IBM a livré son rapport annuel X-Force Threat Intelligence Index 2020 qui compile les analyses de ses services de sécurité pour 2019 et fait apparaître la résurgence d'anciennes menaces utilisées différemment. Première constatation, les systèmes industriels deviennent une cible de plus en plus fréquente avec une augmentation de 2000% des incidents portant sur les environnements OT (operational technology), ce qui laisse craindre que cela se poursuive en 2020. La compromission de données a augmenté de 200% en un an, 8,5 milliards d’enregistrements ayant été exposé en 2019, une augmentation à attribuer en grande partie à une exposition interne des données, selon le rapport. Pour près de 86% d’entre elles, la compromission a résulté d’une mauvaise configuration des serveurs (bases non sécuriséees, zone de stockage cloud accessibles publiquement ou périphériques NAS connectés à Internet…).

Le rapport confirme bien sûr l’importante activité autour des ransomwares avec, au 4ème trimestre, 67% d’augmentation des engagements d’X-Force IRIS par rapport à l’année précédente. Dans le secteur bancaire, des chevaux de Troie sont utilisés pour leur préparer le terrain comme TrickBot. Les codes sont modifiés par les attaquants pour éviter d’être détectés. En collaboration avec Intezer, IBM signale ainsi qu’un nouveau code malveillant a été identifié dans 45% des trojans bancaires et 36% des ransomwares.

Des identifiants volés pour pénétrer sur les réseaux

Autre constatation, 60% des entrées initiales dans les réseaux des victimes ont exploité des identifiants volés ou des failles logicielles connues. Les 3 premiers vecteurs d’infection initiaux observés par X-force IRIS en 2019 sont, à proportions presque égales, le phishing (31%), l’analyse et l’exploitation de vulnérabilités (30% des incidents observés) et les identifiants volés (29%). Alors qu’en 2018, le phishing représentait près de la moitié des incidents, l’analyse et l’exploitation de failles ont fortement progressé en 2019 passant de 8% l’année précédente à près d’un tiers. Sur le phishing, IBM et Quad9 notent une tendance au squatting, les attaquants se faisant passer pour des marques pour inciter à cliquer sur des liens malveillants. Parmi les 10 marques les plus usurpées figurent Google (39%), YouTube (17%), Apple (15%), Amazon (12%). Les tentatives d’exploitation de failles par courriers indésirables (spam) n’ont pour l’essentiel (90%) porté que sur deux failles, corrigées (CVE 2017-0199 et 11882).

Si le secteur des services financiers reste celui qui a été le plus ciblé en 2019, d’autres secteurs le sont aussi de plus en plus comme le retail, les médias, l’éducation et l’administration. Plus de 100 entités du gouvernement américain ont ainsi été touchées l’an dernier par des attaques de type ransomware. Selon IBM X-Force, dans 80% des tentatives observées, des vulnérabilités de Windows Server Message Block ont été exploitées, tactique précédemment utilisée pour WannaCry en 2017. Les attaques par rançongiciel ont coûté plus de 7,5 Md$ aux organisations en 2019.

Sur les données par pays, le rapport place la France au 2ème rang des 20 premiers pays hébergeant des réseaux de commande et contrôle de spam et au 7ème rang dans le domaine des attaques par spam botnet.