRIQUE (EMEA) ASIE PACIFIQUE (APAC)

XMRig

RubyMiner

LemonDuck

Lucifer

Wannamine

Autre

XMRig

LemonDuck

Lucifer

Wannamine

RubyMiner

Autre

Figure 29 : Top des malwares de cryptomining dans la région EMEA-2023 Figure 30: Top des malwares de cryptomining dans la région APAC-2023

1% 4% 6%

1%

11%

75%

16%

5%

1% 2%

8% 69%

12% 3%

4%

8% 8% 65%

10% 6%

7%

9% 55%

13%

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 70

CHAPITRE 4

ANALYSE MONDIALE DES CRYPTOMINERS

Le cryptomining illégal a enregistré une perte de vitesse en 2023 à cause des taux de Bitcoin qui n'ont pas

retrouvé leur niveau record de 2021 et du niveau de difficulté du minage qui n'a cessé d'augmenter. En 2023,

la proportion d'entreprises mondiales touchées par les cryptominers n'était que de 9 %, comparé à 16 % en

2022. Compte tenu de l'augmentation des prix des GPU (unités de traitement graphique), certains acteurs de

la menace ciblent davantage les graphistes et les plates-formes d'ingénierie dont les capacités de GPU

permettent d'effectuer des opérations de minage. Monero continue d'être rentable en termes de minage.

Son outil open-source habituel, XMRig, a été utilisé dans 65 % des attaques de cryptomining en 2023. Les

cryptominers se mettent à rajouter des fonctionnalités malveillantes et en transforment certains comme

LemonDuck, en des menaces multifonctionnelles qui ne se cantonnent pas au minage de crypto-monnaies,

leur fonction principale. Dans certains cas, comme avec le malware StripedFly, les activités de cryptomining

pourraient juste servir de couverture à des opérations d'espionnage plus complexes.

Le cloud continue d'être une cible pour le cryptomining. En octobre, des chercheurs ont signalé une

opération qui durait depuis des années et qui exploitait des clés IAM mal sécurisées pour accéder à des

environnements cloud pour déployer des mineurs de Monero. Bien souvent, l'accès qui permet aux acteurs

de la menace d'installer un cryptominer est utilisé après coup pour d'autres opérations et d'autres

attaques. La présence de cryptominers est donc un signe avant-coureur d'un problème de sécurité plus

grave.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 71

CHAPITRE 4

TOP DES MALWARES MOBILES

DANS LE MONDE AMÉRIQUES

Anubis

AhMyth

Pandora

Joker

Hiddad

Hydra

Autre

Pandora

AhMyth

Anubis

Hiddad

Joker

Cerberus

Autre

Figure 31 : Top des malwares dans le monde - 2023. Figure 32: Top des malwares sur le continent américain - 2023

EUROPE, MOYEN-ORIENT ET AFRIQUE (EMEA) ASIE PACIFIQUE (APAC)

Anubis

AhMyth

Hiddad

Hydra

Joker

Cerberus

Autre

1% 4% 6%

1%

11%

75%

12% 3%

4%

8% 8% 65%

16%

5%

1% 2%

8% 69%

10% 6%

7%

9%

55%

13%

AhMyth

Joker

Anubis Hiddad

Cerberus

Hydra

Autre

Figure 33 : Top des malwares mobiles dans la région EMEA—2023. Figure 34: Top des malware mobiles dans la région APAC—2023.

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 72

ANALYSE GLOBALE DES MALWARES MOBILES

Les terminaux mobiles sont des cibles de choix pour les cyberattaques, car ils occupent une place

prépondérante dans notre vie quotidienne et contiennent une grande quantité de données sensibles. Outre

le stockage d'informations personnelles et bancaires, ces appareils peuvent se révéler de puissants outils

de surveillance, grâce à leurs capacités de localisation, d'enregistrement audio et de capture d'images.

Le cheval de Troie d'accès à distance (RAT) AhMyth Android est un malware open-source disponible

gratuitement sur GitHub et souvent utilisé pour des campagnes d'attaques. Pas étonnant qu'il apparaisse en

bonne place dans le classement des principaux malwares mobiles établi par Check Point. Une variante du

malware, AhRat, a été repérée dans une application armée appelée « iRecorder-Screen Recorder »

disponible dans le Google Play Store et comptant plus de 50 000 téléchargements.

Une version « propre » de l'application est disponible pour les utilisateurs d'Android depuis 2021. Les

caractéristiques malveillantes n'ont été ajoutées que plus tard. La mise à jour malveillante d'iRecorder

comprend, en plus de la fonction explicite de capture d'écran, des fonctionnalités pour enregistrer des sons

et exfiltrer des données, dont la récupération de pages web sauvegardées, d'images, d'audio, de vidéo, de

documents et de fichiers d'archives. Les fonctionnalités du spyware peuvent laisser penser à une campagne

de cyber-espionnage, chose assez fréquente dans l'univers des malwares mobiles. On peut citer par

exemple le malware Kamran Android expressément conçu pour cibler les victimes de langue ourdou au

Pakistan, ou encore le spyware Android BadBazaar exploité par l'APT alliée à la Chine.

Et comme toujours, les cybercriminels savent aussi souvent exploiter ces types de malwares à des fins

lucratives.

Le nouveau cheval de Troie bancaire Android Chameleon, par exemple, cible les applications bancaires

mobiles et de crypto-monnaie des utilisateurs australiens et européens. Une campagne similaire a été

observée en Inde, où des applications malveillantes se faisant passer pour des banques et des services

publics ont été distribuées via des plateformes de réseaux sociaux. Les ransomwares ont eux aussi fait peau

neuve dans l'écosystème Android : Les applications SpyLoan ont été diffusées via le Google Play Store à plus

de 12 millions d'utilisateurs en Asie, en Afrique et en Amérique du Sud. Le malware collectait les données

personnelles et bancaires des victimes sur leurs terminaux mobiles, dont il se servait pour les harceler et

les faire chanter pour les obliger à débourser des sommes d'argent.

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 73

R A N S O M W A R E

Dans cette section, vous trouverez des données extraites de près de 200 « shame sites » de ransomwares

qui sont exploités par des groupes pratiquant la double extorsion. 68 d'entre eux ont affiché les noms et les

informations de victimes depuis 2023. Les cybercriminels ont recours à ces sites pour faire pression sur les

victimes qui ne paient pas tout de suite la rançon. Les données fournies par ces sites de la honte sont

biaisées, mais fournissent néanmoins des informations précieuses sur l'écosystème des ransomwares, qui

est actuellement le plus grand risque pour les entreprises. Les données exposées ci-dessous ont été

compilées entre janvier et décembre 2023.

En 2023, 68 groupes de ransomwares actifs ont déclaré avoir pénétré dans les systèmes de plus de 5 000

victimes et les avoir extorquées publiquement. Ce chiffre est en nette augmentation par rapport aux années

précédentes. Les événements liés aux ransomwares se sont intensifiés au cours de l'année 2023. Au second

semestre, plus de 2 800 victimes ont été recensées, contre 2 200 au cours du premier semestre. Lockbit

s'est révélé le plus actif au cours de cette période, avec 21 % des incidents signalés, soit plus de 1 050 cas.

En règle générale, les auteurs de menaces accordent aux victimes un délai de grâce d'une à deux semaines

pour répondre à leur demande de rançon. Dans la mesure où les victimes qui s'en acquittent ne sont pas

exposées publiquement, il est fort probable que le nombre réel de victimes soit beaucoup plus élevé.

TOP DES ACTEURS DU RANSOMWARE À DOUBLE EXTORSION

Lockbit

ALPHV

CL0P

Play

8base

Bianlian

Akira

MalasLocker

Noescape

Blackbasta

Autre

Figure 35: Acteurs des ransomwares les plus actifs par nombre de victimes, selon les « shame sites » en 2023.

21%

34%

9%

7% 3%

3% 3%

6%

4% 5% 5%

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 74

ALPHV, également connu sous le nom de BlackCat, a ciblé plus de 440 victimes en 2023 et a été au centre

d'une opération des forces de l'ordre. En décembre, une opération menée par les États-Unis a permis de

démanteler les sites internet du groupe et de diffuser un outil de déchiffrement. Selon la CISA, depuis le

début de ses opérations, le groupe a fait plus de 1 000 victimes et a reçu des rançons dont le montant total

s'élève à près de 300 millions de dollars. Le groupe a depuis repris ses activités criminelles sur le Dark

Web.

