Confrontés à des responsabilités de plus en plus lourdes et à des pénuries de compétences, les professionnels de l'informatique sont surchargés de travail, ce qui augmente les risques d'attaque. Pour compliquer encore les choses, les cybercriminels bénéficient désormais de l'aide de l'intelligence artificielle, qui leur permet de concevoir et d'automatiser des attaques sophistiquées.
Le nouveau rapport Acronis sur les cybermenaces, pour le 1er semestre 2024, fait le point sur ces défis et bien d'autres pour les entreprises du monde entier. Il explore de nouveaux groupes de ransomwares, les évolutions des modèles de ransomwares, les attaques émergentes contre les applications de collaboration et les menaces liées à l'intelligence artificielle.
Principales conclusions du rapport :
- Le Bahreïn, l'Égypte et la Corée du Sud ont été les pays les plus ciblés par les attaques de malware au 1er trimestre 2024.
- Près de 28 millions d'URL ont été bloquées par Acronis au 1er trimestre 2024, en hausse de 3 % par rapport au 4e trimestre 2023.
- 27,6 % des e-mails reçus étaient des e-mails de spam et 1,5 % d'entre eux contenaient des malwares ou des liens de phishing.
- Chaque échantillon de malware a vécu en moyenne 2,3 jours dans la nature avant de disparaître — 82 % des échantillons n'ont été observés qu'une seule fois.
- Au premier trimestre 2024, 1 048 cas de ransomwares ont été signalés publiquement, soit une augmentation de 23 % par rapport au premier trimestre 2023.
- Ces groupes très actifs sont les principaux contributeurs, à l’origine de 35 % des attaques de ransomware.
- LockBit représente 20 % des attaques par ransomware, suivi par Black Basta et PLAY, avec respectivement 7,1 % et 7,0 %.
LockBit a été mis en touche, mais d'autres gangs de ransomwares perdurent
Acronis a observé une augmentation de 5 % du nombre de nouveaux échantillons de malware en circulation depuis le quatrième trimestre 2023. Concernant les ransomwares, les premiers mois de 2024 ont été dominés par les gangs LockBit, Play, 8Base, BlackBasta et Hunters International, le plus actif. Ces groupes, malheureusement bien connus, continuent de semer la pagaille dans les entreprises du monde entier.
L'activité des ransomwares continue de progresser d'année en année, mais les données révèlent une baisse de 46 % des paiements de rançons au premier semestre. Cette baisse est un signe prometteur de la résilience numérique accrue des entreprises et du renforcement des mesures de sécurité des entités publiques et privées. Malgré la plus grande facilité de lancement des attaques par ransomware, leur rentabilité est moindre.
Autre victoire, l'agence nationale de lutte contre la criminalité du Royaume-Uni (NCA) a réalisé des progrès monumentaux dans la lutte contre le ransomware LockBit. En coopération avec Europol, la NCA a dirigé l'opération Cronos. Cette opération de plusieurs mois a permis de prendre le contrôle de la plate-forme principale et de l'infrastructure critique de LockBit, y compris 34 serveurs répartis aux Pays-Bas, en Allemagne, en Finlande, en France, en Suisse, en Australie, aux États-Unis et au Royaume-Uni. LockBit a toutefois réussi à reprendre ses activités criminelles malgré l'arrestation de certains de ses principaux acteurs.
Si les paiements de rançons ont diminué et les opérations de ransomware ont été fortement perturbées, les détections quotidiennes de ransomware ont augmenté de 32 % entre le quatrième trimestre 2023 et le premier trimestre 2024. De plus, 10 nouveaux groupes de ransomwares ont fait leur apparition au premier trimestre 2024 :
1. Mogilevich (7)
2. RansomHub (22)
3. dAn0n (8)
4. DarkVault (14)
5. Rouge (12)
6. Trisec (3)
7. Slug (1)
8. MyData (9)
9. Embargo (5)
10. BlackOut (3)
Le phishing demeure la menace principale, mais les malwares sont la menace n° 1 pour les applications de collaboration.
Les organisations ont connu une augmentation significative des communications par e-mail au cours du premier semestre, le nombre d'e-mails par organisation ayant augmenté de 25 %. Cette augmentation du volume d'e-mails s'est accompagnée d'une hausse préoccupante de 47 % des attaques par e-mail visant ces entreprises.
