« Notre dernier rapport sur le paysage mondial des menaces met en évidence la manière dont les cybercriminels exploitent l'IA et l'automatisation pour accélérer leurs attaques à une vitesse et à une échelle sans précédent », a déclaré Derek Manky, vice-président de la recherche sur les menaces mondiales et de la stratégie de cybersécurité chez FortiGuard Labs. Les stratégies de sécurité traditionnelles ne suffisent plus. Les organisations devront rapidement adopter une stratégie de défense proactive intégrant l'IA, le Zero Trust et la gestion continue des menaces pour garder une longueur d'avance sur les attaquants dans un contexte de menaces en constante évolution.

Il est à noter que l’analyse automatisée a atteint un niveau record, les attaquants tentant d’identifier les cibles exposées à un stade précoce. Pour tirer parti des vulnérabilités nouvellement découvertes, les cybercriminels déploient des analyses automatisées à l’échelle mondiale. FortiGuard Labs observe et enregistre des milliards d'analyses par mois, ce qui équivaut à 36 000 analyses par seconde. Cela montre que les attaquants se concentrent fortement sur la cartographie des services exposés comme SIP et RDP et les protocoles OT/IoT comme Modbus TCP.

Le « marché noir » croissant du Darknet a facilité l’accès aux kits d’outils d’attaque pré-construits. En 2024, les forums de cybercriminalité ont commencé à agir de plus en plus comme des marchés pour les kits d'exploitation, avec plus de 40 000 nouvelles vulnérabilités ajoutées à la base de données nationale sur les vulnérabilités, soit une augmentation de 39 % par rapport à 2023.

En plus des vulnérabilités zero-day circulant sur le darknet, les courtiers proposent de plus en plus d'identifiants d'authentification d'entreprise (20 %), d'accès à distance RDP (19 %), de consoles d'administration (13 %) et de shells Web (12 %). Notamment, FortiGuard Labs a observé une augmentation de 500 % au cours de l'année écoulée des journaux disponibles provenant de systèmes compromis par des logiciels malveillants de vol d'informations d'identification, avec 1,7 milliard d'enregistrements d'informations d'identification volés partagés dans ces forums clandestins.

Les opérations de cybercriminalité basées sur l’IA se développent rapidement. Les acteurs de la cybersécurité exploitent l’IA pour améliorer l’authenticité de leurs fraudes et échapper aux contrôles de sécurité traditionnels, rendant les cyberattaques plus efficaces et plus difficiles à détecter. Des outils comme FraudGPT, BlackmailerV3 et ElevenLabs rendent les campagnes d’attaque plus évolutives, fiables et efficaces, évitant les limitations des outils d’IA disponibles.

Les attaques ciblées sur des zones critiques sont en augmentation. Les secteurs tels que la fabrication, la santé et les services financiers continuent de connaître une augmentation des cyberattaques sur mesure, avec des exploits spécifiques planifiés et déployés en fonction du secteur.

En 2024, les secteurs les plus ciblés sont l’industrie manufacturière (17 %), les services aux entreprises (11 %), la construction (9 %) et le commerce de détail (9 %). Les acteurs étatiques et les groupes de cybercriminalité basés sur le Ransomware-as-a-Service (RaaS) concentrent leurs efforts sur ces secteurs verticaux. Les États-Unis ont été les plus touchés par ces attaques (61 %), suivis du Royaume-Uni (6 %) et du Canada (5 %).

Les risques liés à la sécurité du cloud et de l’IoT sont en augmentation. Les environnements de cloud computing continuent d’être une cible de choix, les attaquants exploitant constamment des faiblesses telles que les services de stockage ouverts, les identités surprovisionnées et les services mal configurés. Dans 70 % des incidents observés, les attaquants ont obtenu un accès via des informations d'identification provenant de zones géographiques inconnues, ce qui attire l'attention sur l'importance de la surveillance des identités dans la défense du cloud.

Les identifiants sont « l’atout » des cybercriminels. En 2024, les cybercriminels ont partagé plus de 100 milliards d’enregistrements compromis sur des forums clandestins, soit une augmentation de 42 % par rapport à l’année précédente, en grande partie due à l’augmentation des « listes mixtes » contenant des noms d’utilisateur, des mots de passe et des adresses e-mail volés. Plus de la moitié des publications sur le darknet impliquaient des bases de données divulguées, permettant aux attaquants d'automatiser les attaques de bourrage d'informations d'identification à grande échelle.

Des groupes populaires comme BestCombo, BloddyMery et ValidMail étaient les groupes de cybercriminels les plus actifs à cette époque. Ils continuent de réduire la barrière aux attaques en proposant des packages de services prêts à l'emploi, ce qui entraîne une augmentation des prises de contrôle de comptes, des fraudes financières et de l'espionnage d'entreprise.

Face à la situation ci-dessus, le rapport fournit des recommandations sur la défense de la sécurité pour les RSSI, en mettant l'accent sur un certain nombre de domaines stratégiques sur lesquels il faut se concentrer, tels que :

Passer de la détection traditionnelle des menaces à la « gestion continue de l’exposition aux menaces » – Cette approche proactive se concentre sur la gestion continue de la surface d’attaque, simulant le comportement réel des adversaires, priorisant la correction basée sur les risques et automatisant les réponses de détection et de défense.

Simulez des attaques réelles – Menez des exercices de simulation d’adversaires, intégrez des équipes rouges et violettes et exploitez MITRE ATT&CK pour tester les défenses contre des menaces telles que les ransomwares et les campagnes d’espionnage.

Réduisez la surface d’attaque – Déployez des outils de gestion de la surface d’attaque (ASM) pour détecter les actifs exposés, les informations d’identification divulguées et les vulnérabilités exploitables tout en surveillant en permanence les forums darknet à la recherche de menaces émergentes.

Priorisez les vulnérabilités à haut risque – Concentrez les efforts de correction sur les vulnérabilités activement discutées par les groupes de cybercriminels et exploitez les informations de priorisation basées sur les risques telles que EPSS et CVSS pour gérer efficacement les correctifs.

Exploitez les renseignements du Dark Web – Surveillez les marchés du darknet à la recherche de services de ransomware émergents et suivez les efforts coordonnés des pirates pour atténuer les menaces telles que les attaques DDoS et de dégradation de sites Web.

Source : https://doanhnghiepvn.vn/chuyen-doi-so/an-ninh-mang/cac-cuoc-tan-cong-mang-tu-dong-tang-manh/20250508031351243