Les cyberattaques évoluent : 41% des familles de malwares observées par FireEye Mandiant en 2019 étaient inconnues jusqu’alors.
FireEye, acteur de la sécurité basée sur l’intelligence, publie le rapport M-Trends 2020 de FireEye Mandiant, qui rassemble des statistiques et des informations récoltées lors des enquêtes menées par FireEye Mandiant à travers le monde en 2019.
Extrait des conclusions de ce rapport
Les organisations détectent et bloquent les attaques plus rapidement que les années précédentes
Le rapport M-Trends révèle que le délai moyen de présence des attaquants sur le réseau de leurs victimes dans la zone EMEA a baissé de 177 jours lors du rapport de l’année dernière à 54 jours cette année - une chute spectaculaire de 70%. Les consultants de FireEye Mandiant pensent que les délais de détection importants au cours des deux dernières années étaient dus à des intrusions anciennes finalement identifiées par les organisations en raison de la mise en vigueur du règlement RGPD. Les délais de détection dans la zone EMEA sont désormais en ligne avec les résultats au niveau mondial, ce qui suggère une amélioration de la posture de sécurité des organisations européennes dans le sillage de l’instauration du RGPD.
Une baisse marquée du délai de détection moyen au niveau mondial a également été constatée, atteignant cette année 56 jours - un chiffre inférieur de 28% aux 78 jours constatés l’année dernière. Les consultants de FireEye Mandiant attribuent cette tendance à l’amélioration des stratégies de détection au sein des organisations, ainsi qu’aux changements dans les comportements des attaquants tels que la hausse continue des attaques perturbatrices (par exemple par rançongiciels et crypto minage) qui sont souvent détectées plus rapidement que d’autres types d’attaques car plus visibles.
Les délais de détection via des sources internes et externes au niveau mondial se sont également réduits.
- Délai moyen de détection pour les organisations qui ont appris leur incident via une source externe : il s’établit à 141 jours, en baisse de 23% comparé au rapport M-Trends précédent (184 jours).
- Délai moyen de détection pour les organisations qui ont détecté elles-mêmes leur incident : il s’établit à 30 jours, en baisse de 40% d’une année sur l’autre (50,5 jours). Même si le délai moyen de détection via des sources internes montre la plus forte amélioration, 12% des enquêtes continuent d’avoir des délais de détection supérieurs à 700 jours.
Le délai de détection interne le plus faible depuis 4 ans
Alors que le délai de détection des intrusions identifiées en interne par les organisations a baissé, le pourcentage global des incidents de sécurité auto détectés par rapport à ceux détectés via des sources externes s’est également réduit. On constate une baisse de 12 points de pourcentage dans la proportion d’intrusions détectées en interne, d’une année sur l’autre. Ceci après une hausse marquée des détections en interne depuis 2011.
2019 est la première année depuis quatre ans au cours de laquelle les notifications externes, lorsqu’une entité extérieure informe une organisation qu’elle a été attaquée, ont excédé les détections en interne.
Ce revirement est potentiellement dû à une variété de facteurs, tels qu’un accroissement des notifications par les forces de l’ordre et par les fournisseurs de solutions de cyber sécurité, la modification des normes en matière de révélation publique des incidents et de nouvelles obligations de conformité. FireEye Mandiant estime peu probable que les capacités des organisations à détecter des incidents se soient détériorées, car d’autres statistiques montrent une amélioration continue des performances de détection et réponse des entreprises.
Des centaines de nouvelles familles de malwares identifiées
Le rapport met en évidence que parmi toutes les familles de malwares observées par Mandiant en 2019, 41% n’avaient jamais été vues auparavant. De plus, 70% des malwares identifiés font partie des 5 familles les plus fréquemment observées, ces familles sont basées sur des outils open source faisant l’objet d’un développement actif. Ces éléments démontrent que non seulement les auteurs de malwares innovent, mais les cyber criminels sous-traitent un certain nombre de tâches pour monétiser leurs opérations plus rapidement.
A noter que la majorité des nouveaux malwares ont impacté soit Windows soit de multiples plates-formes. FireEye Mandiant a observé de nouvelles familles de malwares ciblant uniquement les plates-formes Linux ou Mac, mais cette activité reste minoritaire.
Monétisation accrue due à plus d’attaques par rançongiciel
Parmi les attaques qu’ont dû traiter les analystes de FireEye Mandiant, la plus forte catégorie (29%) était probablement motivée par un gain financier direct. Ceci inclut l’extorsion, la demande de rançon, le vol de cartes de crédit et les transferts illicites. La seconde catégorie la plus fréquente (22%) était le vol de données probablement en support d’objectifs de détournement de propriété intellectuelle ou d’espionnage.
La monétisation aisée des attaques par ransomware et la disponibilité d’offres « ransomware as a service » ont contribué à la multiplication du nombre global d’attaques de ce type. De plus en plus de groupes établis de cyber criminels qui ciblaient historiquement des données personnelles et de cartes de crédit se sont également tournés vers les attaques par ransomware en tant que source secondaire de revenus. En raison de la facilité avec laquelle des attaques par ransomware peuvent être exécutées et leur succès continue en termes de gains financiers pour les attaquants, FireEye prévoit que les ransomwares continueront d’être utilisés en tant que moyen secondaire pour monétiser l’accès à des environnements victimes.
« FireEye Mandiant observe que les organisations ont largement amélioré le degré de sophistication de leur cyber sécurité, mais combattre les menaces les plus récentes est toujours pour elles un énorme défi », a déclaré Jurgen Kutscher, Executive Vice President of Service Delivery chez FireEye. « Le nombre de groupes actifs de cyber criminels est plus important que jamais, et nous avons constaté une expansion agressive de leurs objectifs. En conséquence, il est crucial pour les organisations de continuer à développer et tester leurs défenses. »
« L’activité malveillante en Europe et au Moyen-Orient est extrême depuis plusieurs mois, nos équipes sont sur le terrain en continu pour accompagner nos clients pendant les incidents, apprendre de ces expériences est la vraie valeur de notre approche. Nous nous efforçons de partager nos expériences, nos savoirs faire pour préparer au mieux la communauté à réagir en cas d’attaque », ajoute David Grout CTO EMEA pour FireEye.