Rapport Sophos sur les menaces 2024 : les PME dans la ligne de mire

La cybercriminalité est un défi pour les organisations de toutes tailles, mais elle touche plus durement les petites entreprises, souvent sous le radar du public. Alors que les cyber-attaques contre les grandes entreprises et les agences gouvernementales constituent la majeure partie de la couverture médiatique, les petites entreprises sont généralement plus vulnérables et souffrent proportionnellement plus des conséquences des cyber-attaques. Un manque de personnel de sécurité expérimenté, des investissements insuffisants dans la cybersécurité et des budgets globalement plus faibles pour les technologies de l'information contribuent à cette vulnérabilité. Et pourtant, les PME ne sont pas en reste. Selon la Banque mondiale, plus de 90 % des entreprises dans le monde sont des petites et moyennes organisations et elles représentent plus de 50 % de l'emploi mondial.

Enregistreurs de frappe, logiciels espions et voleurs dans 50 % des attaques

Près de la moitié des attaques contre les PME utilisent des enregistreurs de frappe, des logiciels espions et des "stealers", c'est-à-dire des logiciels malveillants permettant de voler des données et des identifiants. Les cybercriminels utilisent ensuite ces informations dérobées pour d'autres actions comme l'accès à distance non autorisé, le chantage ou l'installation de ransomware.

Le rapport Sophos analyse également ce que l'on appelle les IAB (Initial Access Brokers). Ces criminels se sont spécialisés dans l'intrusion dans les réseaux informatiques. Le rapport montre que les cybercriminels utilisent le Dark Web pour proposer leurs services de manière ciblée aux réseaux de PME. Ils vendent également directement des accès immédiats à des PME qu'ils ont déjà piratées auparavant.

Le cybercrime n'a qu'un seul objectif : les données

Christopher Budd, directeur de la recherche sur les menaces chez Sophos X-Ops, classe les résultats de la manière suivante : "La valeur des données en tant que monnaie a augmenté de manière exponentielle parmi les cybercriminels et cela est particulièrement vrai pour les PME, car elles ont tendance à utiliser un service ou une application par fonction pour toute l'organisation. Un exemple : les pirates utilisent un Infostealer sur un réseau cible pour voler des données d'accès. Ce faisant, ils mettent la main sur un mot de passe pour le logiciel de facturation de toute l'entreprise. Ils pourraient alors avoir accès aux données financières de l'entreprise et transférer des fonds sur leurs propres comptes. Ce n'est pas pour rien que 90 % des cyberattaques étudiées par Sophos en 2023 impliquaient un vol de données ou d'identité, soit par des attaques de ransomware, soit par l'extorsion de données, soit par un accès à distance non autorisé, soit tout simplement par le vol de données".

Les ransomwares restent le plus grand danger pour les PME, LockBit est numéro 1

Même si le nombre d'attaques de ransomware contre les PME est resté stable, elles représentent la plus grande cybermenace pour les entreprises de moins de 500 employés. Selon l'équipe de réponse aux incidents de Sophos, qui intervient en cas d'attaque aiguë, LockBit était le groupe de ransomwares présentant le plus grand potentiel de chaos. Akira et BlackCat suivent en deuxième et troisième position. Des attaques de ransomwares plus anciens ou moins connus, comme BitLocker ou Crytox, se sont également produites récemment.

Le chiffrement à distance augmente de 62

Le rapport montre en outre que les criminels maintiennent leur stratégie consistant à changer régulièrement de tactique pour leurs attaques de ransomware afin de rester efficaces. Cela se traduit actuellement par une recrudescence des activités de chiffrement à distance ainsi que par le ciblage des MSP (Managed Service Providers) comme multiplicateurs de surfaces d'attaque. Entre 2022 et 2023, le nombre d'attaques de ransomware utilisant le chiffrement à distance a augmenté de 62 %. L'équipe de détection et de réponse gérées de Sophos (MDR) a également réagi en 2023 à plusieurs cas de PME attaquées via une faille dans le logiciel de surveillance et d'administration à distance (RMM) de leur MSP.

Ingénierie sociale et communication commerciale : les attaquants deviennent insistants

Les e-mails frauduleux visant spécifiquement les entreprises, appelés Business Email Compromise (BEC), faisaient partie en 2023 des deuxièmes attaques les plus fréquentes après les ransomwares. Ces attaques et d'autres attaques d'ingénierie sociale impliquent un niveau de sophistication croissant : Au lieu d'envoyer simplement un e-mail avec une pièce jointe malveillante, les criminels s'intéressent désormais de plus près à leur victime et lui envoient toute une série de messages électroniques ou l'appellent même. Pour tenter d'échapper aux outils de spam classiques, les pirates expérimentent désormais de nouveaux formats pour leurs contenus malveillants, comme l'intégration d'images avec des malwares ou des pièces jointes malveillantes dans OneNote ou des formats d'archives. Dans un cas, Sophos a révélé que les escrocs envoyaient un document PDF avec une vignette floue et illisible d'une "facture". Le bouton de téléchargement contenait ensuite un lien vers une page Web malveillante.

"Notre dernier rapport montre une fois de plus que les menaces ne manquent pas pour les PME, et que la complexité de ces attaques est souvent comparable à celle des grandes organisations", explique Christopher Budd. "En effet, alors que les montants attendus des rançons ou des extorsions sont moins élevés que pour une grande organisation, les criminels compensent facilement ce 'manque' par la masse des attaques et en raison des mesures de cybersécurité souvent plus laxistes. Les attaquants comptent sur le fait que les petites entreprises sont moins bien protégées et n'utilisent pas d'outils modernes et sophistiqués pour protéger leurs utilisateurs et leurs actifs".

Source : www.sophos.de