CL0P est sous-représenté dans ce décompte. Début juin, CL0P a exploité une vulnérabilité de type « zero-

day » et a ainsi pu accéder au logiciel de transfert de fichiers MOVEit. Plus de 2 600 entreprises ont ainsi été

compromises. N'ayant pas divulgué l'identité de la plupart des victimes sur son « shame site », cela n'a pas

été pris en compte dans le décompte ci-dessus. CL0P a par ailleurs fait appel à d'autres méthodes pour

continuer à extorquer ses victimes. Cette année, CL0P a également utilisé des exploits de type « zero-day »

pour attaquer GoAnywhere, que nous expliquons en détail dans une autre section de ce rapport.

États-Unis 45%

Royaume Uni 7%

Canada 4%

Allemagne 4%

Italie 4%

France 3%

Australie 2%

Espagne 2%

Brésil 2%

Inde 2%

Russie 1%

Figure 36 : Victimes par pays, telles que signalées sur les « shame sites » (sites de la honte) - 2023.

.

CHAPITRE 4

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 75

La répartition géographique est la suivante : 45 % des entreprises touchées sont situées aux États-Unis, suivies

du Royaume-Uni (7 %) et du Canada, de l'Allemagne et de l'Italie (4 % respectivement). La présence de victimes

russes sur le graphique ci-dessus en 2023 peut être essentiellement attribuée à deux acteurs : MalasLocker et

Werewolves. Les cyberattaques lancées contre des entités de l'ex-Union soviétique restent relativement rares.

MalasLocker, actif au cours de la première partie de l'année 2023, a quant à lui opté pour une approche peu

conventionnelle. Les demandes traditionnelles de ransomware ont laissé place à des demandes de dons pour

des œuvres de charité.

Quand on analyse les secteurs d'activité concernés par les attaques de ransomware, les données du Check Point

Threat Cloud révèlent que ce sont surtout les secteurs de l'éducation, de l'administration et de la santé qui sont

visés. Cependant, le paysage des victimes de ransomware suggère autre chose. Les secteurs de la production et

de la vente au détail enregistrent le plus grand nombre de victimes, tandis que les entités gouvernementales et

éducatives occupent une place moins importante dans la hiérarchie des cibles. Rien qu'en décembre 2023, des

groupes de ransomware à double extorsion ont revendiqué des attaques par ransomware à l'encontre de grandes

entreprises telles que Coca-Cola Singapour (DragonForce), Nissan Motor Australia (Akira), Kraft Heinz (Snatch) et

Xerox (Inc ransom).

Ce décalage peut s'expliquer par le fait que les secteurs de l'éducation et du gouvernement sont moins enclins à

payer des rançons comparé aux secteurs de la production et de la vente au détail. Ces secteurs sont surtout visés

pour leurs données, et notamment pour leurs informations personnelles et techniques, pas pour des attaques avec

extorsion de fonds en tant que telle.

22%

Figure 37 : Répartition par secteur d'activité des victimes de ransomware, selon les « shame sites » - 2023.

Industrie

Commerce de détail/de gros 10%

Conseil 9%

Santé 8%

Education / Recherche 7%

Fournisseur de logiciels 6%

Assurance / juridique 6%

Finance/Banque 6%

Transports/ Logistique 5%

Gouvernement / Armée 4%

Loisirs / Hospitalité 3%

Communications 3%

ISP / MSP / IT 3%

Énergie / Services publics 2%

CHAPITRE 5

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 76

0 5DES VULNÉRABILITÉS MONDIALES TRÈS MÉDIATISÉES

CHAPITRE 5

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 77

La liste des principales vulnérabilités ci-dessous est basée sur les données collectées par le réseau de

capteurs du système de prévention des intrusions (IPS) de Check Point et détaille certaines des techniques

d'attaque et des exploits les plus courants et les plus intéressants observés par CP<R> en 2023.

PAPERCUT - (CVE-2023-27350)

PaperCut, un logiciel de gestion d'impression dont la base d'utilisateurs dépasse les 100 millions, présente

une vulnérabilité critique de type RCE (exécution de code à distance) avec un score CVSS de 9,8. Dévoilée

avec un correctif publié en mars 2023, cette faille peut conduire à l'exposition d'informations sensibles et à

la violation de réseaux entiers. Après sa divulgation, différents acteurs malveillants l'ont rapidement

exploitée, et ont notamment distribué les ransomwares Lockbit et CL0P. Elle a également été exploitée par

des groupes APT commandités par des États. Check Point indique que 9 % des entreprises ont été touchées

par cette vulnérabilité en 2023.

MOVEIT - (CVE-2023-34362)

Cette vulnérabilité de type injection SQL, jugée critique, découverte dans MOVEit MFT (Managed File

Transfer Software), a été exploitée au cours de la campagne de ransomware la plus prolifique de l'année

2023, avec un impact sur plus de 2700 entreprises dans le monde. La vulnérabilité a été exploitée par le

groupe de ransomware CL0P avant d'être rendue publique et utilisée pour déployer un shell web nommé

LEMURLOOT, qui a ensuite été utilisé pour voler des données dans les bases de données de MOVEit

Transfer. Face au nombre important de victimes et à la volumétrie de données acquises, CL0P a ajusté ses

tactiques d'extorsion. Au lieu de simplement chiffrer et publier les données volées sur des Torrents, le

groupe s'est tourné vers l'extorsion de données, une technique qui s'est révélée très efficace. Check Point

indique que 7 % des entreprises ont été touchées par cette vulnérabilité en 2023.

GOANYWHERE (CVE-2023-0669)

Cette vulnérabilité RCE critique dans le logiciel GoAnywhere MFT (Managed File Transfer) a été divulguée en

février 2023. Avant d'être divulguée, la faille a été activement exploitée par le gang des ransomwares CL0P,

à l'origine d'importantes violations de données dans plus de 130 entreprises. Cet incident souligne la

tendance émergente des opérateurs de ransomware qui recourent de plus en plus aux vulnérabilités de type

« zero-day » pour orchestrer leurs attaques. Check Point indique que 2,5 % des entreprises ont été touchées

par cette vulnérabilité en 2023.

CHAPITRE 5

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 78

BARRACUDA (CVE-2023-2868)

Il s'agit d'une vulnérabilité critique d'injection de commande à distance identifiée dans l'appliance

Barracuda Email Security Gateway (ESG), qui est exploitée à partir de pièces jointes malveillantes. Un acteur

APT chinois a activement exploité cette vulnérabilité dès octobre 2022 dans une campagne agressive qui a

impacté des entreprises dans le monde entier, et plus particulièrement des agences gouvernementales.

Après la publication des correctifs et les mesures de confinement mises en place, les auteurs de l'attaque

ont ajusté leurs techniques en modifiant leurs malwares pour utiliser d'autres mécanismes de persistance,

leur permettant ainsi de maintenir l'accès aux systèmes compromis. Suite à ces développements, aussi bien

Barracuda que le FBI recommandent vivement aux clients de remplacer immédiatement les équipements

ESG compromis.

MICROSOFT OUTLOOK (CVE-2023-23397)

Il s'agit d'une vulnérabilité critique d'élévation de privilèges dans Microsoft Outlook, découverte en mars

2023 avec un score CVSS de 9.8. La faille permet aux attaquants de détourner les hachages

d'authentification des utilisateurs via des e-mails spécialement conçus. La vulnérabilité a été activement

exploitée par des groupes tels que APT28, affilié à la Russie.

C ITRIXBLEED (CVE-2023-4966)

Cette vulnérabilité majeure dans les plateformes Citrix NetScaler permet à des attaquants distants non

authentifiés d'extraire des données de la mémoire du système, dont des jetons de session. Ces jetons sont

ensuite utilisés pour détourner des sessions légitimes, et contourner les procédures de mot de passe et de

MFA. CitrixBleed a été massivement exploitée par plusieurs groupes de ransomware, dont LockBit, Medusa

et Akira, car elle est facile à utiliser et propose des exploits de type POC

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 79

2023 6%

2022 14%

2021 10%

2020 7%

2019 6%

2018 10%

2017 6%

2016 6%

2015 9%

2014 8%

2013 3%

Avant 14%

Figure 38: Pourcentage d'attaques par année de divulgation en 2023.