Parmi les attaques, 26 % des utilisateurs ont été confrontés à des tentatives de phishing via des URL malveillantes, ce qui démontre que les cybercriminels continuent de miser sur ce type d'attaque, qui reste le plus fréquent. De plus, 13 % des utilisateurs ont reçu des malwares par e-mail, ce qui témoigne de la diversité des méthodes employées par les attaquants pour compromettre les systèmes et dérober des informations sensibles. Enfin, l'ingénierie sociale a augmenté de 5 % depuis le premier semestre 2023, tandis que les attaques par malware ont diminué de 11 % au premier semestre 2023 à 4 % au premier semestre 2024.
De plus en plus d'entreprises utilisent des applications de collaboration telles que Microsoft 365, ce qui entraîne une augmentation des attaques ciblant ces applications, y compris Microsoft Teams. Si le phishing est une méthode d'attaque courante dans les applications de collaboration (20 %), 82 % des attaques observées au premier semestre étaient des attaques de malware.
Le cybercrime utilise de plus en plus l'IA générative
L'utilisation abusive de l'IA générative et des grands modèles de langage (LLM) a joué un rôle dans l'exécution des attaques au premier semestre. Nous avons souhaité établir une distinction claire pour aider les entreprises à mieux comprendre les enjeux de sécurité des attaques optimisées par l'IA. Le rapport Acronis sur les cybermenaces, 1er semestre 2024, définit deux types de menaces par intelligence artificielle, souvent utilisées de manière synonyme : les menaces générées par l'IA et les malwares exploitant l'IA.
L'expression « menaces générées par l'IA » est couramment employée dans les médias et par la communauté de la cybersécurité. Chez Acronis, nous souhaitons mettre l'accent sur la partie « générées ». Il s'agit de malwares et de menaces créés à l'aide de techniques d'intelligence artificielle mais qui n'intègrent pas d'intelligence artificielle dans leurs opérations. L'IA est alors un outil utilisé pour créer des malwares et des menaces.
En ce qui concerne les « malwares exploitant l'IA », la situation est plus complexe. Il s'agit là d'un malware qui intègre des fonctionnalités d'intelligence artificielle. Il peut contenir un modèle d'IA complet, de type LLM, mais le plus souvent, il communique avec un modèle d'IA côté serveur pour la logique. Les malwares exploitant l'IA peuvent s'adapter à leur environnement et modifier leur comportement.
Le rapport décrit six attaques générées par l'IA que nous avons pu observer, notamment des e-mails malveillants, des deepfakes de piratage de la messagerie en entreprise, des extorsions par deepfake, des contournements de procédures KYC, la génération de scripts et la génération de malwares. L'équipe des centres d'opérations Acronis Cyber Protect formule également des recommandations pratiques à l'attention des MSP et des entreprises, d'après les conclusions du rapport.
Les experts recommandent d'intensifier les formations à la sécurité et de consolider les solutions
La sensibilisation des employés des MSP et des entreprises aux bonnes pratiques de cybersécurité s'avère efficace face à la prolifération des menaces. La baisse de la rentabilité des ransomwares s'explique peut-être par la meilleure sensibilisation à la sécurité et des mesures de protection renforcées. Les efforts humains et les technologies de cybersécurité sont deux axes indissociables de la cyber-résilience.
D'une part, les formations de sensibilisation à la sécurité permettent aux employés de reconnaître et de signaler les tentatives de phishing, les tactiques d'ingénierie sociale et les activités suspectes. D'autre part, le renforcement des mesures de sécurité implique d'investir dans des technologies de pointe, mais aussi d'adopter une approche intégrée de la cybersécurité et de la protection des données, afin d'améliorer la gestion, l'efficacité et les performances informatiques, tout en réduisant les coûts et les problèmes de compatibilité. Avec des solutions intégrées telles qu'Acronis XDR, les MSP peuvent rendre leur offre de sécurité plus compétitive tout en améliorant la visibilité et la protection sur l'ensemble des surfaces d'attaque.
Téléchargez le rapport pour découvrir les principales menaces et tendances en matière de cybersécurité pour le premier semestre 2024.