En 2023, le paysage des cybermenaces a connu une véritable mutation, car les attaquants ont rapidement

exploité les vulnérabilités nouvellement divulguées D'après les données, les vulnérabilités signalées en

2023 ont été responsables de 6 % de toutes les tentatives d'exploitation, tandis que celles signalées en 2022

ont représenté 14 % de ces tentatives. Ces chiffres démontrent que les vulnérabilités récentes sont à la fois

plus graves et plus faciles à exploiter. De plus, elles sont adoptées et exploitées par les acteurs de la

menace à un rythme beaucoup plus rapide que les vulnérabilités plus anciennes. En revanche, les

vulnérabilités relativement récentes, divulguées entre 2021 et 2023, ont été à l'origine de plus de 30 % des

tentatives d'exploitation, soit une nette augmentation par rapport aux 17 % seulement observés en 2021

pour les vulnérabilités divulguées entre 2019 et 2021. Cette tendance marque un changement par rapport

aux pratiques antérieures de mise à jour différée, où les attaquants exploitaient des vulnérabilités plus

anciennes et non corrigées, telles que démontré par le modèle de distribution à « longue traîne » observé

les années précédentes.

CHAPITRE 5

CHAPITRE 5

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 80

40%

35%

30%

25%

20%

15%

10%

5%

0%

INFRASTRUCTURE MALVEILLANTE PAR TLD

(DOMAINE DE PREMIER NIVEAU)

Dans cette section, nous mettons en lumière les domaines de premier niveau (TLD) malveillants les plus

fréquemment repérés en 2023 grâce à notre solution ThreatCloud AI de Check Point Les domaines, qu'ils soient

utilisés pour maquiller des sites de phishing ou qu'ils servent de centres de commande et de contrôle (C&C)

pour de grands botnets, se révèlent être des éléments essentiels de l'infrastructure d'un acteur de la menace.

L'analyse des tendances liées aux différents TLD permet aux équipes de défense d'ajouter un outil

supplémentaire à leur arsenal pour évaluer les risques potentiels. Plusieurs facteurs peuvent influencer la

préférence des acteurs de la menace pour un TLD spécifique : l'entreprise ciblée dont ils veulent usurper

l'identité, la disponibilité du TLD auprès de leur registraire de domaine privilégié, ou le coût associé à

l'acquisition du TLD.

45%

Figure 39: Pourcentage de nouveaux domaines malveillants par TLD par mois 2022-2023.

La hausse sensible des nouveaux domaines malveillants en .RU, qui a commencé au début de 2022 et a atteint

près de 40 % des nouveaux domaines malveillants au début de l'invasion russe de l'Ukraine, est depuis revenue

aux niveaux enregistrés avant la guerre. Aujourd'hui, elle représente en moyenne moins de 3 % des nouveaux

domaines malveillants enregistrés chaque mois. Pendant cette période intense, les domaines en .RU ont

maintenu une position constante en troisième ou quatrième place parmi tous les TLD malveillants. Le groupe

APT Gamaredon, affilié à l'État russe, a souvent recours à des domaines .RU malveillants et est réputé pour avoir

enregistré des centaines de domaines via le registraire REG.RU au cours des dernières années.

CHAPITRE 6

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 81

0 6

APPROCHE DE L'ÉQUIPE DE RÉPONSE À

INCIDENT (CPIRT) 6

CHAPITRE 6

Cette section présente les conclusions et les données d'un grand nombre d'analyses de la CPIRT et de cas

d'atténuation, qui concernent une diversité d'utilisateurs au-delà des utilisateurs de produits de Check

Point. La CPIRT intervient généralement après avoir constaté une activité malveillante, telle que des fichiers

chiffrés par un ransomware, des compromissions d'e-mails identifiées ou la détection de fichiers ou de

processus de malware non autorisés. L'examen des premiers indicateurs de menace, communément

appelés « déclencheurs », offre une perspective alternative sur le paysage des menaces.

COMPRENDRE LES DÉCLENCHEURS D'UN INCIDENT

Les incidents déclencheurs sont les premiers signes d'une compromission qui incitent le client à faire appel

aux services de RI Le ransomware se distingue comme le facteur qui prédomine, et représente environ 30 %

de tous les déclencheurs d'incidents. La plupart du temps, les attaques de ransomware sont facilement

identifiables et perturbent gravement l'activité de l'entreprise, et appellent à une action immédiate.

Notre équipe de réponse à incident a été contactée après avoir reçu une alerte de

sécurité EDR dans l'environnement d'un client. Mimikatz, un outil bien connu de vol d'identifiants, a été pris en flagrant délit et bloqué par le système EDR. Cette activité anormale a tout de suite attiré l’attention, car elle indiquait la présence d'un intrus et qu'il tentait de s'infiltrer discrètement dans le réseau. Le client, conscient que la situation pouvait être srieuse, a sollicité l'aide de la CPIRT.

11%

3%

Ransomware Security Alert Behavioural Anomaly Suspicious Email DDoS CERT Alert Fraudulent Transaction Autre

3% 30%

6%

14%

20% 13%

Figure 40: Répartition des interventions de la CPIRT par incident déclencheur en 2023

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 82

CHAPITRE 6

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 83

Vingt pour cent des cas de la CIPRT en 2023 ont été déclenchés par une alerte émise par un produit de

sécurité dans l'environnement du client. Ce sont souvent des alertes très graves, alors que les alertes

moins graves n'exigent généralement pas la même réponse. Curieusement, les anomalies

comportementales, qui concernent toute activité inhabituelle observée par l'utilisateur courant et qui

s'écarte des modèles habituels, ont été à l'origine de 13 % des missions de réponse à incidents (RI). Ce

pourcentage élevé traduit l'importance de ces anomalies pour signaler des problèmes de sécurité

potentiellement graves. Néanmoins, il faut garder à l'esprit que les signalements d'anomalies

comportementales sont souvent moins fiables et qu'elles peuvent donner lieu à des faux positifs.

Dans le graphique ci-dessus, la catégorie des e-mails suspects correspond à toute activité suspecte d'e-

mails reçus ou envoyés. Les e-mails envoyés suspects sont extrêmement préoccupants, car ils indiquent

souvent que les e-mails ont été compromis dans l'entreprise. Si ces incidents ne sont pas détectés à

temps, ils peuvent entraîner des transferts d'argent non autorisés, autre déclencheur d'EI courant qui

concernait 3 % de nos cas en 2023.

Parmi les déclencheurs moins courants mais importants, on retrouve les alertes CERT, qui indiquent une

compromission par le CERT local. De même, la surveillance du dark web déclenche des alertes initiales

suite à la détection de mentions concernant des violations ou des offres d'achat d'un accès initial sur des

forums clandestins. Malgré leur faible prévalence, ces déclencheurs sont souvent le signe de menaces

sophistiquées et graves qui peuvent provoquer de graves dégâts si elles ne sont pas traitées rapidement.

TYPES DE « TOP ATTAQUES »

Le terme « Top Attaque » fait référence à la catégorie de l'attaque, et non à l'indicateur qui a déclenché

l'enquête. L'analyse des principaux types d'attaques montre que le ransomware est le type de menace le

plus répandu, avec 46 % des cas de RI. La Business Email Compromise (BEC), avec 19 % des cas, peut être

détectée grâce à des indicateurs tels qu'une activité d'e-mail suspecte ou des transferts d'argent

frauduleux.

Plus nous approfondissions notre analyse de l'incident, plus le mystère s'épaississait Nous avons détecté des signes d'exfiltration de données, associés à la découverte d'un RAT (Remote Access Tool) et de binaires de chiffrement sur le serveur Active Directory. Ces éléments avaient été préparés pour un déploiement massif sur le réseau, prémices évidentes d'une attaque imminente par ransomware.

CHAPITRE 6

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 84

En 2023, les attaques dont le but est de voler des identités d'utilisateurs spécifiques, comme le BEC, le

détournement de navigateur et la prise de contrôle de compte, sont encore plus fréquentes, avec une

augmentation de plus de 20 % par rapport à l'année précédente. Cette augmentation s'explique par la

dépendance croissante aux infrastructures cloud, ainsi que par la prééminence des courtiers d'accès, qui

vendent des identifiants et des accès aux entreprises.

Ransomware

Business Email Compromise

DDoS

Data Theft

Phishing

APT

Autre

8%

7%

7%

3%

10%

19%

46%

Figure 41: Répartition des cas de la CPIRT par type d'attaque en 2023.

OUTILS COURANTS UTILISÉS DANS LES ATTAQUES L'analyse de la CPIRT révèle que des outils tels que AnyDesk et TeamViewer, traditionnellement utilisés pour

des activités de télétravail ordinaires, sont de plus en plus utilisés par les acteurs de la menace pour le «

Command and Control » (commandement et contrôle).

AnyDesk a été utilisé dans 39 % des incidents que nous avons analysés cette année. Ce procédé des

cybercriminels illustre bien leur approche sournoise, qui consiste à utiliser des outils échappant à la

détection traditionnelle des malwares. Ces outils, initialement destinés à un usage légitime, sont de plus en

plus utilisés par les acteurs de la menace, d'où la difficulté de distinguer les activités classiques des

activités malveillantes sur les réseaux. En revanche, des outils malveillants connus, tels que Mimikatz et

CobaltStrike, ont été impliqués dans 26 % et 16 % des violations, respectivement.

Une enquête plus poussée sur l'incident a démontré que les attaquants avaient opté pour AnyDesk comme outil de commande à distance, leur octroyant ainsi un accès continu aux systèmes compromis. Leur accès initial n'a pas déclenché d'alerte de sécurité, laissant ainsi à l'acteur de la menace la possibilité d'opérer sans être détecté.

CHAPITRE 6

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 85

RANSOMWARE : LA MENACE PRINCIPALE Plusieurs familles émergent et sont particulièrement présentes dans le paysage des menaces de

ransomware de la CPIRT de 2023. On constate notamment que le ransomware « Royal » a rapidement

évolué pour devenir une menace majeure, à l'origine d'un nombre significatif d'incidents. Dans la plupart

des cas, le phishing a fait office de vecteur d'accès initial, le plus souvent en déployant des PDF

malveillants ou en recourant à des tactiques de phishing par rappel pour installer l'accès au bureau à

distance. De plus, les acteurs de Royal ont réutilisé des outils tels que Cobalt Strike, NSudo et

PsExec pour lancer les deuxièmes étapes des attaques.

Le ransomware ALPHV (BlackCat) a prouvé qu'il était polyvalent puisqu'il a été utilisé pour attaquer

plusieurs systèmes, dont Windows, Linux et des instances VMware. ALPHV fonctionne comme un modèle

de ransomware-as-a-Service (RaaS), qui est déployé par des entités affiliées distinctes. Nous avons donc

observé une variété de vecteurs d'entrée et de TTP avant qu'il ne soit déployé. Dans ces conditions, chaque

incident est unique et il peut être difficile de le prévoir et de s'en défendre.

TIM OTIS

Head of Global

Detection And Response

Check Point Software Technologies,

Toutes les violations ne sont pas immédiatement exploitées. Souvent la première brèche survient lorsque les acteurs malveillants exploitent les failles récemment découvertes sur les appareils disponibles sur Internet via des scanners de masse. Même après des correctifs, les webshells et autres mécanismes de persistance peuvent demeurer actifs. Ces moyens de persistance sont parfois revendus plus tard par des courtiers d'accès initiaux (Initial Access Brokers, IAB) et peuvent ressurgir des mois, voire des années plus tard, lors d'attaques ultérieures.

CHAPITRE 6

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 86

Ces vulnérabilités, et particulièrement ProxyShell et Citrix RCE (CVE-2023-3519), peuvent permettre à

des acteurs de la menace d'installer des webshells sur des appareils vulnérables connectés à Internet.

Les dispositifs visés par ces vulnérabilités, tels que les serveurs Exchange et les passerelles NetScaler,

sont souvent connectés à Internet, et constituent donc des cibles de choix. Une fois compromis, ces

appareils continuent à fonctionner comme des points de départ dormants pour l'acteur de la menace,

même après l'application d'un correctif.

Les administrateurs ont ainsi un faux sentiment de sécurité, car ils croient que les dispositifs patchés

sont sûrs, alors qu'en réalité, un acteur de la menace pourrait s'être infiltré bien avant. Au cours de nos

enquêtes de cette année, la période la plus longue constatée pour une menace latente a été de 22 mois.

Une fois les vulnérabilités corrigées, les procédures de sécurité doivent prévoir des analyses de

sécurité pour supprimer les éventuelles portes dérobées, les webshells et autres mécanismes de

persistance. Les entreprises se doivent de rester vigilantes et de surveiller toute anomalie susceptible

de révéler la présence de menaces clandestines au sein de leur infrastructure réseau.

En examinant de plus près l'incident et en essayant de localiser le vecteur d'infection initial, nous avons identifié CVE-2023-3519, une vulnérabilité d'exécution de code à distance dans les systèmes Citrix NetScaler comme étant le point de compromission initial. Cette vulnérabilité a été exploitée pour déployer un webshell sur l'appareil, et n'a pas été détectée, même après que le système ait été patché. Cette négligence a permis à l'auteur de la menace de conserver l'accès au réseau. Trois mois après l'exploitation, ce webshell a été activé par un autre acteur de la menace qui cherchait à déployer un ransomware. Heureusement, grâce à la vigilance du client et à la réaction rapide de la CPIRT, l'attaque par ransomware a été déjouée avant qu'elle ne puisse causer d'importants dégâts.

CHAPITRE 7

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 87

0 7DES IDÉES POUR LES RSSI

CHAPITRE 7

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 88

Le paysage des menaces est immense. Les technologies de cybersécurité progressent, mais avec un

budget limité, vous vous demandez sans doute comment votre entreprise devrait allouer ses ressources.

Pour vous aider à trouver la meilleure façon de faire évoluer votre infrastructure de cybersécurité cette

année, l'équipe internationale de RSSI de Check Point vous propose quelques conseils.

JONATHAN «JONI»

FISCHBEIN Global CISO, EMEA,

Check Point Software Technologies

Les ransomwares continueront à évoluer et seront de plus en plus discrets Les attaques de ransomware vont se multiplier. Elles vont continuer à toucher des entreprises de toutes tailles et à extrorquer des millions de dollars aux victimes. Mais les menaces vont surtout devenir de plus en plus discrètes.

Les entreprises adoptent de nombreux outils de sécurité, mais ils sont rarement suffisants car souvent ils sont incompatibles.

Beaucoup de professionnels de la sécurité pensent à tort que leur entreprise ne sera pas la cible d'une attaque par ransomware et ne prennent du coup aucunes mesures pour éviter que cela arrive. Ce dont elles ont vraiment besoin, ce sont de meilleurs outils de prévention et de détection.

Les entreprises doivent absolument adopter une approche globale des ransomwares et élaborer une stratégie d'atténuation. Se contenter de solutions qui les éloignent ne suffit pas.

CHAPITRE 7

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 89

DERYCK MITCHELSON

Field CISO EMEA, Check Point Software Technologies

Les entreprises vont continuer de voir les cyberattaques et les violations de données se multiplier. Elles entraîneront une multiplication des recours collectifs et des litiges dont les RSSI pourraient faire les frais.

Les litiges sont de plus en plus fréquents. Aucun doute là- dessus. Beaucoup de grandes entreprises ont été victimes de violations et ont dû débourser d'importantes sommes d'argent.

Le problème ne concernera pas uniquement les grandes entreprises. Les plus petites entreprises seront également touchées et devront probablement débourser des millions pour contenter les actionnaires et les personnes victimes. Ce nombre de recours collectifs contre les atteintes à la protection des données est vraiment inquiétant. Il a été multiplié par deux entre 2022 et 2023. D'ailleurs, d'après les conclusions d'un récent sondage, 62 % des RSSI redoutent que leur responsabilité personnelle ne soit mise en cause en cas de violation de la sécurité.

La raison ? Regardez l'affaire Uber par exemple. Le RSSI a été déclaré coupable.

CHAPITRE 7

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 90

Les cybercriminels vont se servir de l’intelligence artificielle pour s’emparer de ressources financières.

Check Point Research commence juste à attirer l'attention sur le fait que les criminels utilisent des outils et des moteurs d'intelligence artificielle non enregistrés et non surveillés dans un but dangereux pour les utilisateurs. Ces outils ne sont régis par aucune loi ni aucun règlement. Les experts en cybersécurité pourraient bientôt faire face à ce qu'on pourrait appeler des « ghostguns » ou des « armes désérialisées » utilisées contre l'IA ThreatCloud de Check Point et d'autres produits surpuissants permettent d'atténuer ce problème, mais à l'avenir, il faudra aller plus loin pour y répondre.

PETE NICOLETTI Fiels CISO, Americas, Check Point Software

Technologies

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 91

0 8L'AI : UNE DÉFENSE EFFICACE FACE AUX BATAILLES ACTUELLES DE LA CYBERSÉCURITÉ

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 92

Dans un paysage où la cybersécurité ne cesse d'évoluer, l'intelligence artificielle (IA) a bouleversé la donne

et transformé la manière dont nous prévenons, protégeons et répondons aux cybermenaces. Le potentiel

de transformation de l'IA dans ce domaine est immense, car elle offre des avantages sans précédent en

matière d'identification, d'analyse et de neutralisation des cyber-risques. Grâce à des algorithmes

complexes et à l'apprentissage automatique, les systèmes d'IA peuvent détecter rapidement des

configurations qui indiquent des activités malveillantes, souvent en identifiant les menaces bien plus

rapidement que les méthodes traditionnelles. Cette capacité est particulièrement utile à une époque où les

cyberattaques sont de plus en plus sophistiquées et fréquentes. La capacité de l'IA à s'adapter et à

appréhender les nouvelles menaces signifie qu'elle améliore constamment ses stratégies de défense, et en

fait un allié indispensable dans la lutte quotidienne contre la cybercriminalité. L'intégration de l'IA dans la

cybersécurité permet à la fois d'améliorer l'efficacité des mesures de sécurité et de réduire

considérablement le temps et les ressources nécessaires pour lutter contre ces dangers numériques.

Ainsi, elle contribue à protéger notre monde numérique avec plus de précision et d'intelligence.

Infinity AI Copilot transforme la cybersécurité grâce à l'automatisation et à l'assistance intelligente de GenAI Plus de sécurité. Moins de temps et d'efforts. En s'appuyant sur la convergence des technologies de l'IA et du cloud, Infinity AI Copilot répond à la pénurie

mondiale croissante de professionnels de la cybersécurité en boostant le rendement et l'efficacité des

équipes de sécurité.

Réduisez jusqu'à 90 % le temps nécessaire à l'exécution des tâches administratives courantes grâce à une

solution de sécurité à IA générative qui fait appel à l'automatisation et à l'intelligence collaborative.

Contrairement aux autres modèles d'IA qui fonctionnent en silo, Infinity AI Copilot propose une prise en

charge large de la plateforme pour de nombreux cas d'utilisation, et contribue à la gestion de la sécurité

sur l'ensemble de la plateforme Infinity.

Infinity AI Copilot connaît les politiques du client, les règles d'accès, les objets, les logs, ainsi que toute la

documentation produit. Elle est donc en mesure de fournir des réponses complètes et adaptées au

contexte.

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 93

Capacités principales :

Une gestion accélérée de la sécurité : Infinity AI Copilot permet d'économiser jusqu'à 90 % du

temps nécessaire au travail administratif pour les tâches de sécurité, notamment l'analyse des

événements, l'implémentation et le dépannage. Les professionnels de la sécurité peuvent ainsi

consacrer plus de temps à l'innovation stratégique

Gérer et déployer des politiques de sécurité : gérer, modifier et déployer

automatiquement des règles d'accès et des contrôles de sécurité, spécifiques à la politique

de chaque client.

Améliorer l'atténuation et la réponse à incident : exploiter l'IA dans la recherche, l'analyse et

la résolution des menaces.

Surveiller l'ensemble des solutions et de l'environnement : AI Copilot permet de superviser

tous les produits de l'ensemble de la plateforme Check Point Infinity, du réseau au cloud en

passant par l'espace de travail, ce qui en fait un véritable assistant complet.

Traitement simple du langage naturel : Communiquer avec Infinity AI Copilot GenAI est aussi

simple et naturel que de discuter avec un être humain. Le système comprend et répond à

travers un chat dans toutes les langues, simplifiant ainsi la communication et l'exécution des

tâches pour les utilisateurs. L'utilisation du langage naturel permet une interaction

transparente et une exécution efficace des tâches.

ThreatCloud AI est le moteur d'intelligence du Big Data de Check Point. Il exploite plus de 50 technologies d'IA

et d'apprentissage automatique pour identifier et bloquer les nouvelles menaces jusqu'alors inconnues. Sur

les 50 moteurs basés sur l'IA, 11 font appel à la technologie du Deep Learning et 38 à celle du Machine

Learning classique.

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 94

2 7 3

Deep Learning ML classique Traditionnel

ThreatCloud AI agrège et analyse la télémétrie des big data et des millions d'indicateurs de

compromission (IoC) chaque jour. Sa base de données de renseignements sur les menaces est alimentée

par 150 000 réseaux connectés et des millions d'appareils endpoint, et par Check Point Research et des

dizaines de flux externes. ThreatCloud AI met à jour les menaces et les protections dernièrement

découvertes en temps réel sur l'ensemble de la pile de sécurité de Check Point.

En 2023, nous avons rajouté 12 nouveaux moteurs :

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 95

SECURITÉ COLLABORATIVE —THREATCLOUD AI AI is All About Your Data

COMPTÉS TOUS LES

JOURS!

2 800 000 000 146 000 000 53 000 000 20 000 000 2 600 000 1 500 000 1 200 000

Sites web et Contenu Emulations de Appareils IoT Indicateurs Applications Formulaire fichiers inspectés complet e-

mails fichiers potentiels malveillants mobiles

récemment installées

Web en ligne

BIG DATA - RENSEIGNEMENTS SUR LES MENACES

Voici quelques-uns des moyens que ThreatCloud AI utilise pour prévenir les nouvelles cybermenaces :

ThreatCloud Graph : une perspective multidimensionnelle de la cybersécurité

Cette nouvelle fonctionnalité va au-delà de l'analyse traditionnelle d'entités isolées, telles que les URL, les IP

et les noms de domaine. ThreatCloud Graph analyse les liens entre ces entités, et offre ainsi une perspective

multidimensionnelle sur les cybermenaces.

L'approche innovante de ThreatCloud Graph dans l'analyse du réseau interconnecté de relations dans le

paysage des cybermenaces constitue un puissant outil pour une prévention proactive des menaces, une

détection perspicace des attaques et une défense efficace contre les menaces de type « zero-day ».

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 96

CHAPITRE 8

Principaux avantages :

Prévention automatique des menaces :

ThreatCloud Graph offre une vue d'ensemble des cybermenaces grâce à l'analyse des relations entre

différents éléments, tels que les URL, les IP et les noms de domaine. Cette approche va au-delà de

l'examen des menaces isolées et offre une perspective multidimensionnelle qui privilégie la prévention

proactive. Cette perspective globale permet de mieux comprendre comment les menaces sont

interconnectées et comment elles opèrent au sein de réseaux et de campagnes plus vastes.

Modèles de graphes et informations sur les attaques

C'est en identifiant des modèles uniques de relations entre différentes cyber-entités que ThreatCloud

Graph fournit de précieuses indications sur les activités malveillantes. Cette fonction se révèle

particulièrement utile pour détecter et comprendre des attaques complexes comme l'empoisonnement du

DNS. Pouvoir reconnaître ces modèles et ces liens entre entités communes simplifie la détection précoce

et la prévention des cybermenaces sophistiquées, et consolide ainsi la sécurité globale.

Prévention des nouvelles menaces de type « zero-day »

ThreatCloud Graph s'appuie sur les connaissances de ThreatCloud AI pour prévenir les nouvelles menaces,

dont les attaques de type « zero-day ». Il établit la réputation des URL, des domaines et des adresses IP en

fonction de leurs relations avec des artefacts malveillants préalablement identifiés. Cette approche

proactive, qui ne se base pas uniquement sur la détection des contenus malveillants, permet d'identifier et

de bloquer rapidement les menaces potentielles, pour garantir une protection solide contre les attaques

les plus avancées et les plus récentes.

1

2

3

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 96

CHAPITRE 8

Prévention de l'usurpation de marque grâce à l'IA L'expansion de notre offre zéro phishing nous a également permis de lancer notre nouveau moteur

alimenté par l'IA pour empêcher l'usurpation d'identité des marques locales et mondiales utilisées dans les

attaques de phishing, une protection collaborative entre réseaux, e-mails, appareils mobiles et terminaux.

Le nouveau moteur bloque les liens et la navigation associés à des marques locales et mondiales dont l'identité a

été usurpée et qui ont servi d'appât pour berner les victimes dans des attaques de phishing, et ce dans plusieurs

langues et pays.

Prévention de l'usurpation de marque grâce à l'IA

Protégez votre entreprise contre

les attaques de phishing par usurpation d'identité

Blocage en temps réel de l'accès aux liens qui usurpent

l'identité de marques internationales ou locales

Protection préventive en temps réel

Grâce à de nouvelles technologies d'intelligence artificielle, les nouveaux domaines sont automatiquement inspectés lors de leur enregistrement pour identifier les tentatives potentielles d'usurpation de marque et sont bloqués avant même d'être utilisés dans

une attaque.

Protection collaborative avec ThreatCloud AI

Activez immédiatement une protection contre l'usurpation de marque sur tout vecteur d'attaque, qu'il s'agisse d'e-mails, de

fichiers, de SMS ou autres, sur votre réseau, vos terminaux, vos mobiles et votre SaaS

Un taux de capture supérieur de 40 %

à celui des technologies traditionnelles

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 97

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 98

Deep PDF : le moteur alimenté par l'IA qui identifie avec précision les PDF malveillants sans s'appuyer sur des signatures statiques « Deep PDF », un modèle d'IA innovant et intégré à ThreatCloud AI, fait un pas de géant dans l'identification

et le blocage des PDF malveillants qui sont utilisés dans les campagnes de phishing dans le monde entier.

Ces attaques peuvent être activées via différents vecteurs, parmi lesquels les e-mails, les téléchargements

sur le web, la contrebande HTML, les messages SMS et autres. Les produits Quantum et Harmony de

Check Point protègent ces vecteurs et permettent ainsi de protéger nos clients.

Comment fonctionne Deep PDF ?

Le moteur « Deep PDF » examine la structure du PDF, les images intégrées, les URL et le contenu brut,

pour détecter les modèles de phishing. La puissance de ce modèle ne tient pas seulement au volume de

fichiers qu'il peut détecter, mais surtout à sa précision, un atout dans la lutte constante contre les

campagnes de phishing et de spam.

Les chercheurs de Check Point ont constaté que les fichiers PDF présentaient une structure similaire. « Deep PDF » recherche, entre autres, les éléments suivants : • Liens malveillants. • Placement de l'URL sur le document. • Placement de l’image sur la page. Nous codons ces caractéristiques abstraites pour formater « Deep PDF » à distinguer les fichiers PDF

inoffensifs des fichiers PDF malveillants.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 98

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 99

LinkGuard : un nouveau moteur d'apprentissage automatique conçu pour détecter les fichiers LNK malveillants • LinkGuard est un moteur d'apprentissage automatique conçu pour détecter les fichiers LNK

malveillants, qui est désormais intégré à ThreatCloud AI. • Les fichiers LNK sont souvent présentés comme des raccourcis inoffensifs, mais les cybercriminels

y ont fréquemment recours pour diffuser des malwares et permettre des attaques d'ingénierie sociale.

• Le nouveau moteur s'illustre particulièrement pour identifier les techniques d'obfuscation, en s'appuyant sur l'analyse linguistique pour atteindre un taux de détection impressionnant de plus de 90 %

LinkGuard est conçu pour s'attaquer à l'une des menaces les plus sournoises d'Internet : les fichiers LNK

malveillants. Ces fichiers trompeurs, souvent dissimulés derrière des raccourcis inoffensifs, peuvent faire des

ravages dans votre système. La mission de LinkGuard est claire : détecter ces fichiers LNK malveillants en

identifiant l'exécution de codes malveillants et en analysant les paramètres de la ligne de commande.

Caractéristiques de LinkGuard LinkGuard est un autre moteur alimenté par l'IA, spécialement conçu pour plonger dans l'univers des fichiers

LNK et les décortiquer minutieusement. Sa méthode innovante consiste à explorer profondément la structure

de ces fichiers pour détecter des signes de comportement malveillant. En examinant minutieusement les

arguments de ligne de commande cachés dans les fichiers LNK, LinkGuard peut repérer le moindre indice de

malveillance. C'est comme si un détective numérique traquait en permanence les menaces, et vous offrait une

protection totale et une tranquillité d'esprit pour votre système.

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 100

Fonctionnement de LinkGuard

LinkGuard repose sur trois principes fondamentaux :

Démasquer l'obscurcissement : LinkGuard sait parfaitement démasquer les techniques

d'obscurcissement utilisées pour dissimuler des codes malveillants dans les fichiers LNK, de sorte

que même les tentatives d'évasion les plus astucieuses sont contrariées.

Analyse linguistique : LinkGuard décrypte les thèmes malveillants intégrés dans les fichiers LNK

grâce au traitement du langage naturel (NLP). Cette technologie permet d'identifier les modèles

linguistiques subtils qui indiquent l'existence d'intentions malveillantes.

Identification des tactiques familières : LinkGuard identifie avec précision les similitudes avec l'exécution de codes malveillants bien connus, et reconnaît rapidement les tactiques employées par les cyberattaquants.

En combinant ces trois capacités puissantes, LinkGuard se révèle être un bouclier extrêmement efficace

contre les cybermenaces basées sur les LNK. Il ne fait pas que renforcer vos défenses en matière de

cybersécurité, il contribue également à rendre l'environnement numérique plus sûr.

1

1

2

3

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 101

0 9DESCRIPTIONS DES FAMILLES DE MALWARES

CHAPITRE 9

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 102

AgentTesla Agent Tesla est un RAT avancé qui fonctionne comme un enregistreur de frappe et un voleur d'informations, capable de surveiller et de collecter les saisies du clavier de la victime, le clavier du système, de faire des captures d'écran et d'exfiltrer les informations d'identification de divers logiciels installés sur la machine de la victime (comme Google Chrome, Mozilla Firefox et le client e-mail Microsoft Outlook).

Akira Le ransomware Akira, dont le premier signalement remonte à début 2023, cible les systèmes Windows et Linux. Il utilise le chiffrement symétrique avec CryptGenRandom et Chacha 2008 pour chiffrer des fichiers et partage des similitudes avec le ransomware Conti v2 qui a fait l'objet d'une fuite. Akira se propage par divers moyens, et notamment via des pièces jointes d'e-mails infectés et des exploits dans les terminaux VPN. Lors de l'infection, il chiffre les données et ajoute une extension ". akira" aux noms de fichiers, avant de présenter une note de rançon qui réclame le versement d'une somme d'argent pour le déchiffrement.

ALPHV BlackCat (alias ALPHV) fonctionne selon un modèle opérationnel de ransomware en tant que service (RaaS). Le ransomware BlackCat est facilement personnalisable et permet d'attaquer un large éventail d'environnements d'entreprise. Il cible les systèmes Linux et Windows et est codé en Rust.

AZORult AZORult est un cheval de Troie qui collecte et exfiltre des données du système infecté. Une fois le malware installé sur un système, il peut envoyer les mots de passe enregistrés, les fichiers locaux, les données des portefeuilles cryptographiques et les informations sur le profil de l'ordinateur à un serveur C&C distant.

BiBi Wiper BiBi Wiper est un malware qui efface les données des systèmes Windows et Linux. Initialement identifié dans des attaques contre des cibles israéliennes, il est connu pour ses capacités destructrices et est conçu pour remplacer les données des répertoires ciblés par des données inutiles et ajouter une extension « .BiBi » aux noms de fichiers.

CACTUS CACTUS Ransomware est un malware destructeur qui chiffre les fichiers sur l'ordinateur d'une victime et ajoute une extension unique « .CTS1 » à chaque fichier chiffré. Ce ransomware est connu pour exploiter les vulnérabilités des systèmes réseau, et notamment des équipements VPN, pour accéder aux réseaux ciblés et s'y propager. Pour chiffrer les données, il fait appel à OpenSSL, qui utilise les algorithmes AES et RSA.

CHAPITRE 9

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 103

CL0P CL0P est un ransomware qui a été découvert pour la première fois au début de l'année 2019 et qui cible essentiellement les grandes entreprises Cl0P est géré par un gang cybercriminel russophone et adopte une stratégie consistant à « voler, chiffrer et divulguer ». Il a récemment gagné en notoriété pour avoir exploité des vulnérabilités dans des interfaces publiques comme Accellion FTA et MOVEit Transfer, ce qui lui a permis d'exfiltrer et de chiffrer des données sensibles d'entreprises qui en étaient victimes. Cl0P a été associé à des attaques majeures de ransomwares de type « big game hunter » et a ciblé plusieurs secteurs sans localisation géographique spécifique et a épargné les entreprises de la Communauté des États Indépendants (CEI).

CloudEyE CloudEye est un téléchargeur qui cible la plateforme Windows et qui est utilisé pour télécharger et installer des programmes malveillants sur les ordinateurs des victimes.

DarkGate DarkGate, actif depuis décembre 2017, est un Malware-as-a-Service (MaaS) sophistiqué connu pour ses capacités variées, telles que le vol d'identifiants, l'enregistrement de frappe, la capture d'écran et l'accès à distance. DarkGate est apparu comme une menace importante dans les cercles cybercriminels (essentiellement sur les forums clandestins). Le malware s'est adapté pour contourner les défenses de sécurité et est utilisé dans diverses stratégies d'attaque, notamment les e-mails de phishing et l'exploitation de plateformes de communication comme Microsoft Teams.

DoppelPaymer DoppelPaymer, aperçu pour la première fois en 2019, est une souche de ransomware sophistiquée, qui a évolué depuis le précédent BitPaymer. Il cible un grand nombre d'entreprises, sans préférence sectorielle particulière, et utilise le cheval de Troie Dridex pour une infiltration initiale via des e-mails de phishing. Connu pour sa double tactique d'extorsion, DoppelPaymer a été associé à plusieurs attaques notoires contre de grandes entreprises dans le monde entier.

Emotet Emotet est un malware polyvalent avancé et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme distributeur d'autres malwares ou de campagnes malveillantes. Il utilise de multiples méthodes pour persister et des techniques d'évasion pour éviter d'être détecté. De plus, il peut se propager par des spams de phishing qui contiennent des pièces jointes ou des liens malveillants.

FakeUpdates Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.

CHAPITRE 9

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 104

FormBook Formbook est un Infostealer ciblant le système d'exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé comme malware en tant que service (MaaS) sur les forums de piratage clandestins pour ses techniques d'évasion et son prix relativement bas. FormBook regroupe les informations d'identification de divers navigateurs Web, collecte les captures d'écran, surveille et enregistre les frappes au clavier et peut télécharger et exécuter des fichiers selon les ordres de son C&C.

Glupteba Connu depuis 2011, Glupteba est un backdoor qui a progressivement mûri pour devenir un botnet. En 2019, il comprenait un mécanisme de mise à jour des adresses C&C qui passait par des listes publiques de BitCoin, une capacité de voler intégralement un navigateur et un exploitant de routeur.

GootLoader GootLoader est un malware furtif, essentiellement utilisé comme premier stade de téléchargement pour attaquer les systèmes Windows. D'abord utilisé comme téléchargeur pour le cheval de Troie bancaire GootKit, il a évolué pour devenir une plateforme de malware à charges utiles multiples capable de déployer des charges sophistiquées en deuxième étape, comme la balise Cobalt Strike et le ransomware REvil. GootLoader utilise l'empoisonnement SEO pour rediriger les victimes vers des sites internet compromis dans le cadre de campagnes de téléchargement « drive-by », qui touchent divers secteurs d'activité dans plusieurs pays. Il utilise des techniques avancées telles que le chargement réfléchi et les commandes PowerShell pour perdurer et se cacher.

Horse Shell Horse Shell est un malware personnalisé utilisé par le groupe de cybercriminels parrainé par l'État chinois « Camaro Dragon » pour cibler les organisations européennes du secteur des affaires étrangères. Découvert en janvier 2023, ce malware infecte les routeurs domestiques TP-Link, et permet aux attaquants de prendre le contrôle total de ces appareils. Horse Shell fonctionne comme une porte dérobée, exécute des commandes shell, transfert des fichiers et utilise le routeur comme proxy SOCKS pour les communications.

Impala Stealer Impala Stealer est un malware de vol de crypto-monnaies qui cible les développeurs .NET via des packages NuGet malveillants. Il agit en installant une porte dérobée persistante afin d'accéder et de voler les détails des comptes de crypto-monnaies, en utilisant le typosquatting pour se camoufler en packages logiciels légitimes.

CHAPITRE 9

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 105

JaguarTooth JaguarTooth est un malware Cisco IOS qui cible et modifie les mécanismes d'authentification des routeurs pour autoriser un accès non authentifié par porte dérobée. Il collecte et exfiltre des informations sur les périphériques et le réseau, dont des versions de microprogrammes et des configurations de réseau, via le protocole Trivial File Transfer Protocol (TFTP). JaguarTooth a été déployé via l'exploitation d'une vulnérabilité connue du protocole SNMP (Simple Network Management Protocol), CVE-2017-6742.

KV-botnet Le KV-Botnet, associé à l'acteur de menace Volt Typhoon en lien avec la Chine, est un botnet sophistiqué qui cible principalement les routeurs des petites entreprises et des home office (SOHO). Actif depuis au moins février 2022, il se compose de deux groupes d'activités qui se complètent, KV et JDY.

LemonDuck LemonDuck est un botnet de minage de crypto-monnaies qui cible les ressources informatiques des victimes pour miner Monero, la devise virtuelle. Il emploie différentes méthodes pour se propager sur le réseau, comme l'envoi de fichiers RTF infectés par e-mail, psexec, WMI et des exploits SMB, parmi lesquels les fameuses menaces Eternal Blue et SMBGhost qui touchent les machines Windows 10.

LEMURLOOT LEMURLOOT est un malware de type web shell associé au groupe de ransomware CL0P, conçu pour exploiter une vulnérabilité critique d'injection SQL (CVE-2023-34362) dans l'application de transfert de fichiers gérés (MFT) MOVEit Transfer. LEMURLOOT est rédigé en C# et requiert un mot de passe codé en dur pour l'authentification. Ce malware a joué un rôle déterminant dans d'importantes tentatives de vol de données et d'extorsion de fonds menées par le groupe CL0P.

LockBit LockBit est un ransomware qui fonctionne dans un modèle RaaS et a été signalé pour la première fois en septembre 2019. LockBit cible les grandes entreprises et les organismes gouvernementaux de divers pays mais ne vise pas les particuliers en Russie ni dans la Communauté des États Indépendants.

LokiBot LokiBot est un infostealer pour Windows. Il extrait les identifiants d'une série d'applications, de navigateurs Web, de messageries électroniques, d'outils de gestion informatique tels que PuTTY, etc. LokiBot a été vendu sur des forums de piratage et son code source aurait fuité, laissant ainsi le champ libre à toute une série de variantes. Il a été identifié pour la première fois en février 2016.

CHAPITRE 9

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 106

Lucifer Lucifer est un malware hybride connu pour ses capacités de cryptojacking et de lancement d'attaques par déni de service distribué (DDoS). À l'origine, Lucifer ciblait le système Windows et exploitait de nombreuses vulnérabilités importantes et critiques. Mais il a récemment évolué vers un malware multiplateforme et multi-architecture qui cible Linux, et les dispositifs IoT, et possède des versions ARM et MIPS distinctes.

Medusa Le ransomware Medusa, actif depuis juin 2021, est un modèle de Ransomware-as-a-Service (RaaS) qui fait appel à une tactique de double extorsion (il chiffre, exfiltre les données, et menace de les divulguer ou de les vendre si la rançon n'est pas payée).

Mirai Mirai est un malware tristement célèbre de l'Internet des objets (IoT) qui traque les dispositifs IoT vulnérables, comme les web-cams, les modems et les routeurs, et les transforme en bots. Les opérateurs du botnet s'en servent pour mener des attaques massives par déni de service distribué (DDoS). Le botnet Mirai est apparu pour la première fois en septembre 2016 et a rapidement fait les gros titres et ce, pour des attaques de grande envergure, dont une attaque DDoS massive qui a servi à neutraliser tout le pays du Liberia, et une attaque DDoS contre la société d'infrastructure Internet Dyn, qui fournit une partie importante de l'infrastructure d'Internet aux États-Unis.

Nanocore NanoCore est un cheval de Troie d'accès à distance (RAT) qui cible les utilisateurs du système d'exploitation Windows et a été observé pour la première fois en 2013. Toutes les versions du RAT contiennent des plugins de base et des fonctionnalités telles que la capture d'écran, le minage de crypto- monnaies, le contrôle à distance du bureau et le vol de sessions webcam.

NetSupport Le malware NetSupport, qui se présente comme un cheval de Troie d'accès à distance (RAT), cible des secteurs tels que l'éducation, le gouvernement et les services aux entreprises. À l'origine, NetSupport était un outil légitime d'administration à distance, mais les acteurs de la menace l'ont reconverti pour des activités malveillantes comme le suivi du comportement, le transfert de fichiers et l'infiltration de réseaux.

njRAT njRAT, alias Bladabindi, est un RAT développé par le groupe de pirates informatiques M38dHhM. Signalé pour la première fois en 2012, il a surtout été utilisé contre des cibles au Moyen-Orient.

CHAPITRE 9

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 107

Nokoyawa Nokoyawa est une famille de ransomware sous Windows identifiée pour la première fois en février 2022 et connue pour ses doubles attaques d'extorsion. Ce ransomware, initialement codé en C puis réécrit en Rust, partage des similitudes de codage avec les familles de ransomware Nemty et Karma. Le ransomware est connu pour exploiter des vulnérabilités de type CVE-2023-28252 dans les attaques.

Phorpiex Phorpiex est un botnet (alias Trik) actif depuis 2010 qui, à son apogée, contrôlait plus d'un million d'hôtes infectés. Il est connu pour distribuer d'autres familles de malware via des campagnes de spam et pour alimenter des campagnes de spam et de sextorsion à grande échelle.

Qbot Qbot AKA Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants bancaires et les frappes au clavier d'un utilisateur. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l'analyse et échapper à la détection.

Raccoon L'infostealer Raccoon a été aperçu pour la première fois en avril 2019. Cet infostealer cible les systèmes Windows et est vendu en tant que MaaS (Malware-as-a-Service) sur des forums clandestins. C'est un infostealer simple capable de récupérer les cookies du navigateur, l'historique, les identifiants de connexion, les portefeuilles de crypto-monnaie et les informations de carte bancaire.

Ramnit Ramnit est un cheval de Troie bancaire modulaire découvert pour la première fois en 2010. Ramnit vole les informations de session web, et donne à ses responsables la possibilité de dérober les identifiants des victimes pour tous les services, dont les comptes bancaires, les comptes d'entreprise et les comptes de réseaux sociaux. Le cheval de Troie recourt aussi bien à des domaines codés en dur qu'à des domaines générés par un DGA (Domain Generation Algorithm) pour contacter le serveur C&C et télécharger des modules supplémentaires.

Raspberry Robin Raspberry Robin est un malware polyvalent dont la diffusion initiale s'effectue via des périphériques USB infectés et pourvus de propriétés de ver informatique (worm).

RedRelay RedRelay est un réseau proxy partagé qu'utilisent de nombreux acteurs de la menace, parmi lesquels Red Vulture, un acteur chinois du cyber-espionnage. RedRelay utilise des éléments tels que le proxy multi-sauts et la communication chiffrée, qui compliquent grandement son analyse et son attribution. Le réseau repose sur une combinaison de serveurs privés virtuels (VPS) exploités par des acteurs de la menace et de dispositifs piratés.

CHAPITRE 9

CHAPITRE 8

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 108

Remcos Remcos est un RAT qui est apparu pour la première fois dans la nature en 2016. Remcos se propage via des documents Microsoft Office malveillants qui sont joints à des e-mails de SPAM, et est conçu pour contourner la sécurité UAC de Microsoft Windows et exécuter des malwares avec des privilèges élevés.

RubyMiner RubyMiner a été observé pour la première fois dans la nature en janvier 2018 et cible aussi bien les serveurs Windows que Linux. RubyMiner vise les serveurs web vulnérables (tels que PHP, Microsoft IIS et Ruby on Rails) et les utilise pour miner des cryptomonnaies à l'aide du mineur open-source Monero XMRig.

StripedFly StripedFly, initialement mal classé dans la catégorie des mineurs de crypto-monnaies, est un malware complexe et polyvalent, de type « wormable ». Il a un impact international puisqu'il a infecté plus d'un million de victimes depuis au moins 2017.

Ursnif Ursnif est une variante du cheval de Troie bancaire Gozi pour Windows et dont le code source a été divulgué en ligne. Il dispose de capacités Man-in-the-Browser pour voler des informations bancaires et des identifiants de services en ligne courants. Plus encore, il peut voler des informations de clients d'e- mail locaux, de navigateurs et de portefeuilles de crypto-monnaies. Il peut également télécharger et exécuter des fichiers malveillants supplémentaires sur un système infecté.

WannaMine WannaMine est un ver sophistiqué de minage de la cryptomonnaie Monero qui propage l'exploit EternalBlue. WannaMine utilise les souscriptions d'événements permanents de Windows Management Instrumentation (WMI) pour se propager et assurer sa persistance.

XMRig XMRig est un logiciel CPU open-source utilisé pour miner la crypto-monnaie Monero. Les acteurs de la menace abusent souvent de ce logiciel open-source en l'intégrant dans leurs malwares pour effectuer du minage illégal sur les appareils des victimes.

ZuoRAT ZuoRAT est un cheval de Troie d'accès à distance (RAT) qui cible principalement les routeurs des petites entreprises et des personnes qui travaillent de chez elles (SOHO). Dérivé du botnet Mirai, il opère depuis au moins 2020. ZuoRAT utilise des méthodes étendues de reconnaissance du réseau, de collecte de données et de détournement des communications réseau.

CHAPITRE 9

CHAPITRE 10

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 109

1 0CONCLUSION

À l'aube de la nouvelle année, nous devrions nous inspirer des modèles et des leçons apprises l'année dernière pour définir des stratégies novatrices et résilientes. Anticiper les tendances émergentes, identifier les vulnérabilités et comprendre les méthodes des acteurs de la menace sont autant d’éléments clés pour élaborer des programmes de cybersécurité efficaces et durables. Ce rapport sur la sécurité a pour but de fournir aux responsables de la cybersécurité les connaissances et la vision nécessaires pour maintenir une longueur d'avance sur les cyberadversaires

Face à l'essor des ransomwares zero-day et aux nouveaux risques que représente l'hacktivisme, il est urgent que les entreprises adaptent leurs pratiques de sécurité et adoptent de nouvelles mesures de protection.

À une époque où la technologie évolue à un rythme effréné, les idées partagées ici servent de feuille de route pour naviguer dans le paysage de la cybersécurité en 2024 et dans les années à venir.

CHECK POINT SOFTWARE I RAPPORT SUR LA CYBERSÉCURITÉ 2024 110

CHAPITRE 10


Item Type: pdf